Opstelten, pak KPN nu eens aan
Het beleid van minister Opstelten rond cybersecurity wordt actief ondermijnd door een zwaar gehavende vijfde colonne: KPN. Zij knagen aan de geloofwaardigheid. Tijd voor een open brief.
Zeer geachte heer Opstelten, Excellentie,
U bent een drijvende kracht achter de cybersecuritystrategie van Nederland. Een belangrijk onderdeel is zorgen dat de burger met een gerust hart digitaal actief kan zijn. Dat vertrouwen is bijvoorbeeld door Diginotar ernstig aangetast. De talloze privacygevoelige datalekken bij een schier oneindige groep bedrijven en overheden maken dat niet beter. Gelukkig wordt u bijgestaan door de Cybersecurityraad, die u dient met strategisch advies. Uw eigen coördinator terrorismebestrijding deelt het voorzitterschap met KPN. Ik zal het maar direct zeggen: dit gaat niet goed.
Ik zal dit goed uitleggen. Het grote probleem van Diginotar was niet dat het bedrijf was gehacked, maar dat ze het stil hielden. Zelfs toen ze realiseerden dat er misbruik werd gemaakt vanuit Iran, kwam het bedrijf er niet mee naar buiten. Inmiddels sluit uw ambtelijke staf niet uit dat er mensenlevens door de hack in gevaar zijn. Die geheimzinnigheid zien we vaker. Neem de webwinkel Replace Direct. Hun website vol klantgegevens werd gehacked en de gestolen data door oplichters misbruikt. Pas na een column op deze site zijn klanten gedeeltelijk geïnformeerd door de onderneming, maar het hoe en wat van de hack blijft geheim.
Het kan beter
Toch hoeft het niet zo te lopen, want openheid is niet moeilijk. Neem het bedrijf Cloudflare. Zij leveren een dienst die websites versnelt, meer capaciteit geeft en beschermt tegen veelvoorkomende aanvallen. Ik ben klant sinds een hack van mijn website. Een vertrouwde hacker prees het aan als ‘het beste wat de wereld overkwam sinds de uitvinding van internet’.
Afgelopen week werd het bedrijf gehacked. Via Google Apps – dat ze gebruiken – was een hacker binnen gekomen bij het administratieve systeem. Al snel werd duidelijk dat ook het voicemailsysteem van AT&T is gehacked. Hoe ik dat allemaal weet? Omdat het bedrijf mij actief op de hoogte houdt van de gebeurtenissen via mail en via een blogpost. Zelfs de relevante lessen worden gedeeld. Lessen voor het bedrijf en de klant. Door het delen van kennis maakt internet veiliger, zo zeggen erkennen klanten op hun site.
Niet KPN
Maar niet KPN. Het bedrijf werd gehacked op 16 januari, maar hield de hack weken geheim omdat ze eerst maatregelen wilden nemen om zwaar verouderde software bij te werken. Natuurlijk beloofden ze beterschap en wij gunnen ze een nieuwe kans.
Maar er speelt meer bij het bedrijf. In december 2011 onthulde ik dat ook een onderdeel van KPN dat certificaten levert, Gemnet, werd gehacked. Die hack volgde op een hack op een ander onderdeel (KPN Getronics), waardoor de uitgifte van certificaten werd gestopt. Later zou het bedrijf tegenover mij zeggen dat het slechts ‘een vlekje op de website’ betrof. Maar het weigert – ondanks intensieve pogingen van mijn kant – openheid te geven.
Ondertussen ligt Gemnet opnieuw onder vuur. Een beveiligingsonderzoeker Rickey Gevers ontdekte dat er nog steeds certificaten niet zijn ingetrokken en dus misbruikt kunnen worden. Dat laat het filmpje op zijn website mooi zien. Maar in een persbericht van KPN wordt de indruk gewekt dat er niets aan de hand is, terwijl dat wel het geval is. Waarom een persbericht wordt uitgegeven is mij een raadsel. Waarom Rickey niet gewoon de eer van KPN krijgt is mij ook een raadsel En ik snap al helemaal niet dat KPN op 1 juni een probleem oplost en pas op 6 juni naar buiten treedt. Cloudflare werd op 1 juni gehacked en trad meteen dezelfde dag naar buiten.
Vervangen die hap
Ik ben er wel klaar mee. Bij Diginotar wankelde PKI/Overheid en nu gooit KPN weer met de pet naar de hele certificatenbusiness. Dat is slecht voor het vertrouwen in certificaten en dus online zaken doen. Het is een slecht voorbeeld van beveiliging en niet meer van deze tijd. Dat bedrijf zit de Cybersecurityraad voor? Wat voor adviezen mag ik dan verwachten als burger van wie de gegevens goed moeten worden beschermd? En die geheimzinnigheid rond alles wat onze persoonsgegevens moet beschermen zou nog wel eens strijdig met de Wet Bescherming Persoonsgegevens kunnen zijn.
Deze niet open houding past niet in goede beveiliging. We zitten midden in een wedstrijd tegen cybercriminelen en ik wil dat zowel uw cybersecuritystrategie als de Cybersecurityraad dit winnen. Dus stel ik een wissel voor. Doe ik anders nooit, maar nu wel. Haal KPN uit de wedstrijd, want ze kunnen het gewoon niet. Zet de CEO van Cloudflare aan het hoofd en wij burgers krijgen subiet meer vertrouwen in het kunnen van de overheid rond beveiliging. Als KPN wel open communiceert mogen ze van de reservebank misschien meespelen bij het strafschoppen schieten. De strafschoppen verliezen we toch, dus wie dat doet, is niet zo belangrijk.
Met vriendelijke groet,
Brenno de Winter
p.s. Niet schrikken maar binnenkort kom ik met een paar lekken om wat onzinnige beveiligingsmaatregelen de nek om te draaien. Beveiliging is en blijft ook een verhaal van de juiste keuzes maken.
