Het is het televisieprogramma Rambam gelukt een pijnlijk beveiligingslek in de ICT-omgeving bloot te leggen. De makers hebben namelijk een phishing-aanval-uitgevoerd om zo gebruikersnamen en wachtwoorden te achterhalen. Rambam stuurde het bericht namens het Bureau ICT Toetsing (BIT). Dat is erg geestig, omdat dit bureau is bedacht in het parlementair onderzoek ICT van de Commissie Elias. Dit bureau ligt goed in de Kamer, de regering voelt er ook voor bleek vandaag maar het had de Tweede Kamer bekend moeten zijn dat het BIT nog niet bestaat.
Toen de actie was ontdekt, is er binnen de Tweede Kamer een intern mailtje rondgestuurd dat ik – ironisch genoeg – ook in handen kreeg. Daarin wordt Kamerleden geadviseerd een ander wachtwoord in te stellen als ze in de truc zijn getrapt. Navraag leert dat je binnen de Tweede Kamer kunt inloggen met gebruikersnaam en wachtwoord op een zogenaamde Citrix-server om dan bij alle programma’s te kunnen.
Met die gegevens kunnen medewerkers van Rambam inloggen. En als het hen lukt dan kunnen criminelen dat theoretisch ook. Wie in het gebouw is kan dat op iedere computer doen. Of je hebt een iPad of iPhone nodig, waarmee je op afstand via ActiveSync bij de e-mail van mensen kan komen. Voor zo’n gevoelige organisatie is dat echt onvoldoende beveiliging.
Dat kan heel simpel anders door in te loggen met bijvoorbeeld een token. Precies dat moeten de medewerkers van de Tweede Kamer doen als ze van buiten de organisatie inloggen (behalve dus voor mail via de iPad of iPhone). Dus de infrastructuur om het veiliger te doen is er wel, maar wordt niet volledig gebruikt.
Was het token wel in gebruik dan heb je niet genoeg aan een gebruikersnaam en wachtwoord om in te loggen en was de actie niet succesvol. Wachtwoorden zijn al langer niet meer van deze tijd om heel gevoelige gegevens te beschermen.
Hoeveel beter kun je een onderwerp agenderen dan de politiek een probleem te laten ervaren? De logische reactie zou zijn dat ze in overleg met Rambam zouden treden en lering trekken. Het programma laat immers een falen zien en daarbij maken ze duidelijk hoe gerichte aanvallen werken.
Spionage is een groeiend probleem en de AIVD waarschuwde al in 2013 dat in de meeste gevallen dit gebeurt via phishing. Mensen trappen daar in en daar moet je je tegen wapenen. Dat gebeurt niet voldoende. Laten de politici nu snel aan de slag gaan om met dat probleem iets te doen, want dat is de les die nu te trekken is uit de actie van Rambam.