Altijd op zoek naar digitaal schandaal

In ‘lektober’ onthult Brenno de Winter iedere werkdag een digitaal overheidsprobleem. Zijn samenwerking met hackers is omstreden. Wie is deze activistische journalist?

Nederland, Rotterdam, 02-08-11, Brenno de Winter, onderzoeksjournalist en expert in hacken van computers. foto Jan de Groen Jan de Groen/Hollandse Hoogte

Hij komt soms pedant over. Want technologiejournalist Brenno de Winter gebruikt graag grote woorden. De staat van de ICT van de Nederlandse overheid is volgens hem niet gewoon slecht, maar ‘een enórme puinhoop’. Het feit dat de overheid daar tot nu toe maar weinig aan lijkt te doen, is niet minder dan ‘een gróót schandaal’.

Volgens vrienden en bekenden draaft hij wel eens door. Brenno de Winter wil er nog wel eens ‘met gestrekt been’ inkomen. Tegelijkertijd is hij ontwapenend open en vriendelijk – een beetje verlegen haast. „Ik heb niet de bedoeling om mensen te kwetsen”, zegt hij zelf.

Brenno de Winter heeft een duidelijke mening. En hij wil de maatschappij graag overtuigen van zijn gelijk. Het is een eigenschap die hij deelt met veel computerhackers, zegt hij. „Het gevoel van: zie je nou wel? I told you so.”

2011 is een gedenkwaardig jaar in de carrière van freelance journalist Brenno de Winter (39). In januari liet hij op het NOS-journaal zien hoe de OV-chipcard – ondanks hardnekkige ontkenningen van de verantwoordelijk minister – eenvoudig te kraken was. Vanwege dat feit was hij een half jaar later ineens verdachte. Een groot deel van de Tweede Kamer overweegt nu om hacken te laten opnemen in de nieuwe wet die klokkenluiders moet beschermen.

Vorige maand seponeerde het OM de zaak tegen De Winter. Meteen daarna brak een ICT-crisis uit die zijn centrale boodschap in één klap duidelijk maakte: de overheid schiet structureel tekort bij de beveiliging van ICT. Na een inbraak van Iraanse hackers bij het bedrijf DigiNotar kondigde het kabinet de hoogste staat van alarm af. DigiNotar was de hofleverancier van ‘certificaten’ voor veilig internetverkeer. Nu die niet meer konden worden vertrouwd, dreigde een groot deel van de overheids-ICT op zwart te gaan.

Brenno de Winter is ondertussen begonnen met een campagne om te laten zien dat het ICT-probleem nog veel groter is. De Winter en het webmagazine Webwereld hebben de maand oktober uitgeroepen tot ‘Lektober’. Elke werkdag publiceert de website tenminste één beveiligingslek van een Nederlands bedrijf of overheidsinstelling. Afgelopen maandag waren het er zeven tegelijk – allemaal gemeenten. De sites van Arnhem, Emmeloord, Hellendoorn, Hilversum, Nijmegen, Noordoostpolder en Rotterdam bleken niet bestand tegen een simpele aanval met behulp van cross-site scripting. In theorie kon daarmee worden ingebroken bij burgers die inlogden met hun DigiD. Voor publicatie kregen de gemeenten de kans om het lek te dichten. Toch heeft de Vereniging van Nederlandse gemeenten (VNG) haar leden geadviseerd om de beveiliging van gemeentelijke websites nog eens goed tegen het licht te houden.

Als klein jongetje van zeven jaar oud nam zijn vader Brenno mee naar de computerafdeling van een grote verzekeraar in Eindhoven. Op elke terminal tikte hij de volgende twee regels in:

10 PRINT "BRENNO"

20 GOTO 10

Deze eindeloze opdracht was genoeg om het systeem van de verzekeraar vast te laten lopen.

Na een mislukte studie theologie studeerde De Winter informatie- en organisatiekunde. Hij ging werken als it-adviseur. Rond 1999 begon hij te schrijven: eerst voor het Amerikaanse blad Linux Magazine, later ook voor Nederlandse bladen en websites. Aanvankelijk was dat geen succes. „Ik kon geen hoofd- van bijzaken onderscheiden, zeiden ze. Ik zou nooit wat bereiken in de journalistiek.”

Zoiets moet je niet zeggen tegen iemand als Brenno de Winter. Tien jaar later heeft de voormalige IT-consultant zich opgewerkt tot een van de meest invloedrijke technologiejournalisten van Nederland. De Winter schrijft geen consumentenverhalen over de nieuwe iPhone, maar legt schandalen bloot. Zijn bronnen komen vooral uit de hackerscene, met wie hij als sinds zijn vijftiende nauwe banden onderhoudt.

Voormalig hacker en activist Rop Gonggrijp, oprichter van internetprovider XS4ALL, was een belangrijke figuur in zijn journalistieke ontwikkeling. In 2006 begon Gonggrijp een actiegroep tegen het gebruik van stemcomputers. De systematische aanpak van de actiegroep ‘Wij vertrouwen stemcomputers niet’ wekte de bewondering van it-journalist De Winter, vertelt Gonggrijp. „Onze methode inspireerde hem.”

Gonggrijp zette een breed scala van middelen in, van wetenschap tot journalistiek onderzoek en hacken. De actiegroep vroeg een groot aantal stukken op via de Wet openbaarheid van bestuur (Wob). De Wob werd ook een favoriet wapen van Brenno de Winter. Tijdens een hoorzitting in de Tweede Kamer stelde hij zich enkele weken geleden voor als „The Big Wobber”. Een ludieke opmerking, volgens hemzelf.

Wob-expert Roger Vleugels vindt dat Brenno de Winter zich het ‘wobben’ snel eigen heeft gemaakt – al moet hij volgens Vleugels vaker door procederen na een afgewezen bezwaarschrift. „Ik vind zijn werk een verrijking van de journalistiek. Hij hanteert de Wob en hij houdt contact met hackers. Dat zijn twee instrumenten waarin de traditionele journalistiek slecht in is.”

Toch zijn de meningen verdeeld over de ‘methode De Winter’. PvdA-Kamerlid Pierre Heijnen – die ICT in zijn portefeuille heeft – spreekt enthousiast over „participerende onderzoeksjournalistiek”. Volgens Heijnen is De Winter „de Günther Wallraff van deze tijd”. Maar critici vragen zich af of hij in zijn contacten met de ondergrondse hackerswereld geen grenzen overschrijdt.

Zelf hackt hij niet, zegt De Winter. Evenmin geeft hij sturing aan de hackers die hem van primeurs voorzien. „Ik ben juist heel terughoudend”, zegt De Winter. „Ik ga niet tegen mensen zeggen, ga dit doen, ga dát doen.”

Maar Ronald Prins, directeur van ICT-beveiligingsbedrijf Fox-IT, vindt dat een beetje een academisch onderscheid. „Hij fungeert wél als aanjager. Hackers weten dat ze bij hem terecht kunnen. Hij geeft ze een podium.” Volgens Prins heeft De Winter zijn punt gemaakt: ICT-veiligheid is in het middelpunt van de belangstelling komen te staan. „Lektober kan stoppen.”

Kamerlid Heijnen is het daar niet mee eens. „Er is totaal geen gevoel van urgentie.” Als het aan Heijnen ligt, valt digitale inbraak – mits met zuivere intenties gepleegd – straks onder de nieuwe klokkenluiderswet. Kamerlid Sharon Gesthuizen (SP) vindt dat vooralsnog een brug te ver. „Wat niet wegneemt dat de ICT van de overheid een drama is. Voorlopig kunnen we niet zonder mensen als Brenno.”