De legitimatiecontrole in Nederland is zo lek als een mandje

Bijna negen maanden ben ik met een ongeldig legitimatiebewijs door elke controle gekomen, van de Tweede Kamer tot in het stemhokje. Om een gevoel van veiligheid te creëren is er een continue behoefte om mensen altijd en overal maar te vragen om een legitimatiebewijs, maar als de controle faalt heeft dat natuurlijk geen enkele zin. Sterker, de schijnwerkelijkheid speelt iedereen die daar misbruik van wil maken in de hand.

De afgelopen driekwart jaar heb ik mij gelegitimeerd met een heus Lichtbildausweis. Dat is een kaartje dat je op een hackersconferentie kon maken voor maar vijftien euro. Heeft geen rechtsgeldigheid, lijkt ook niet op een geldig bewijs, maar ziet er wel stoer uit. Ik kwam er mee door elke controle.

Probleemloos de Tweede Kamer in
En dan blijkt het legitimeren in Nederland een fopzekerheid te zijn, want iedereen slikt het Lichtbildausweis als zoete koek. Zo kon ik er een aangetekende brief en een pakketje op naam mee ophalen en simkaarten afhalen bij T-Mobile en Vodafone. Van de zes pogingen gingen er vijf goed; de zesde keer wilde T-Mobile toch een tweede ding met mijn naam erop zien. Maar de Tweede Kamer, de AIVD, drie politiekorpsen, de Marechaussee bij een bezoek aan het Koninklijk Paleis, het Europees Parlement, diverse ministeries, de OPTA, de Onderzoeksraad voor Veiligheid en diverse bedrijven accepteerden het.

Pijnlijk was het kunnen stemmen met mijn Lichtbildausweis, terwijl Duitsland toch al eventjes niet meer regeert in Nederland. Treurig voor de staat van de veiligheid in Nederland ook dat de Coördinator Terrorisme Bestrijding en Veiligheid (NCTV) de neppe pas controleerde, maar de ongeldigheid niet ontdekte. Dat kwam pas afgelopen week toen met het ‘uit betrouwbare bron’ hoorde. Hierop volgde een heus ambtsbericht:

Beste sectorcoordinatoren

Uit vertrouwelijke bron ontvingen wij het volgende bericht:

Brenno de Winter (HP) is bezig met een reportage over controle van ID-bewijzen door (beveiligings)medewerkers. Hij doet, in het kader van dit onderzoek, pogingen om met zelfgemaakte legitimatiebewijzen (oa perskaarten) bij bedrijven en instellingen binnen te komen. Zie de link voor zijn foto. http://nl.wikipedia.org/wiki/Brenno_de_Winter 

 

Toch fijn dat de coördinator zo scherp is. Alleen jammer dat ze er eerst zelf ingetrapt zijn en zo’n vijf maanden later met dit bericht komen. Ook jammer dat ze het op de persoon spelen, want er zijn meer mensen in Nederland met een Lichtbildausweis die ook bij NCTV zijn binnengekomen. En niet het ‘symptoom’ (de journalist) is het probleem, maar het feit dat er in Nederland totaal niet fatsoenlijk wordt gecontroleerd.

En daar gaat het om. Er wordt een schijnzekerheid gecreëerd doordat bedrijven bij hoog en bij laag beweren dat ze een identiteit hebben geverifieerd, terwijl dat niet zo is. Ideaal om oplichting te plegen of iemand anders iets vervelends in de schoenen te schuiven.

Stoppen met fopbeveiliging
Misschien moeten we als volk ook kritischer zijn naar al die organisaties die zonder goede reden vragen om een identificatie van mensen. De fopzekerheid die dat tot gevolg heeft geeft criminelen in werkelijkheid vrij baan om met meer vertrouwen hun oplichting te plegen. Te pas en te onpas legitimeren voegt zo niets toe.

