Experts: ‘Partijwebsites kwetsbaar voor hackers’

Veilige verkiezingen

Politieke partijen beschermen hun websites niet goed genoeg. Zo maken ze zich kwetsbaar voor hacks, zeggen experts tegen NRC.

Foto iStock

Politieke partijen lopen het risico slachtoffer te worden van geoefende hackers doordat de beveiliging van hun sites „te weinig aandacht” heeft gehad. Dat blijkt uit eigen onderzoek dat ethisch hacker Sijmen Ruwhof van Secundity meldde aan NRC.

„PvdA, PVV, VVD en CDA hebben bijvoorbeeld al meer dan een jaar bepaalde beveiligingsupdates niet geïnstalleerd op hun partijwebsites, wat die kwetsbaarder maakt voor hackers”, zegt Ruwhof. Hij vreest dat het, vanwege de kwetsbare plekken die hij ziet, voor doorgewinterde hackers of veiligheidsdiensten mogelijk is om inloggegevens van leden te onderscheppen, of valse informatie te publiceren in de aanloop naar de Tweede Kamerverkiezingen van volgende maand. PvdA en VVD bieden hun leden toegang tot een afgeschermd deel van de partijwebsite.

Er zijn op zo veel gebieden risico’s rond de beveiliging van het Nederlandse politieke systeem dat cyberbeveiligingsexperts zich zorgen maken. RTL Nieuws meldde maandagavond dat het systeem waarmee stemmen worden opgeteld „zo lek als een mandje” is. Dat komt vooral doordat software op verouderde computers kan draaien. De Kiesraad zou dit al zes jaar weten en niets hebben veranderd.

Basale securityhygiëne

Ethisch hacker Ruwhof wordt ingehuurd door overheidsinstanties en bedrijven voor beveiligingstesten. Hij noemt nog een voorbeeld van waar het volgens hem aan schort bij partijsites. De beveiliging van het DNS-systeem bij CDA, GroenLinks en VVD blijkt niet in orde. Dat systeem vertaalt een websiteadres naar de technische locatie van de site, als een soort adresboek. Als die beveiliging niet goed is, kan iemand met de juiste expertise bezoekers een vervalste website voorschotelen, zegt Ruwhof. Veel van die kwetsbare plekken vond hij eenvoudig met gratis online securityscanners. „Voer daar het webadres in en er verschijnt een overzicht van waar de beveiliging tekortschiet.”

Waar de site van D66 de beste indruk maakt, scoort de site van de PVV niet al te best, zegt Ruwhof. „Het gaat om het ontbreken van basishandelingen in wat we in het vak ‘securityhygiëne’ noemen”, reageert beveiligingsexpert Robert van Hamburg van Intermax. Hij controleerde de resultaten van Ruwhof op verzoek van NRC en bevestigde zijn bevindingen.

Als zelfstandige organisaties zijn partijen zelf verantwoordelijk voor hun digitale beveiliging. Die kan beter, zo bleek ook toen RTL Nieuws er vorige maand in slaagde om in te breken op socialemedia-accounts van enkele politici en zo bijvoorbeeld vanaf het account van SGP-voorman Kees van der Staaij te twitteren. Vermoedelijk werden wachtwoorden gebruikt die al jaren niet meer gewijzigd waren.

De verkiezingen zijn kwetsbaar, waarschuwt Inge Philips-Bryan, directeur cybersecurity bij adviesbureau Deloitte. Nepnieuws en het verwerken van de stemmen leveren risico op, maar ze ziet ook risico’s bij politieke partijen. „Naar mijn weten was geen van de grote spelers in deze branche benaderd door politieke partijen met beveiligingsvragen”, zegt Philips-Bryan. „Het zou onze eer te na zijn als kwaadwillenden de verkiezingen beïnvloeden, terwijl Nederland juist zo veel digitale kennis in huis heeft.”

Met de hack van de Democratische Partij in de VS in het achterhoofd dringt de noodzaak nu wel door tot de Nederlandse politiek. De afgelopen maanden is gewerkt aan een inhaalslag. Private partijen hadden zulke grote zorgen dat KPN, Deloitte en Stichting Digitale Infrastructuur sinds deze week gratis techneuten ter beschikking hebben gesteld. Zij zijn ondergebracht bij het Nationaal Cyber Security Centrum (NCSC), een instantie die de online weerbaarheid van bedrijven en overheidsdiensten moet vergroten.

Zo zijn er recent meer maatregelen genomen. Het Nationale Detectie Netwerk (NDN) – een samenwerkingsverband van veiligheidsdiensten – gaat het netwerk van de Tweede Kamer ‘scannen’ op gevaar. Dat is vorige week besloten, meldt Dick Schoof, de Nationaal Coördinator Terrorismebestrijding en Veiligheid. Er wordt gescand „op rare activiteit, zoals schadelijke software of een phishingmail”, zegt Schoof. Het NDN zal niet ook de computers van politici scannen. Schoof noemt het niet wenselijk dat een overheidsorgaan op die manier te gevoelige informatie, zoals agenda’s van partijen, tot zich kan nemen.

Vraagbaak in de Tweede Kamer

Een deel van de verantwoordelijkheid blijft dus liggen bij de politici zelf. Daarvoor wees het presidium van de Tweede Kamer vorige maand ook een aantal medewerkers aan bij wie politici terecht kunnen met vragen over online veiligheid. En er was een besloten bijeenkomst met het NCSC en ICT-beheerders van politieke partijen. Partijen werden daar gebriefd over het dreigingsbeeld, en ze kregen praktische adviezen. Aanbevolen werd bijvoorbeeld dat een beperkte hoeveelheid medewerkers toegang heeft tot gevoelige systemen. Zoek de gevoeligste gegevens in de computers en versleutel die extra, luidde ook een advies. En er zou een actieplan moeten zijn voor wanneer een hack plaatsvindt.

Tamelijk basale maatregelen, vonden ook sommige aanwezigen. Toch had het NCSC „politieke partijen eerder veel meer moeten begeleiden,” vindt D66-Kamerlid Kees Verhoeven. Hij vindt dat dit soort informatie „rijkelijk laat” komt. Schoof zegt dat het NCSC „verder in gesprek gaat” met partijen over de veiligheid van de verkiezingen. Fractievoorzitters worden daarnaast nog apart geadviseerd over hun online beveiliging.

Het bewustzijn voor digitale veiligheid is onder Kamerleden flink toegenomen, maar „het schort vaak nog aan het daadwerkelijk orde op zaken stellen”, zegt Verhoeven. Om veiligheidsredenen geeft hij geen voorbeelden van waar het nog misloopt, maar beveiliging van partijsites kan in ieder geval nog een stuk beter, erkent hij. Het D66-Kamerlid vroeg in december een debat aan over de veiligheid van de verkiezingen, maar kreeg daar niet genoeg steun voor.

Maar het gaat dus wel steeds beter, zegt Verhoeven. „Er worden interne discussies gevoerd over bijvoorbeeld veilige VPN-verbindingen. Kamerleden zaten vroeger tijdens buitenlandse reizen soms gewoon op openbare wifinetwerken te werken.”