Het lek in een onschuldig programma

Alweer ligt defensie-informatie op straat. Mogelijk gevoelige documenten zijn via het uitwisselingsprogramma Limewire in de openbaarheid geraakt. Hoe kan het dat informatie zo maar via internet openbaar wordt?

Rotterdam 3 april. - Tik de woorden 'privé' en 'correspondentie' in en een lijst met persoonlijke documenten verschijnt binnen een seconde op het scherm. Interne documenten en personeelsbestanden zijn moeiteloos te vinden. Bijvoorbeeld een bestand afkomstig van een zorginstelling over medewerker J. 'Sterke kanten J.: sterk leider, automatisering, legt verantwoordelijk neer waar die hoort, organisator, profilering bij diners.' Een regel later komen zijn zwakke kanten aan bod: 'Geeft moeilijk toe aan problemen binnen de keuken die een ander aangeeft, kan autoritair uit de hoek komen onder spanning.'

Zo werkt het computerprogramma Limewire, een soort digitale ruilbeurs waarbij gebruikers voornamelijk (illegale) muziek- en filmbestanden uitwisselen. Via dit programma lekte Defensie-informatie naar buiten. Een student uit Leiden stuitte op de documenten en besloot deze te overhandigen aan De Telegraaf.

Limewire is een zogeheten peer-to-peer programma. Met deze techniek downloaden gebruikers computerbestanden rechtstreeks van de computer van de aanbieder. 'En daarin schuilt het gevaar', zegt Erwin van der Zande, hoofdredacteur van het elektronikatijdschrijft Bright. 'Om goed te kunnen downloaden moeten Limewiregebruikers het liefst zoveel mogelijk bestanden delen. Alleen vergeten sommige mensen wélke bestanden ze exact openbaar maken. Vaak zijn dat per ongeluk ook privé-bestanden.' Limewire maakt in principe gebruik van één map met de naam 'Mijn muziek'. Wie per ongeluk de map 'Mijn documenten' aanklikt, deelt ook al zijn (gevoelige) tekstdocumenten.

Zo is dat volgens Van der Zande mogelijk ook gegaan bij de Defensiemedewerker. Bij de installatie van Limewire moet worden aangegeven welke mappen gedeeld mogen worden. De medewerker had waarschijnlijk geen idee dat de map met daarin de privé-correspondentie van het koninklijk huis voor iedere Limewiregebruiker te downloaden was.

Onduidelijk is nog of Limewire op de privé-computer van de Defensiemedewerker was geïnstalleerd of op een computer van het ministerie. Dat laatste is volgens een woordvoerder van het ministerie van Defensie niet toegestaan. Van der Zande: 'Als gevoelige informatie op een thuis-pc belandt is een ongeluk snel gebeurd. Als dochter- of zoonlief Limewire installeert kan deze in alle onwetendheid per ongeluk de mappen van de ouders aanklikken en daarmee openbaar maken.' Overigens ziet Van der Zande dit euvel ook bij andere veelgebruikte uitwisselprogramma's zoals Kazaa en Emule.

Mede daarom mogen medewerkers van Defensie nooit als hoogst vertrouwelijk gekwalificeerde bestanden op hun privé-computer zetten, aldus een woordvoerder van Defensie. 'Hoe hoger de kwalificatie, hoe lastiger het is om documenten mee naar huis te nemen.'

De zegsman kan niet met zekerheid zeggen of de 'gelekte' documenten vertrouwelijk zijn omdat het ministerie de bestanden nog niet in heeft kunnen zien. Wel heeft Defensie inzage gekregen in de bestandsnamen. 'De titels duiden echter wel op gevoeligheid', aldus een woordvoerder van ministerie.

Het is niet de eerste keer dat vertrouwelijke defensie-informatie open en bloot op straat ligt. In januari vorig jaar doken via een online uitwisselingsprogramma ook al geheime documenten op van de marechaussee. Hier ging het om afgeluisterde gesprekken, observaties en onderschepte sms'jes van een bende mensensmokkelaars.

[Vervolg LIMEWIRE: pagina 3]

LIMEWIRE

'Limewire kan soms uiterst gevaarlijk zijn'

[vervolg van pagina 1]

Begin februari liet een legerkapitein een USB-stick (een digitale informatiedrager) slingeren. Twee jongens vonden de stick met daarop gevoelige informatie over militaire operaties in Zuid-Afghanistan. Ze overhandigden de stick aan de media. Uit nader onderzoek van NRC Handelsblad bleek dat de stick gevoelige informatie bevatte over krijgsgevangen.

Het lekken van de stick leverde vanuit de Kamer een stroom van verontwaardigde reacties op. Hoe was het mogelijk dat dit soort gevoelig informatie in de openbaarheid terecht kon raken?

Het nieuwe uitlekken ligt dan ook gevoelig. Als het 'lek' via Limewire inderdaad afkomstig is van de defensie-medewerker is dat opnieuw een pijnlijke zaak voor minister Kamp (Defensie, VVD).

Het ministerie van Defensie kwam kort daarop met de maatregel om steekproefsgewijs personeel te controleren. Bij de deur van onder meer het ministerie moet defensie-personeel de tas openmaken. Daar wordt ter plekke gecontroleerd of personeel gevoelige informatie naar huis meenemen. 'USB-sticks worden ter plaatste uitgelezen en gecontroleerd', verzekert de woordvoerder, 'bovendien mogen defensie-medewerker alleen met gevoelige documenten werken op een laptop van hun werk'. En dus niet op een thuiscomputer.

Internetdeskundigen pleiten voor een betere beveiliging van digitale documenten. Informatie op USB-sticks zou versleuteld moeten worden. Erwin van der Zande van het tijdschrift Bright pleit ook voor meer drastische maatregelen: 'Mensen die met zulke vertrouwelijke informatie werken, zouden programma's als Limewire direct van hun computer moeten verwijderen. Limewire kan soms uiterst gevaarlijk zijn.'