Natuurlijk, in een aantal gevallen zal legitimeren moeten, maar het zou logisch zijn dat alleen te doen als het écht iets toevoegt. En de organisaties díe dat van ons eisen hebben een verantwoordelijkheid dat dan ook zeer zorgvuldig te doen. Lukt dat niet kap er dan mee!

‘Goed’ nieuws voor Moerdijk
De onthulling van mijn onderzoek is in ieder geval goed nieuws voor het Havenbedrijf van Moerdijk dat in verhoogde staat van paraatheid was, mijn foto verspreidde en een heus Brenno-verbod heeft uitgevaardigd. Het is vooral te hopen dat er nu geen terroristen of criminelen komen om in dit gebied waar verschillende chemische bedrijven zitten ongein uit te halen. Want kennelijk kunnen ze ook daar geen goede controles uitvoeren en blijven ze -net als de rest van Nederland- hangen in symptoombestrijding. En daar wordt niemand veiliger van.

Nederland zo lek als een mandje? Helemaal niet nodig!

Hoe vaak ik heb gehoord dat honderd procent veiligheid niet bestaat, weet ik niet. Maar je kunt je wel degelijk volledig beschermen. Het is vooral een kwestie van willen.

Vorige week ben ik begonnen met een grote actie: honderden bedrijven melden dat ze lek zijn. Veel lekken gaan niet om persoonsgegevens of dienen geen grote belangen voor een breed publiek, en dus komen ze niet breed onder de aandacht. Maar er zitten ook zeer nieuwswaardige lekken tussen. “Tja, je kunt niet alles honderd procent beveiligen,” reageert een ondernemer laconiek. Dit hoor ik vaker.

Precies die reactie gaf ook Minister Melanie Schultz van Haegen in een spoeddebat toen ik had getoond hoe eenvoudig het is de OV-chipkaart te kraken was. Ik kon er drie weken ongestoord mee reizen. De fraude werd niet tijdig ontdekt en de kaart werd niet geblokkeerd, ondanks dat dit het parlement was toegezegd. De mededeling dat je niet alles volledig kunt beveiligen is dan ook niet meer dan een dooddoener, een zoethoudertje.

De werkelijkheid was dat het bedrijf dat de kaart produceert na mijn onthulling opeens wel ging investeren in het detecteren van fraude. Er werd een nieuwe, moeilijker te kraken kaart ingevoerd. Ook de controle-apparatuur van NS-conducteurs werd aangepast, want een zelfbedachte hack om niet bij een poortje maar op je laptop in te checken blijkt wel detecteerbaar. Van duizenden gevallen per dag gaat het nu nog om een handjevol reizigers.

Een kwestie van willen
Een goede beveiliging bleek dus wél te kunnen – het was een kwestie van willen. Maar de wil ontbrak aanvankelijk en dus werd een goedkopere chip gekocht, terwijl het voor een paar cent per kaart meer een stuk beter had gekund. Het bedrijf uit het voorbeeld had met een simpele update op zijn computersysteem zijn bedrijfsgegevens voor de buitenwereld verborgen kunnen houden.

Je kunt een systeem prima voor honderd procent beveiligen tegen gestandaardiseerde aanvallen. Veel criminaliteit is er namelijk op gericht om ergens data te stelen en die te misbruiken. Daarbij maakt het niet uit wie het slachtoffer is. Veel beginnende hackers die lekken willen aantonen gebruiken standaard-tools voor standaard-lekken. De aanvallen zijn vaak in de kiem te smoren en voor de problemen is een software-update beschikbaar.

Het mechanisme is simpel. Als u beter beveiligd bent dan uw buurman, dan is uw buurman een aantrekkelijker slachtoffer. Een fietsendief die kan kiezen om twee dure fietsen te stelen, zal de fiets zonder slot pakken en niet de zwaarbeveiligde fiets. Digitaal is dat voor veel aanvallen niet anders.

