Donner en Smulweb staan allebei voor schut

Is er dan niets meer veilig? Dat hackers het Pentagon aanvallen, de NAVO, Microsoft en zelfs Sony’s Playstation, daar zijn we langzamerhand wel aan gewend. Maar Smulweb?

De populaire receptenwebsite was afgelopen weekend het slachtoffer van een grote computerinbraak. De indringers lieten het recept voor negerzoentaart en de informatie over de ‘Workshop Tapas & Amuses de Luxe’ links liggen. Het ging ze om de gebruikersnamen, e-mailadressen en wachtwoorden van de Smulweb-gebruikers – en dat blijken er bijna een miljoen te zijn.

De website moest bekennen dat ze de gevoelige informatie van haar 950.000 klanten niet goed had opgeborgen. „De wachtwoorden van Smulweb waren wel beveiligd”, stelde ze in een verklaring, „maar werden niet versleuteld opgeslagen. Dit kunt u vergelijken met een woonhuis. De buitendeur was op slot, maar de gegevens lagen niet in een kluis. De hackers hebben hierdoor (mogelijk) de beschikking gekregen over uw Smulweb-wachtwoord.”

Nu zal niet iedereen na een inbraak als eerste denken: zijn ze er met m’n Smulweb-wachtwoord vandoor? Maar vervelend is het wel. Vooral omdat veel mensen voor verschillende websites hetzelfde wachtwoord gebruiken. Het probleem kan zo als het ware de keuken overstijgen, van de kaassoufflé naar de creditcard. Snel dus maar nieuwe wachtwoorden instellen, liefst voor iedere site een andere – en dan alleen nog maar even het hele zaakje zien te onthouden.

Erger nog dan de Smulwebramp is het hackingschandaal waar de Nederlandse overheid in verzeild is geraakt. Het bedrijf DigiNotar uit Beverwijk, dat onder meer overheidssites beveiligde, liet „de deur open staan voor Iraanse hackers”, zoals deze krant het maandag uitdrukte.

Gevolg was niet alleen dat het ‘digitale paspoort’ DigiD en de communicatie van de burger met de Belastingdienst tijdelijk onveilig waren geworden. Honderdduizenden Iraniërs moeten door de inbraak vrezen dat de autoriteiten hun Gmail hebben kunnen lezen.

De ernst van de zaak bleek wel uit de nachtelijke persconferentie die minister Donner afgelopen weekeinde gaf. DigiNotar, waar zijn partijgenoot, CDA-bestuurder Tony de Bos, directeur is, geeft certificaten uit die de echtheid en betrouwbaarheid van websites garanderen. Een verantwoordelijke taak. Zo’n certificaat, in de adresbalk van de browser aangegeven met een geel slotje, is het digitale equivalent van het waarmerkstempel van een notaris.

In juni braken de Iraanse hackers in, eind juli merkte DigiNotar dat ze certificaten voor beveiligde internetverbindingen hadden nagemaakt – en al die tijd werd de overheid niet ingelicht. Die kwam er pas een maand later achter, dankzij een tip uit Duitsland.

Het bedrijf dat de integriteit van de overheid op internet moest bewaken, heeft in eigen huis zijn veiligheid op een onvoorstelbare manier laten versloffen en het vertrouwen van de overheid beschaamd. DigiNotar gebruikte geen antivirusprogramma, de wachtwoorden waren te simpel en dus gemakkelijk te kraken, er werd verouderde software gebruikt en nog meer basale veiligheidsmaatregelen waren niet genomen. Behalve het bedrijf zelf staat daardoor nu ook de Nederlandse overheid voor schut.

In het tv-programma Nieuwsuur werd de inbraak meteen maar bestempeld tot een ‘oorlogsdaad tegen Nederland’. We zouden direct moeten terugslaan met een computeraanval op de Iraanse geheime dienst. Probleem is alleen: we weten niet of die er werkelijk achter zit.

De schimmigheid van dader en motief is vaak het probleem bij cybercriminaliteit, cyberspionage en ook cyber-warfare – drie sterk groeiende bedrijfstakken die niet altijd makkelijk van elkaar te onderscheiden zijn. Dat maakt het extra moeilijk om erop te reageren.

Maar stil blijven zitten is ook geen optie. Het systeem van certificaten, die door maar liefst 650 bedrijven uitgegeven kunnen worden, biedt duidelijk niet genoeg zekerheid meer. Burgers, bedrijven en overheden hebben belang bij een overzichtelijker systeem, waar ze zich werkelijk op kunnen verlaten.

De overheid moet haar digitale beveiliging hoe dan ook ernstiger nemen. Dat begint ermee dat ze zich op dit terrein minder afhankelijk maakt van commerciële bedrijven, en zorgt dat ze meer expertise zélf in huis heeft. Dat kost geld, maar er staat ook veel op het spel. De betrouwbaarheid van de communicatie met de burger bijvoorbeeld (bij zulke belangrijke zaken als diens belastingen), en meer in het algemeen de betrouwbaarheid van onze digitale infrastructuur. Een moderne maatschappij kan niet meer functioneren als ze daar niet van op aan kan.

Het is erg als er ingebroken wordt bij Smulweb , maar als het ook bij de digitale notaris van de overheid kan gebeuren, dan is dat een staatszaak van de hoogste urgentie.

Juurd Eijsvoogel