“Vanavond een geheime gast in de uitzending. Er komt nieuws met mogelijk verstrekkende politieke consequenties.”
De aankondiging voor RTL Late Night onlangs klonk sensationeel. Journalisten van Follow The Money zouden het over de beveiliging van de Tweede Kamer hebben. Zou het gaan over een scenario zoals in het Verenigd Koninkrijk, waar Iran ervan verdacht wordt om 9.000 e-mailaccounts van Britse parlementsleden gehackt te hebben? Zou een journalist het Binnenhof binnengeslopen zijn met een pistool? Zou iemand de piano van Baudet gesloopt hebben? Zou Wikileaks de mails over de coalitiegesprekken tussen de partijvoorzitters gelekt hebben?
Mailsysteem
Niets van dat alles. Er was een lek in de beveiliging van het mailsysteem van de Tweede Kamer. Zonder veel moeite kon uit naam van Mark Rutte of Geert Wilders een e-mail verstuurd worden, omdat de systeembeheerder van de mailserver van de Tweede Kamer geen SPF gebruikte. De gemiddelde IT’er zal niet onder de indruk zijn geweest. Van een hack was natuurlijk geen sprake. Niemand had toegang gekregen tot de mailboxen van de Tweede Kamerleden, maar er was wel natuurlijk een slordig lek in de beveiliging die het spoofen van mails mogelijk maakt. Een slordigheid die zoveel voorkomt, dat iemand op Twitter direct uitgevogeld had dat je net zo makkelijk een e-mail kon versturen in naam van Umberto Tan. Of de AIVD.
Veel te doen om weinig nieuws dan? Dat ook weer niet. Het drukte ons weer met de neus op de feiten dat e-mail de meest onveilige manier van communiceren is, en je altijd moet opletten voor je op een link klikt – zelfs al komt die link van een bekende, of een e-mailadres dat je vertrouwt. Email spoofen is een eenvoudige manier om iemands computer te infecteren.
Discussie
Ten slotte komen we weer uit bij een oude discussie. Moeten dit soort problemen eerst aan de Tweede Kamer zelf gemeld worden, voordat dit nieuws publiek gemaakt wordt? Het lek werd live op RTL bekend gemaakt, waarna grappenmakers – of erger: criminelen – zelf snel mailtjes kunnen beginnen te sturen in naam van Mark Rutte, met misschien echt verstrekkende gevolgen.
In Brussel leid ik de ‘Task Force van het Centre for European Policy Studies over Software Vulnerabilities Disclosure in Europe’ die het over gelijkaardige problemen heeft – maar dan op een veel grotere schaal. Wanneer moeten overheden bedrijven inlichten als ze een lek in hun software hebben gevonden? Wanneer mogen overheden die lekken actief gebruiken in naam van de nationale veiligheid?
In Nederland zijn we al een tijdje bezig met dit soort vragen te beantwoorden, maar veel andere Europese landen lopen nog ver achter. Het benaderen van ICT-vraagstukken is dringend, maar lijkt nog het meest gebaat bij nuchterheid. Als elk ICT probleem als sensationeel lek wordt gepresenteerd, kijkt er niemand meer op als er echt een rampzalig lek voorkomt, maar halen mensen voor de zoveelste keer hun schouders op.