Het beschermen tegen gerichte aanvallen is ingewikkelder. Dan hebben we het over tegenstanders die per se bij een bepaalde partij informatie willen ophalen. Wie dan voldoende budget en mankracht tot zijn beschikking heeft, zal er inderdaad in slagen de informatie te krijgen. Maar dat is echt een andere tak van sport, waarbij het draait om technische en fysieke beveiliging, detectie en het inzetten van een krachtige verdedigingslinie. Maar voor veel gewone zaken geldt: honderd procent beveiliging tegen standaard-aanvallen is heel goed mogelijk.

Laten we hackers in de portemonnee pakken

Laten we hackers in de portemonnee pakken

De Amerikaanse beveiligingsgoeroe Bruce Schneier roept al jaren dat het bespelen van de economie de sleutel is tot betere beveiliging worden. De FIOD en KLPD brengen dat in praktijk.

Het is zo logisch dat je het bijna een open deur zou mogen noemen: iedereen heeft een eigen economie. Als je die weet te beïnvloeden kun je betere beveiliging afdwingen. Bruce Schneier verkondigt die gedachte al jaren. Wie ongewenste berichten verstuurt verdient geld door het kleine percentage van heel veel ontvangers die op een link klikken. Een boete haalt de business case onderuit en is met voldoende pakkans een effectieve dreiging.

Oplichtersmail
Een groot probleem is op dit moment phishing. Dat zijn oplichtersmailtjes die erop zijn gericht om u te bewegen iets te doen: in te loggen bij internetbankieren, gegevens af te geven, software te installeren op uw computer, enzovoort. Om die berichten te kunnen sturen wordt er gehackt op systemen om zo mensen te kunnen adresseren of, nog beter, om de tuin te kunnen leiden. Dat zagen we bijvoorbeeld na de inbraak bij webwinkel Replace Direct. Oplichters benaderde de klanten van dit bedrijf.

Daarna wordt er gespammed en klikken mensen op een link. Zodra dat gebeurt is het de vraag welke gevolgen dit allemaal heeft. Soms is het ‘slechts’ het invullen van gegevens, maar vaak gebeurt er meer. Mensen krijgen kwaadaardige software geïnstalleerd, soms wordt de computer gehackt en nog meer informatie gestolen. Het aanpakken van de daders is ingewikkeld, arbeidsintensief en als er al een verdachte wordt gevonden dan is dat in een ver buitenland.

Economie bestrijden
In een klein bericht lijkt iets te worden gemeld dat ogenschijnlijk niet zo spannend is: twee mannen zijn aangehouden na witwassen. Toch is het nieuws opmerkelijk. De aanhoudingen houden verband met phishing en dit keer is de geldstroom aangepakt. Twee verdachten werden aangehouden, in een telecomwinkel werd negentigduizend euro in contanten aangetroffen met daarbij grote stapels telefoonkaarten.

De KLPD en de FIOD hebben daarmee een grote slag geslagen, want nu ligt de geldstroom (tijdelijk?) stil. Phishing is leuk als je geld uit Nederland weet te incasseren of – zoals in dit geval – weet wit te wassen. De hackers rol je niet meteen op en mogelijk ook de spammers niet, maar de business case wordt wel verstoord. Dus uiteindelijk bereik je hetzelfde effect en meer: mogelijk krijgen slachtoffers hun geld terug.

Met een beetje mazzel wordt uiteindelijk het hele phishing-netwerk opgerold en komen veel meer verdachten in beeld. Beginnen bij de economie is een lonende manier van problemen aanpakken. Precies daarom ben ik voor het strafbaar stellen van slechte bescherming van persoonsgegevens.

Ik zei het al: het is een open deur. In Amerika gebeurt dit al langer. Niet voor niets werd vol ingezet op het laten opdrogen van geldstromen naar Wikileaks via bedrijven als Bank of America, Paypal, VISA en MasterCard. Daar raak je iedere organisatie mee. Zeker als 95 procent van de inkomsten wegvallen. Dat werkt effectiever dan het lek aanpakken, als dat nog kan, of je zo gedragen dat er geen misstanden meer zijn om te onthullen. Tja … change the economics and you’ll win!

