Huib Modderkolk: ‘Digitalisering wekt de suggestie van veiligheid, maar we weten niet wie meekijkt’
Door Sophie Zwaal
De cyberstrijd tussen inlichtingendiensten raakt steeds meer burgers. Met bulkhacks en spionagesoftware zien zij de gegevens van burgers in en spelen deze door. Volkskrant-journalist Huib Modderkolk schrijft in zijn nieuwe boek Het is oorlog maar niemand die het ziet over de onzichtbare dreiging van de digitale wereld: ‘Iedereen zet zijn fiets op slot omdat je weet dat je fiets anders gestolen wordt, maar digitale beveiliging is net zo belangrijk, soms zelfs belangrijker.’
Wat is het doel van dit boek?
‘Ik wil de impact van digitalisering duidelijk maken. Je kijkt om je heen en ziet dat de hele wereld bezig is met zijn mobiele telefoon en laptop. Wat betekent dat voor onze veiligheid en privacy? Dat was mijn beginvraag. Digitalisering biedt ons veel gemakken en technologie als beveiligingscamera’s wekken de suggestie van veiligheid. Maar we zien niet dat het ook risico’s met zich meebrengt: we weten niet wie er meekijkt met die beveiligingscamera’s. Ik wil die nieuwe risico’s laten zien.’
U beschrijft onder andere de hack op KPN in 2012, waarbij een 17-jarige hacker toegang kreeg tot honderden servers van KPN. Hij kreeg celstraf, maar valt KPN ook iets te verwijten?
‘Dat is een terechte vraag. Laatst kwam aan het licht dat verschillende aanbieders van VPN’s (een veilige verbinding tussen een computer en het internet, red.) een beveiligingslek in hun verbinding hadden. Een aantal bedrijven, waaronder Luchtverkeersleiding Nederland, KLM en Shell, gebruikten die VPN-verbinding maar voerden maandenlang geen updates uit. Hierdoor was het voor hackers heel eenvoudig om aan hun gegevens te komen. Het regelmatig updaten van systemen wordt nog steeds niet serieus genomen, zelfs niet door zulke grote bedrijven. Zij hebben ook geen zicht op welke software ze precies gebruiken, terwijl al onze gegevens hier doorheen gaan.
Als je deze bedrijven om een reactie vraagt zeggen ze voortdurend: ‘Cyberbeveiliging is bij ons topprioriteit’. Maar als het echt topprioriteit was, zou het niet maandenlang openstaan. Er is hier zo weinig zicht op omdat wij nog gewend zijn aan fysieke beveiliging. Iedereen zet zijn fiets op slot omdat je weet dat je fiets anders gestolen wordt, maar digitale beveiliging is net zo belangrijk, soms zelfs belangrijker. Die dreiging zien wij niet, we letten er niet op. Probeer eens de locatie van de Luchtverkeersleiding Nederland binnen te lopen; dat is praktisch onmogelijk, maar digitaal kom je wel binnen.’
‘Het regelmatig updaten van systemen wordt nog steeds niet serieus genomen’
Kunnen grote bedrijven wel een potdichte beveiliging hebben?
‘Veel bedrijven knopen nu zo veel systemen aan elkaar dat ze er moeilijk zicht op kunnen houden. De grote 112-storing bij KPN afgelopen zomer werd bijvoorbeeld veroorzaakt door de software van een externe partij. KPN had hier zelf niets mee te maken, maar het legde hun hele netwerk plat, inclusief de noodlijnen.’
Hoe ziet een gemiddelde hacker eruit?
‘Dat verschilt sterk, er is niet sprake van één profiel. Het kunnen eenlingen zijn, maar ook criminelen of staatseenheden. Vooral geheime diensten hebben zich het terrein van internet toegeëigend. Conflicten worden niet meer traditioneel uitgevochten met een leger, maar door middel van beïnvloeding, manipulatie en hacks. Hier zijn geen regels voor en het is niet duidelijk welk rechtssysteem erop van toepassing is. Geheime diensten doen hun werk in het geheim en dat geeft ze een vrijbrief om ongelimiteerd toe te slaan. Ik noem het een oorlog omdat we er nog niet de juiste woorden voor hebben. Als staten elke dag tegenover elkaar staan en elkaar bestrijden, dan is het oorlog, en dat gebeurt nu in het digitale domein.’
Zijn onschuldige mensen het slachtoffer van een oorlog tussen inlichtingendiensten?
