Brenno de Winter – Social Media Club Eindhoven februari 2012

Geplaatst op door Noud

In deze editie, die plaats vond bij het Eindhovens Dagblad (Waarvoor dank!) heeft Brenno de Winter een boeiend verhaal verteld over zijn ervaringen met lekken en online privacy. Voorafgaand aan zijn presentatie vonden er twee pitches plaats, een van CoachSander voor deelnemers aan het Trainer Coach Cafe 040, en onze eigen JWAlphenaar die een oproep deed voor ideeën voor het tweede verjaardagsfeest van SMC040 in juni:

Zeepkist smc040

Brenno de WinterBrenno de Winter

Brenno ging tijdens deze smc04 in op de werkwijze van de wetgevende macht en politie bij privacy. Of beter gezegd, het ontbreken van afdoende aanpak van de bescherming van onze privacy. En dat terwijl de gevolgen enorm kunnen zijn als je identiteit wordt gestolen. Dat men er nauwelijks op is voorbereid, blijkt wel uit de ellende als iemand identiteit is misbruikt.

Vaak wordt die diefstal een juridisch en bureaucratisch steekspel tussen slachtoffer en (commerciële) bedrijven. Deze laatste staan vaak weinig open voor de mogelijkheid dat niet de juiste persoon het paspoort heeft laten zien. Of je nu op vakantie was of niet: het paspoort heeft gelijk. Maar ook kleinere lekken kunnen gevaarlijk zijn: alleen al met een burger service nummer kan een kwaadwillende veel doen…

Brenno vond dat de journalistiek hier een taak in had, om dit probleem bloot te leggen. Al in 2010 ontstond daarom zijn idee voor Lektober. Hiermee heeft hij gewacht op het juiste tijdstip, wat al snel kwam door de toestand in Iran en enkele lekken in Nederland zelf. Lektober werd elke dag een lek… en het werden er meerdere per dag…

Nee, Beverwijk123 is geen goed wachtwoord…

Als bekend lek: de gaten in de websites van gemeenten. Deels via geenstijl kwam het bericht over enkele tientallen gemeenten met lekken. Wachtwoorden kreeg Brenno per email door hackers aangeleverd, en confronteerden de gemeenten daarmee. Deze schoten vaak in de verdediging, door ontkenning, welke snel werd weerlegd door wachtwoorden als “poehbeer” van een wethouder, en “beverwijk123”. De eerste laat zien hoe persoonlijk de lekken kunnen zijn, de tweede hoe onzorgvuldig er gehandeld wordt…

Andere gemeenten namen drastischer maatregelen, zoals gerechtelijke brieven zonder goede gronden. Hierover volgde ook weer een leuk politiek en juridisch schouwspel, met als uiteindelijk een resultaat een brief met alleen aanhef en afsluiting omdat alle alinea’s waren ingetrokken.

Andere voorbeelden:

  • Eindhoven de Lekste…
  • Ziekenhuis met een compleet lekke database…
  • Vliegmaatschappij met gegevens als paspoorten etc…
  • Voorlichter van gemeente die niet haar naam wil geven…

Of de voorbeelden in het nieuws de enige zijn? Helaas… Vele gemeenten lekken, het werd zelfs teveel om nog langer het nieuws mee te halen. En nog erger, eigenlijk: gemeentes die niet genoemd werden, reageerden dat ze dus veilig waren…

Minder lekken… nieuw probleem: beveiliging hacken

Overheid en ICT maken zich er te gemakkelijk vanaf. Zelfs ISO normering wordt afgehouden onder het mom van : innovatie kan anders niet… Waarom kan dat dan wel bij auto’s en vliegtuigen? Genoeg innovatie en toch veilig!  Nu is er ondertussen genoeg publieke druk over lekken en beveiliging die gelukkig een tegengestelde trend inzet.

Door deze verhoogde aandacht voor dichten van lekken is er een nieuwe uitdaging voor hackers: het zoeken naar sites met slechte beveiliging. Hackers speuren nu digitaal NL af waar een kwaadwillende beveiliging kan neerhalen, waar, volgens Brenno, het grote gevaar zit: dan kan iedereen persoonlijke gegevens aan en is er nog meer ellende…

Hoe transparant moeten we zijn?

