Door in te breken op honderdduizenden websites hebben Russische criminelen de grootste verzameling gestolen persoonsgegevens vergaard. Het gaat om 1,2 miljard inloggegevens die de hackers in handen hebben. Met dank aan falende politiek is het probleem in Nederland nog lang niet opgelost.
Uit het onderzoek van Hold Security blijkt dat de criminelen de gegevens hebben verzameld door veelvuldig gebruik te maken van zogenaamde SQL injection lekken. Dit type lek, dat nu zo’n 14 jaar bekend is, is geen pech maar prima te stoppen. Toch staat het lek al jaren met stip op 1 als meest voorkomend probleem.
Het gevolg van de fouten in de website is dat de persoonsgegevens van u en mij letterlijk door wat te dubbelklikken kinderlijk eenvoudig worden gestolen. Dat gaat soms om uw e-mailadres, inlognaam en wachtwoord, soms ook om adressen, creditcardnummers, burgerservicenummer of andere gegevens. Dat is niet alleen privacygevoelig, maar ook een walhalla voor identiteitsdieven die namens u op sociale media spammen, iets kopen of verplichtingen aangaan.
Bedrijven hebben in Nederland de wettelijke plicht uw gegevens afdoende te beveiligen. Dat staat in artikel 13 van de Wet berscherming persoonsgegevens (Wbp) en er is zelfs door het College Bescherming Persoonsgegevens (CBP) een richtsnoer over geschreven. Alleen aan de verplichting wordt niet voldaan. In 2011 liet ik dat samen met Webwereld zien door Oktober om te dopen in Lektober en iedere dag een lek te beschrijven.
Natuurlijk is er wel iets verbeterd, vooral bij overheden. Maar de echte actie van de politiek is uitgebleven. Bedrijven worden nagenoeg niet aangepakt als ze onze gegevens slecht beveiligen en daarmee ook zelf dus de wet overtreden. Ondertussen bieden die gegevensbeheerders Russische criminele bendes een kans om data te roven. De politiek roept verantwoordelijk staatssecretaris Teeven niet ter verantwoording. Ook ‘cybercrime’-Minister Opstelten laat het hierop afweten.
Opstelten komt niet verder dan roepen dat hij tough on crime is. In de praktijk betekent dat met acht man politie en rechtelijke macht verschijnen bij een hackertje dat de website van de school plat legt. Ondertussen kunnen de Russische bendes, die het echte probleem vormen, hun goddelijke gang gaan. Opsporing is toch complex en dure opsporingscapaciteit wordt anders ingezet. En de politiek ziet dat er targets worden gehaald. Of wij echt veiliger worden interesseert nauwelijks iemand.
En dan hebben we een hele boel digitale klokkenluiders, ook wel ethische hackers, genaamd. Zij wijzen op fouten en worden daar – conform goed Nederlands gebruik – met een beetje pech voor vervolgd of bedreigd door de bedrijven die falen. Inmiddels is er een ‘responsible disclosure beleid’ waarbij de hacker gevrijwaard wordt door een bedrijf als dat bedrijf dat wil.
Maar het Openbaar Ministerie heeft al aangegeven de afspraken te negeren en alsnog de strafrechtelijke jacht op de goed willende hacker te openen als ze dat uitkomt. Ergo: waarschuw de maatschappij voor slechte beveiliging en eindig in de bak. Liever zien we kennelijk de Russische bendes vrij spel krijgen.
En de politiek? Die ziet dat er een vorm van beleid is en is daarmee tevreden. Behalve kamerlid Astrid Oosenbrug(PvdA) die dit probeert te veranderen, maar een uphill battle voert. De politiek wil maar niet werken aan een informatiemaatschappij. Dus gebeurt ook niets substantieels aan de bijbehoren problemen. Daarmee nemen ze de miljarden schaden van onder andere Russische bendes willens en wetens voor lief. En dat is waarom oude, eenvoudig te voorkomen lekken nooit echt worden aangepakt. Op naar het volgende lek!