Als mij iets irriteert dan is het wel het falend cybersecuritybeleid van onze overheid. Niet alleen om het foute woord ‘cyber’, maar vooral doordat om maar te scoren fouten zaken worden opgepakt. Politie en justitie verdoen hun tijd en laten grote netwerken van criminelen daardoor onaangeroerd. Een hackertje dat een lek aantoont riskeert uit te worden gesloten voor banen in de informatiebeveiliging. Voer voor criminelen en buitenlandse inlichtingendiensten dus. Bij een fel debat met de Eindhovense wethouder Staf Depla (PvdA) heeft hij mij uitgedaagd iets eraan te doen. Dat doen we op 15 februari in het gemeentehuis van Eindhoven.
In samenwerking met de gemeente Eindhoven hebben we geregeld dat leveranciers van clouddiensten en de gemeente hun systemen opstellen. Dat betekent dat hackers hun gang mogen gaan. Geen beperkingen, geen kinderachtige reacties. Alleen gegevens stelen of systemen bewust alleen maar platgooien mag niet. Verder is de dag een hackfeestje in de raadszaal met de naam: Hack Me Please.
De leveranciers tekenen rechten weg om te mogen klagen en de lekken komen naar buiten toe. Geen achterkamertjes geneuzel, geen geheimzinnigheid, maar openheid. Dit keer doen we dingen net anders. Iedereen maakt fouten dus worden er bij het hacken lekken gevonden. Daar gaan we volwassen mee om. De leveranciers snappen maar al te goed dat dit een kans is. Nu toetsen goed bedoelende hackers hoe onze informatie is beveiligd, terwijl anders we terugvallen op identiteitsdieven die niet de truc uitleggen en misbruik van gegevens maken. De leveranciers tonen moed om mee te doen en de toestemming te geven. Zij komen allemaal 15 februari om het gesprek aan te gaan en lering te trekken.
Ondertussen kan het OM kan niet meer spreken van ‘wederrechtelijk binnen dringen van een systeem’ en heeft dus geen reden de politie bij de hackers op het dak te sturen. Kunnen de digitale rechercheur gaan jagen op Russische criminele netwerken die massale identiteitsdiefstal plegen.
Helaas doen niet alle leveranciers mee, want de overheidsdienst Logius doet niet mee. Zij zijn verantwoordelijk voor DigiD en durven de toets niet aan. Wel vreemd voor een orgaan dat van de gemeente Eindhoven wel allerlei tests vraagt. Maar gelet op alle berichtgeving van de laatste jaren wel begrijpelijk. Maar raar is het wel dat de toezichthouder zichzelf niet toetsbaar opstelt. Eindhoven heeft na beveiligingsproblemen iets geleerd wat het ministerie van Binnenlandse Zaken kennelijk nog niet kan: je kwetsbaar opstellen. Op 15 februari gaan we dat dus vieren en hackers zijn welkom. Aanmelden doet u bij [email protected]
