Het journalistieke probleem in twee keer breaking news

Al meer dan een jaar noem ik mezelf geen journalist meer. Vaak krijg ik de vraag waarom ik die keuze heb gemaakt. De exacte problematiek is lastig onder woorden te brengen. Maar vanochtend kwam opeens de perfecte illustratie toen ik twee maal brekend nieuws of digitaal ‘stop de persen’ ontving op mijn mobiel. Een bericht van een Nederlands en het andere bericht van een Brits medium:

Oefen eens een crisis rond een datalek met een serious game

Hoe goed bent u in staat een datalek te bestrijden als een hacker zijn slag heeft geslagen?  Hoe is het zelf te belanden in een heuse crisis? Test het uit tijdens een heuse crisisoefening. Een hacker heeft toegeslagen en eist nu een ‘beloning. U stapt in het crisiscentrum om samen met anderen mee te helpen de schade, gevolgen en verspreiden van gelekte gegevens tegen te gaan. Hoe leiden we een crisis in goede banen? Welke stappen gaan we zetten en in welke volgorde? Welke organisaties zijn nuttig en wat is een verspilling? Kunt uw klant tevreden houden?

Tijdens de serious game spelen deze en andere vragen een belangrijk rol. De spannende crisis die ongeveer 70 minuten duurt, voeren de deelnemers de regie over het afwikkelen van het datalek. Sta stil bij de vele aspecten, zoals techniek, juridische gevolgen, continuïteit van de organisatie en organisatiepolitiek.  De deelnemers bepalen welke rol communicatie, juridische zaken, technische beschikbaarheid, onderzoek, de justitiële keten en de ketenpartners krijgen. Tijdens de oefening zijn er allerlei verstoringen. Voor welke is aandacht en vooral voor welke interrupties niet? Met behulp van audioboodschappen, video’s, interacties en opdrachten ondergaat de groep de hack met al haar facetten. De oefening is een eigen productie gemaakt in samenwerking met het Centrum voor Informatiebeveiliging en Privacybescherming en de Informatiebeveiligingsdienst. Snel aan de slag, want de klok tikt door!

Een voorproefje met hoogtepunten ziet u hier:

Te gast bij Café Weltschmerz

“Wat er niet is, kan niet geopenbaard worden. In het NRC-onderzoek naar misstanden rond het persoonsgebonden budget (pgb) blijkt relevante informatie verdoezeld te zijn door deze nooit op papier te zetten. Daarmee is de Wet Openbaarheid van Bestuur (Wob) effectief buitenspel gezet. Zo ontstaan twee realiteiten: een werkelijkheid in documenten en een parallel universum in de praktijk. Bij de besteding van miljarden aan belastinggeld is dat niet wenselijk, maar helaas wel de dagelijkse praktijk. De Tweede Kamer en het ministerie van Binnenlandse Zaken laten het toezicht volledig schieten.”

Brenno de Winter is onderzoeker. Zijn onderwerp is IT en veiligheid. De Winter heeft ca. 2000 Wob (Wet openbaarheid bestuur) verzoeken gedaan. Er is volgens De Winter grote angst bij de overheid om documenten vrij te geven. Terwijl iedere burger in principe een beroep kan doen op de Wob blijkt dat de overheid het gebruik moedwillig frustreert. De overheid weigert bijvoorbeeld uit zichzelf aan te geven welke documenten er over een onderwerp aanwezig zijn en vervolgens worden bij aanvraag de documenten massaal geweigerd. Volgens De Winter kan je niet een maatschappelijk debat voeren bij het ontbreken van kennis over de inhoud. De overheid beroept zich bij weigering argumenten vaak op een waslijst van argumenten. Waarbij de risico’s voor de staatsveiligheid en de privacy van betrokken personen maar al te gemakkelijk centraal staan. Deze geheimzinnigheidscultuur maakt het onmogelijk hulp te verlenen bij organisaties die ontsporen, zoals bij de PGB en om te leren van fouten. Nederland is het enige land in Europa waarbij de informatie architectuur niet op orde is. Men weet niet welke documenten aanwezig zijn en het nazoeken en informeren daarover wordt gaandeweg gefrustreerd. Veel documenten worden daardoor niet gevonden of zelfs achtergehouden.

