De journalisten van Follow the Money verstuurden namens bewindspersonen nep-mails (spoofing) naar Kamerleden. Media brachten het als groot veiligheidsincident, maar er is niet ingebroken in inboxen en spoofen is al mogelijk zolang er e-mail is. Wat wel nieuws is, is dat de Tweede Kamer naliet om aanbevolen standaarden toe te passen die sinds twee jaar op de lijst van het Forum Standaardisatie staan. Voor overheidsinstellingen zijn deze standaarden verplicht bij grote IT-aanbestedingen, voor de Tweede Kamer is het een sterke aanbeveling. Hoewel het al een jaar bekend was dat de e-mailservers niet voldeden, ondernam de Kamer pas vorige week actie. Ingewikkeld is dat niet. Op internet.nl kun je controleren of een emaildomein aan de regels voldoet. Iedere systeembeheerder kan zo’n klus, het aanzetten van anti-spoofing-configuratie, in korte tijd klaren.
Twee jaar nadat de standaarden zijn ingevoerd, is zo’n 30 procent van de e-mailservers van de overheid nog steeds niet met deze maatregelen uitgerust. Hoe kan het dat de overheid geen serieus werk maakt van (nota bene haar eigen) veiligheidsstandaarden?
Deze nonchalance zien we ook buiten Den Haag. Veel mensen maken weleens gebruik van onbeschermde wifi-netwerken of laten hun wachtwoorden slingeren. Ze klikken op linkjes in dubieuze mailtjes, verzuimen back-ups te maken en stellen updates uit. Juist degenen die zeggen bezorgd te zijn over hun privacy, laten zonder na te denken overal en nergens gevoelige informatie achter of verzuimen de standaardwachtwoorden op hun router te veranderen. Politici en bestuurders zijn daarop geen uitzondering.
Dit incident is dan ook geen technisch probleem, maar heeft alles te maken met achteloosheid. Als het erop aankomt, kiezen we voor gemakzucht in plaats van veiligheid. Politici en bestuurders hebben de mond vol over digitale veiligheid. Er verschenen vuistdikke rapporten over hoe Nederland digitaal weerbaar gemaakt moet worden met digitale deltaplannen. Maar het blijft vooral bij mooie woorden. Zelfs maatregelen die aantoonbaar effect hebben, zoals de systeembeheerder vragen anti-spoofing aan te zetten, worden nagelaten. Alle plannen, rapporten en congressen hebben wat dat betreft weinig opgeleverd.
Incidenten zoals deze leren dat digitale veiligheid geen bijzaak of luxe is of iets dat met het schrijven van plannen afdoende kan worden geregeld. Wat als de spoofers in dienst waren van de Russische of Chinese overheid en uit waren op staatsgeheime informatie? Het land zou te klein zijn geweest. In het digitale domein is veiligheid een kwestie van ‘geen woorden maar daden’.
Als alle internetgebruikers verantwoordelijkheid nemen voor het eigen gedrag en de eigen apparatuur, als de overheid consequent de standaarden toepast die zijzelf voorschrijft, als bedrijven werk maken van veilig gedrag van hun werknemers, en als Kamerleden het goede voorbeeld gaan geven, zal dat snel resulteren in een daling van het aantal datalekken, digitale inbraken, en de afname van phishing, infecties en botnets. Kortom, digitale veiligheid bereik je niet met een deltaplan, maar doordat iedereen een zandzak voor zijn eigen deur legt.
Dit opinie artikel van Astrid Oosenbrug en Michiel Steltman verscheen op 30 oktober 2017 op NRC.nl