Een vraag uit publiek: wanneer kan geheimhouding wel en niet? Wel: bij “proefballonnetjes” om intern een discussie te starten. Maar juist wel bij vragen of men alles wel heeft afgewogen. Heeft bv een wethouder wel nagedacht over alle alternatieven? Dat moet transparant! Terwijl burgers andersom wel alles moeten vertellen bij een onderzoek als BIBOP, welke relatief makkelijk ingezet kan worden.

Bibop: “Criminele organisaties zijn soms afhankelijk van vergunningen, subsidies of aanbestedingen, bijvoorbeeld voor witwasconstructies. Om te voorkomen dat de overheid ongewild criminaliteit in de hand werkt, is de Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (Wet Bibob) ingevoerd. Deze wet geeft bestuursorganen (zoals gemeenten) en aanbestedende diensten (zoals Rijkswaterstaat) de mogelijkheid om bedrijven en personen te screenen.

Ander probleem is de onduidelijkheid over wetgeving en de mazen in die wetgeving. Een document van een enkele gemeente valt onder WOB, maar als VNG weer niet… Terwijl het nog steeds belastinggeld en burgers betreft.

Brenno: “Er is soms gevoelige informatie, ja, maar dat excuus wordt nu teveel misbruikt. We zijn collectief gek geworden, een simpel woord kan al gevolg hebben dat je wordt aangehouden. Tandenpasta mag het vliegtuig niet in… En mocht je ooit gesproken hebben met een PVV-er, om wat voor reden dan ook, kan zorgen dat je Engeland niet in komt op basis van terreur wetgeving. Lastig voor een journalist die ze interviewed.

Ook bij hackers zijn er verschillende doelen: natuurlijk de kwaadwilligen, maar ook veel die gewoon het lek of probleem duidelijk willen maken, omdat ze oprecht bezorgd zijn. Ze geven de gegevens zonder naam door aan instanties of journalisten. Niet voor eigen eer, maar om te zorgen dat het probleem zichtbaar wordt zonder ellende te veroorzaken.

Is de toekomst beter?

Of Brenno al veel progressie ziet? Hij is bang van niet. Incidenten waarbij politiek zich moet verantwoorden of zelfs wethouders moeten aftreden zijn er te weinig, omdat er dan pas echt verandering komt. Publieke druk is het enige wat werkt helaas. De noodzaak komt niet va intern, niet van ICT, niet van politiek. Ander probleem: de klokkenluider loopt het risico, niet het bedrijf wat zijn zaken niet op orde heeft. En nog erger: niet dat bedrijf wat lekt heeft het probleem, maar de burger over wiens data het gaat…

Of goede beveiliging en goede systemen altijd veel geld moet kosten? Nee. Dankzij de cloud kun je shared services makkelijke inzetten tegen lage kosten. Wederom maakte Brenno zich druk over de rare afwegingen. Enerzijds geven we 50 miljoen voor digitale oorlogsvoering, terwijl anderzijds zonder probleem de sluizen opengezet kunnen worden. Dat er uit paniek DigiD wordt stilgelegd en sommige gemeenten nog steeds zonder zitten omdat er geen geld is. Doe eerst je werk op dit vlak goed, dan pas de luxe! Onze online zaakjes moeten eerst op basisniveau op orde zijn.

Ook word je zelden geïnformeerd als het jouw gegevens zijn die gelekt zijn. Brenno heeft bijvoorbeeld al drie maal zijn emailadres gevonden in gelekte gegevens, en in geen van de drie gevallen is hij geïnformeerd… Welke schade heb je dan als burger? Komt het echt door dat ene lek bij dat bedrijf, of een ander? En heb je wel een uniek wachtwoord voor elke site? De schuld wordt nog steeds vaak bij de burger neergelegd…

Borrel!

Tegen negen uur bedankte ondergetekende als host van de avond Brenno voor zijn presentatie en het Eindhovens Dagblad voor de ruimte en… de borrel tot slot. Op Facebook zijn enkele foto’s van deze avond terug te vinden. Dit verslag is ook geplaatst op SMC040.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.