Uw baas snapt vast ook niets van beveiliging

Om hun positie waardig te zijn, moeten bestuurders hun kennis over informatiebeveiliging ernstig bijspijkeren. Een terecht advies, want ze maken zichzelf nu belachelijk.

Eigenlijk zegt de Onderzoeksraad voor Veiligheid het ook in een rapport van afgelopen week: bestuurders bemoeien zich nauwelijks met informatiebeveiliging, want ze ontberen de kennis. Dat is een van de lessen die we moeten trekken uit het drama rond DigiNotar.

Gebrek aan daadkracht
Natuurlijk was de conclusie dat het bedrijf zelf fors zijn boekje te buiten ging door de inbraak niet te melden. Maar ook de overheid schoot ernstig tekort door niet strikt op het uitbestede werk toe te zien en teveel op audits te vertrouwen. De overheid wist dat er ellende in de lucht hing, want al in mei waarschuwde ze voor aanvallen.

Daadkrachtig bestuur ontbrak echter, en dus was de uiteindelijke hack toch een verrassing voor de overheid. De onderzoeksraad ging op onderzoek uit en keek ook bij de Sociale Verzekeringsbank, de Belastingdienst en diverse gemeenten. De conclusie is dat beveiliging gewoon niet leeft onder bestuurders. Tjibbe Joustra adviseert dat er, net als kennis over financiën, ook kennis rond beveiliging in de bestuurskamer hoort te zijn.

Symptomatisch
Bij de hack op DigiNotar was de onkunde evident en later, toen ik Lektober organiseerde, werd de omvang van de onkunde helder. Er is elke dag wel een nieuwe hack te melden. Binnen de industrie is dat al langer bekend en zijn er volop grappen over gebrekkig management.

In de fysieke wereld zien we deze problematiek ook. Wie gaat vliegen, moet nagelschaartjes inleveren. Dat is een reactie op de aanslagen van 11 september 2001. Maar de messen waren slechts instrumenten, en zijn eigenlijk door van alles te vervangen. Het échte probleem is dat een terrorist met zulke plannen niet op een luchthaven thuishoort, en dat oplossen is minder eenvoudig.

Net zo onlogisch is de uitvoering van het verbod op vloeistoffen. Op de luchthaven pakt de bewaker het potentiële explosief af en deponeert het in een grote ton. De rest van de dienst staat hij daar doodkalm naast, alsof er ineens geen explosief gevaar meer is.

Liften hacken
Vorige week mocht ik een nacht doorbrengen in het Kurhaus en werd mij verteld dat mijn kamerpas ook de lift bediende. Maar het beveiligingssysteem was nep en je hoeft niet eens hotelgast zijn om op de executive floor te kunnen komen:

Niet onschuldig
Domme maatregelen zoals de voorbeelden lijken onschuldig, maar zijn het niet. Los van het feit dat we recht hebben op echt doordachte beveiliging, geldt nog iets: euro’s en menskracht zijn schaarse goederen. De inzet moet dus effectief zijn. Digitaal zijn veel managers al blij te kunnen verkondigen dat ze een firewall hebben, en dat moet het dan zijn. Maar ja … een firewall had DigiNotar ook. Het punt was dat hun netwerk een puinhoop was.

Het rapport van de Onderzoeksraad geeft hoop. Niet in de laatste plaats omdat ze stellen dat bestuurders ook hun beveiliging transparant moeten verdedigen. Zij leggen de vinger bij herhaling op de zere plek. Bestuurders moeten dus op bijscholing. Dat wordt een verademing, want dan gaat het verstand en niet de angst regeren.

Ondertussen doen ze bij de Vereniging Nederlandse Gemeenten wat verstandig is: actieve ondersteuning aan bestuurders bieden. Nu het ministerie van Binnenlandse Zaken nog, want dat schuift het probleem weer van de overheid naar de burger. Misschien moeten zij hun nagelschaartjes inleveren en verantwoording nemen. Dus: zinvolle gegevensbescherming of gewoon onze data niet verwerken.