Een auto stelen door een beveiligingslek

ls je op vakantie gaat vanaf Schiphol kun je kiezen uit tientallen parkeerbedrijfjes die rondom de luchthaven opereren. Het idee is simpel; als je op reis gaat geef je je auto af, en als je terug komt wordt deze weer voorgereden. Je verwacht dat de auto veilig is terwijl jij ergens van de zon aan het genieten bent. Maar dat kan vies tegenvallen…

Beveiligingslek
Kassa kreeg een tip over een lek in de beveiliging van het reserveringssysteem bij de parkeerbedrijven van Airport Parking Solutions. Bij het openen van een reservering bleek het mogelijk om, met het veranderen van het reserveringsnummer in de URL, als buitenstaander door het gehele reserveringssysteem heen te lopen en alle voorgaande en huidige reserveringen te kunnen inzien.

De persoonsgegevens van tienduizenden parkeerders zijn hiermee onbedoeld openbaar geworden. Door het ontbreken van een beveiliging op de website dat buitenstaanders de toegang tot het systeem ‘aan de achterkant’ zou moeten ontzeggen, bleek het nu mogelijk om exact te kunnen zien wie er een reservering heeft gedaan voor welke auto en hoe lang deze persoon op vakantie is.

Brenno de Winter, onderzoeksjournalist en te gast in de studio, reageert op dit lek. Het is ernstig dat er zoveel persoonsgegevens op straat hebben gelegen, waar de mogelijkheid bestaat om kwaad te doen op het moment dat iemand duidelijk van huis is, volgens de Winter.

Vreemde auto ophalen
Vervolgens bleek ook nog dat de controle bij één van deze bedrijven bij het ophalen van een auto onvoldoende was. Enkel het laten zien van een uitgeprinte reservering bleek voldoende om de auto die op de reservering stond aangegeven mee te krijgen. Er werd niet om een legitimatiebewijs gevraagd.

Omdat het via het beveiligingslek mogelijk bleek om een willekeurige reservering uit te printen, besloten we de proef op de som te nemen bij het bedrijf Vip Parking, onderdeel van Airport Parking Solutions, en drie keer met een geprinte reservering uit het systeem een vreemde auto op te gaan halen. Alle drie de pogingen die Kassa deed om een auto op te halen met een geprint reserveringsticket van iemand anders, lukte.

 


Reactie eigenaar
De eigenaar van Airport Parking Solutions reageert geschrokken als wij hem op de hoogte stellen van onze bevindingen. Het lek was bij het bedrijf niet bekend, en volgens de eigenaar zijn de medewerkers van Vip Parking daarnaast ook geïnstrueerd om bij het afgeven van de auto om een identiteitsbewijs te vragen. Dat is in de drie gevallen dat wij een verkeerde auto ophaalden niet gebeurd. De eigenaar van Airport Parking Solutions, Karim Boukhidous, heeft in onze uitzending aangegeven geschrokken te zijn en heeft het lek gelijk gedicht. Daarnaast geeft hij aan de medewerkers extra geïnstrueerd te hebben over het verplicht controleren van de naam op het ticket en op het paspoort. Dit zou ervoor moeten zorgen dat er nooit meer een auto van iemand anders aan de verkeerde persoon meegegeven kan worden.

Brenno de Winter bevestigt dat het lek is gedicht. “De reserveringen zijn niet meer online toegankelijk. De reserveringen worden nu alleen via de mail gestuurd en dus alleen toegankelijk voor de juiste mensen. Het beveiligingslek is opgelost.”


Schiphol  
Rondom de luchthaven Schiphol zijn tientallen parkeerbedrijfjes actief die geen onderdeel zijn van Schiphol Airport, en niet vallen onder de officiële parkeergelegenheid van Schiphol. Lees hieronder de complete reactie van Amsterdam Airport Schiphol:

“Helaas wordt de naam Schiphol vaak gebruikt door allerlei bedrijven die parkeerdiensten aanbieden. Amsterdam Airport Schiphol heeft geen relatie met deze bedrijven en heeft daarmee geen invloed op hun bedrijfsvoering. Wij adviseren reizigers dan ook altijd het parkeren bij Schiphol zélf te boeken. Dit kan via de website van Schiphol (www.schiphol.nl). Dat is veilig en betrouwbaar. Als je daar kiest voor een valet dienst dan zorgen officiële Schiphol medewerkers ervoor dat je auto op een parkeerterrein of in een garage van Schiphol zelf wordt geparkeerd. Wanneer je terugkomt, liggen je sleutels klaar en staat je auto buiten op je te wachten bij vertoon van de bij aflevering getekende beheerovereenkomst en een geldig paspoort. De enige die de auto mee krijgt is gewoon de rechtmatige eigenaar.”