‘De digitalisering geeft inlichtingendiensten wapens waarmee zij conflicten op een nieuwe manier uitvechten en geeft overheden en bedrijven mogelijkheden om gedrag in kaart te brengen. Hackers kunnen ervoor zorgen dat de e-mails van Mark Rutte op straat komen te liggen, maar over het algemeen zijn vooral minderheden en kwetsbare groepen slachtoffer. Er speelt nu een kwestie over toeslagen bij de Belastingdienst, waarbij kwetsbare groepen het recht op toeslag wordt ontnomen op basis van hun inkomen en achtergrond. Incassobureaus doen dat ook: zij delen de bevolking in in kredietwaardig en niet kredietwaardig. Het systeem bepaalt of mensen toeslag krijgen, maar het algoritme dat ze gebruiken is volstrekt ondoorzichtig. De systemen worden boven de mensen geplaatst en daarvan zijn kwetsbare groepen het slachtoffer.’
Foto: Ruud Pos
Het motief om persoonsgegevens in te zien verschilt dus per situatie?
‘Zeker. Het kunnen nobele motieven zijn, maar je ziet dat vooral veel gegevens van mensen onderaan de samenleving worden verzameld, vooral in autoritaire regimes. Kijk naar China, Turkije en Rusland, maar ook naar Engeland, waar gezichtsherkenning en spionagesoftware worden ingezet tegen politieke activisten en demonstranten.’
Hoe verhoudt de AIVD zich tot buitenlandse inlichtingendiensten?
‘Nederland is een bekend tapland. Dat komt vooral door de grote rol van de politie. De AIVD en de MIVD tappen niet zo vaak, maar door nieuwe wetgeving kregen zij wel meer bevoegdheden om grootschalig internetverkeer af te luisteren of bulkhacks uit te voeren, waarbij ze gegevens van heel veel mensen in één keer opvragen. Het risico op misbruik ligt bij deze hacks altijd op de loer: je ziet bij elke geheime dienst de neiging om meer te verzamelen dan strikt noodzakelijk. Om Nederland goed te verdedigen moeten de AIVD en MIVD eigenlijk de mogelijkheid hebben om permanent op internet te surveilleren, maar dat gaat ten koste van onze internetvrijheid. Dat blijft een lastige paradox: we willen enerzijds goed beschermd zijn, anderzijds willen we niet dat het internet permanent gemonitord wordt.’
Is daar een balans tussen te vinden?
‘Het vinden van die balans wordt steeds moeilijker, omdat de mogelijkheden voor inlichtingendiensten eindeloos zijn. Er zijn heus wel oplossingen. Dat begint vooral bij de burger en zijn eigen digitale beveiliging. Je hoeft niet altijd je Wi-Fi en Bluetooth aan te hebben staan en je hoeft niet alles op Facebook te zetten. Als je daarin keuzes maakt, bescherm je jezelf. Ook de overheid kan maatregelen nemen, zoals kiezen voor het gebruik van opensourcesoftware of het versleutelen van medische gegevens. Medische gegevens zijn nu nog via Clouddiensten toegankelijk voor Amerikaanse diensten als de FBI.
Om jezelf te beschermen moet je je eerst verdiepen in de wereld van het internet. Daarom heb ik dit boek geschreven: om zo concreet mogelijk te beschrijven wat er gebeurt, wat de belangen zijn van de hackers en de geheime diensten. Als je dat weet kun je zelf keuzes maken over wat jij belangrijk vindt. Dat verschilt per persoon: sommige mensen worden heel gelukkig van Facebook, anderen willen niet dat hun gegevens worden gedeeld met een hyperkapitalstisch Amerikaans advertentiebedrijf. Pas als mensen meer kennis hebben over hun aanwezigheid op het internet kunnen ze zich gerichter beschermen.’
Huib Modderkolk is onderzoeksjournalist, sinds 2015 werkzaam bij de Volkskrant.
Huib Modderkolk, Het is oorlog maar niemand die het ziet
Uitgeverij Podium, 256 p., €20,50
Bestel het boek in onze webshop.
Welkom bij Maarten!
Maak eenmalig een gratis account aan en krijg toegang tot al onze artikelen. Lees gratis op onze site en ontvang elke twee weken nieuws, diepgravende artikelen, interviews, evenementen en acties van Maarten! in uw mailbox.
InloggenRegistreren