:format(webp)/s3/static.nrc.nl/bvhw/wp-content/blogs.dir/114/files/2020/06/bilic-alylin-vierkant.png)
Terwijl witteboorden-Nederland al een half jaar vanuit huis werkt, en we inmiddels de tweede ‘gedeeltelijke’ lockdown zijn ingegaan, leek één man maandag volledig tegen de stroom in te zwemmen. MIVD-baas Jan Swillens deed een opmerkelijke oproep. In het NOS Journaal van 8 uur verwoordde hij het zo: „Wie geheime informatie wil delen, moet geen enkel risico nemen. Dat is wat wij ook doen.”
Vergaderingen waar geheime informatie besproken wordt (bij welke vergadering is dat niet zo), moeten daarom weer fysiek plaatsvinden, vertelde de generaal-majoor. En bij zo’n fysieke vergadering moeten de smartphone en tablet eruit. Want daarmee luisteren de Russen mee, en anders wel de Chinezen. „Technisch is er ontzettend veel mogelijk”, aldus Swillens. Hackers zetten gewoon op afstand je camera aan. Om over je microfoon nog maar te zwijgen.
Je kunt er lacherig over doen, je kunt je afvragen onder welke steen Swillens het afgelopen halfjaar gelegen heeft – wie komt er nou met zo’n oproep in een periode waarin vrijwel geen fysieke vergadering meer plaatsvindt – maar de generaal-majoor heeft natuurlijk wel een punt.
Want als er één beroepsgroep is die sinds maart likkebaardend zijn werk doet, dan is het wel de malafide hacker. Onze smartphones, voornamelijk verscholen in warme broekzakken, die vóór die tijd bij vergaderingen aanwezig waren: dat was vaak behelpen. Zette je als hacker de camera op afstand aan, dan zag je nog niet veel.
Maar afgelopen maanden kregen hackers een oneindige stroom beelden en geluidsopnames op een presenteerblaadje aangereikt. We zoomden en teamden ons suf. Dat we dat vaak over nauwelijks beveiligde privé-telefoons en -tablets deden, en via onbeveiligde thuis-wifinetwerken weten we, maar daar maakte vrijwel niemand zich druk om. We waren blij dat we het voor elkaar kregen: enigszins normaal doorgaan met ons werk, maar dan vrijwel permanent vanachter de keukentafel.
Daarom is Swillens’ waarschuwing, hoe raar getimed ook, actueler dan ooit. Compliance-afdelingen maken zich doorgaans druk over van alles. Of medewerkers hun scherm wel vergrendelen als ze even naar de wc lopen, bijvoorbeeld. Of ze snappen dat ze thuis hun werksores niet met hun echtgenoot mogen bespreken, wanneer er bedrijfsgevoelige informatie in het geding is. Die medewerkers moeten van Compliance bovendien voor alles en nog wat een overeenkomst tekenen, waarin met astronomische boetes wordt gedreigd wanneer maar iets van de informatie bij een derde belandt.
Maar over diezelfde informatie uitgebreid videobellen via een verbinding die van geen kanten waterdicht is, daar kraait blijkbaar geen Compliance-medewerker naar.
En dat terwijl we het probleem al meer dan 20 jaar kennen. Ik moest denken aan de periode direct na de millenniumwende. Mijn toenmalige werkgever KPN voorzag het ministerie van Justitie van zijn eerste beveiligde internetomgeving. Medewerkers mochten niet langer gevoelige informatie via hun Yahoo- of Hotmail-account versturen. Wat mij toen opviel, was dat vooral hooggeplaatste ambtenaren daar vaak maling aan hadden. Zij hadden geen tijd en zin in ingewikkelde inlogcodes met speciale sleutels.
Tegenwoordig zijn we gelukkig een stuk verder met de beveiliging van de internetverbindingen en onze data. Om bedrijfsspionage te voorkomen, maar vooral ook door strengere (privacy-)wetgeving. Bedrijven die persoonsgegevens op straat laten belanden, lopen (in theorie) het risico van extreme boetes tot 20 miljoen euro of 4 procent van de jaaromzet door Autoriteit Persoonsgegevens. BKR heeft recent nog een recordboete ontvangen van ruim acht ton voor stelselmatige overtreding. Ook UWV en de politie hebben een tik gekregen. In 2019 zijn er eenderde meer lekken geconstateerd dan het jaar ervoor: 27.000 stuks. Zonder dat daar één Russische of Chinese hacker aan te pas kwam.
Dat laatste bewijst dat we de waarschuwing van de MIVD niet serieus genoeg kunnen nemen. Onze economie en samenleving zijn door en door gedigitaliseerd. En dat wordt alleen maar meer met de komst van 5G. Zelfs de koelkast, de cv-ketel en onze toekomstige zelfrijdende auto staan dan in permanent digitaal contact met de buitenwereld, en zullen in toenemende mate autonoom beslissingen nemen op basis van data die ze ontvangen. Het is een nachtmerrie als dat door Russen, Chinezen of terroristen gehackt kan worden.
Maar het idee dat alle ict dan maar weg moet, zodra er gevoelige informatie in het spel is, is natuurlijk onzinnig. Als we die oproep van Swillens serieus hadden genomen, was onze economie in het voorjaar niet met 8,5 procent gekrompen, maar compleet stilgevallen. Veel meer en veel betere beveiliging van onze digitale data: dát is de enige zinnige oplossing. Kun je als burger beginnen met moeilijke wachtwoorden – een kleine bijdrage in de bestrijding van de wereldwijde cyberoorlog.
Aylin Bilic is ondernemer en publicist.