 

Toespraak bij de uitreiking “Journalist van het Jaar”

Beste aanwezigen, beste kijkers naar de stream,

“Stoer! ICT-journalistiek is niet meer vies of een fout buitenbeentje”, was de eerste gedachte toen Dolf Rogmans mij confronteerde met het feit dat ik tot journalist van het jaar was verkozen. Alles is anders dan in 2008. Toen werd ik nog geweigerd om vooraf kennis te nemen van de plannen van de regering rond technologiebeleid onder de verwensing dat dit ‘alleen voor serieuze journalisten’ was. Tegenwoordig mag een minister van Binnenlandse Zaken in het holst van de nacht oreren over de gevolgen van een hack. Langzaam dringt het besef door dat blunderen bij Diginotar samen met falend toezicht in Nederland mensenlevens in Iran kost. Technologie beheerst ons leven net als economie, olie en politiek dat doen. “Toespraak bij de uitreiking “Journalist van het Jaar”” verder lezen

Statement over verhoor TLS

Woensdag 22 juni 2011 om 14:00 wordt onderzoeksjournalist Brenno de Winter door de recherche gehoord over zijn onderzoek naar manco’s in de beveiliging van de OV-chipkaart. In januari kwam het nieuws naar buiten dat met standaard beschikbare programmatuur en een apparaat van dertig euro de OV-chipkaart eenvoudig te kraken is. Daarbij bleek uit onderzoek dat veel van de dubieuze transacties door het verantwoordelijke bedrijf Trans Link Systems niet werd ontdekt. “Statement over verhoor TLS” verder lezen

Reactie Brenno de Winter en Gemeente Kaag en Braassem op uitspraak rechtbank Den Haag

Dit bericht is opgesteld in samenwerking met de Gemeente Kaag en Braassem

Burgers en journalisten die de overheid vragen eerder niet geopenbaarde documenten te openbaren, kunnen daarvoor niet langer de rekening gepresenteerd krijgen. Wie de Wet openbaarheid van bestuur (Wob) inzet, maakt informatie voor iedereen toegankelijk en dat is in het algemeen belang. Dat is de conclusie die valt te trekken als gevolg van de uitspraak van de rechtbank ‘s-Gravenhage in een zaak tegen de gemeente Kaag en Braassem, die is aangespannen door onderzoeksjournalist Brenno de Winter. De gemeente had leges gerekend voor het nemen van een beslissing van een verzoek.

“Reactie Brenno de Winter en Gemeente Kaag en Braassem op uitspraak rechtbank Den Haag” verder lezen

PERSBERICHT: Journalist daagt Camiel Eurlings voor opheldering 1,338 miljard euro

EDE – Onderzoeksjournalist Brenno de Winter daagt verkeersminister Camiel Eurlings voor de rechter om opheldering af te dwingen over 1,338 miljard euro. Voor dit geld gaf het Ministerie van Verkeer en Waterstaat in 2000 met instemming van de Tweede Kamer toestemming aan ProRail en NS om hiermee een fonds op te richten. De bewindvoerder weigert nu opheldering te geven over de besteding daarvan. “PERSBERICHT: Journalist daagt Camiel Eurlings voor opheldering 1,338 miljard euro” verder lezen

In het nieuws: OV-chipkaart grootste flop van 2009

Het journalistieke onderzoek naar de OV-chipkaart en de problemen daarbij wordt door de lezers van de ICT-nieuwssite Webwereld gewaardeerd. Zij zijn van mening dat de kaart de grootste ICT-flop van 2009 is, geweest. Als houder van het dossier bij Webwereld, werd ik natuurlijk ook om commentaar gevraagd. Het mag duidelijk zijn: het onderzoek is nog niet afgerond.

De OV-chipkaart is door de lezers van Webwereld uitgeroepen tot ict-flop van het afgelopen jaar. Het anti-Torrentoffensief van Brein en de embed-taks van Buma delen de tweede plaats.

Met een ruime voorsprong krijgt de OV-chipkaart het predicaat ict-flop van het jaar. 25 procent van de in totaal 3150 uitgebrachte stemmen gingen naar het omstreden vervoersbetaalsysteem. Vorig jaar eindigde de OV-chipkaart al als tweede in de flopverkiezing. Lees het verhaal op Webwereld.