Op 17 maart gaat Nederland naar de stembus. Wij zijn jouw bron van verlichting in de democratische duisternis.
Advertentie
Hackers hebben zich verkneukeld voor de televisie, lijkt me. Des te meer, omdat minister van justitie Ferd Grapperhaus nog altijd aan een plan werkt om de versleuteling van berichten-apps zwakker te maken, in plaats van de cybersecurity te versterken. Maar moeten we bang zijn dat het land in de toekomst gehackt wordt door cybercriminelen? En wat stemmen hackers zelf eigenlijk? We vroegen het Victor Gevers (44), één van ‘s lands prominente ethisch hackers. Gevers is voorzitter van DIVD, een vrijwilligersorganisatie van hackers die de kwetsbaarheden van het internet aantonen en oplossen. Daarnaast is hij bekend van zijn inbraak in het twitteraccount van de Amerikaanse ex-president Donald Trump toen die nog president was. VICE: Hoi Victor, hoe staat het er volgens jou voor met de ~cyber~ in Nederland?
Binnen Nederland zijn we al jaren onderweg om cybersecurity op peil te brengen. Het gaat goed hoor. Maar, dat gezegd hebbende: er zitten kwetsbare elementen in het beleid. Iedere overheidsorganisatie houdt zich bezig met zijn eigen stuk, maar bijna niemand houdt zich bezig met het veilig houden van het hele internet. Dat proberen wij met DIVD wel te doen, maar we hebben lang niet genoeg mensen om alles in de gaten te houden. Er zou veel meer samen moeten worden gewerkt en informatie moeten worden gedeeld.
Binnen Nederland zijn we al jaren onderweg om cybersecurity op peil te brengen. Het gaat goed hoor. Maar, dat gezegd hebbende: er zitten kwetsbare elementen in het beleid. Iedere overheidsorganisatie houdt zich bezig met zijn eigen stuk, maar bijna niemand houdt zich bezig met het veilig houden van het hele internet. Dat proberen wij met DIVD wel te doen, maar we hebben lang niet genoeg mensen om alles in de gaten te houden. Er zou veel meer samen moeten worden gewerkt en informatie moeten worden gedeeld.
Advertentie
Zijn er politieke partijen die zich daar hard voor maken of is dit geen politieke kwestie?
Nou ja, ik heb het nog niet kunnen bespeuren in de programma’s van politieke partijen. Er zijn ook een heleboel nieuwe politieke partijen op komst, en daar zie je wel: het internet is belangrijk. Maar het staat zeker niet bovenaan, iedereen is bezig met corona, en met de economie. Er zijn natuurlijk partijen zoals de Piratenpartij, waarbij het wel zo is. Maar de vraag is: gaat de piratenpartij regeren? Die kans is erg klein, bijna niet aanwezig. Onze grootste zorg is dat het beetje IT-kennis dat er was in de Tweede Kamer is vertrokken met Astrid Oosenburg (zij heeft een eigen IT-bedrijf, zit in DIVD en is expert in cybersecurity, red.). Waarom is dat erg?
Alles wat met ICT te maken gaat moeizaam bij de overheid. Je ziet nu dat ze bijvoorbeeld dat ze van bepaalde diensten (zoals whatsapp, red.) de encryptie wat zwakker willen maken, want dan kunnen ze de mensen beter in de gaten houden. Dat is een begrijpelijke gedachte, maar wiskundig kan het niet eens. Het zou fijn zijn als huidige generatie politici gewoon even zorgt voor de dingen die nog goed werken, zoals het internet. Anders komt dat óók nog op het bordje van de volgende generatie, naast klimaatverandering, de sociale onrust en een eventuele economische reset die er nog aan zitten te komen. Wat ga jij zelf stemmen?
Ik weet het nog niet, ik ga toch maar weer de stemwijzer doen. Dat heb ik vorige keer ook gedaan maar toen kwam ik erachter dat mijn cookies getrackt werden. Daar heb ik nog wat heibel over zitten maken. Spelen de ICT-standpunten een grote rol bij hackers in wat ze stemmen?
Nee. Het is persoonlijk, en er is een hele grote diversiteit aan politieke overtuigingen onder hackers.
Dus jij zou ook kunnen stemmen op een partij waar je het helemaal mee eens bent behalve wat betreft de internet-standpunten?
Ja, maar ik zou me er dan wel tegenaan gaan bemoeien. Toen de Wet op de Inlichtingendiensten (WIV) werd aangenomen in 2017, ben ik in het expertpanel van de Tweede Kamer gaan zitten, om de zwakke punten uit de wetgeving te halen. Ik was toen tegen het idee dat de AIVD ongelimiteerd kon monitoren en filteren. Toen hebben ze een juridische toets ingevoerd, en ook vastgelegd hoeveel AIVD-medewerkers hieraan mochten werken, zodat ze niet de capaciteit hadden om heel Nederland te sleepnetten.
Wat kan er nog meer beter op het gebied van politiek en technologie?
Ik erger me ook kapot aan hoe we stemmen. Het gaat nu met potlood, omdat ze bang zijn dat er gefraudeerd wordt bij electronisch stemmen. Maar van die angst moeten we een keer af stappen, of we moeten gewoon zorgen dat er niet meer gefraudeerd kan worden. En dan kunnen er ook referenda komen. Daar is behoefte aan: dan kan de overheid sneller en flexibeler kan handelen.
Denk je dat er niet-ethische hackers zijn die expres op de meest digibete partij stemmen?
Nee, want dingen zoals het verzwakken van die encryptie werken alleen maar tegen ze. Criminelen gebruiken PGP-encriptie, zodat ze niet kunnen worden opgespoord. Een cybercrimineel zou juist eerder op de piratenpartij stemmen, waarbij privacy hoog in het vaandel staat.
De PvdA was laatst gehackt, betekent dat dat zij hun cyberbeleid het slechtste op orde hebben van alle partijen?
Volgens mij is er bij elke politieke partij wel iets te vinden. Mensen die wachtwoorden opnieuw gebruiken, gebruik maken van oude office-pakketten. Van beleidsstukken die naar de Tweede Kamer gestuurd worden kun je soms uit de meta-data halen dat de kamerleden nog met office 2003 werken. Uiteindelijk zijn politici mensen; mensen die altijd druk bezig zijn, altijd haast hebben, even snel op whatsapp dingetjes met elkaar delen. We hebben ook een minister gehad die gewoon staatsgeheime documenten deelt via Google Drive (Stef Blok, red.).
Oei. Over Google gesproken, techbedrijven worden steeds machtiger. Moet het internet de komende tijd meer gereguleerd worden?
Het reguleren gaat wel goed. Maar veel met name Amerikaanse bedrijven hebben maling aan de regels, zoals de AVG (Algemene Verordening Gegevensbescherming, red.). Ze zijn te groot en te machtig. Onze overheid, de waakhond daarvoor, die zegt dan: "ja, oké, ze willen niet." De overheid is al een paar keer belazerd door grote techbedrijven, en toch blijven we met die partijen in zee gaan. Omdat door aanbestedingswetgeving altijd het goedkoopste wordt gekozen en niet het beste. En soms ook niet het meest ethische. Je kunt je afvragen: zitten we wel op de goede koers? Je zou veel meer naar open source-oplossingen kunnen kijken, zodat de overheid zelf de controle heeft en niet de bedrijven.
Wat is het ergste cyberdoemscenario?
Mijn grootste zorg is dat er buitenlandse inmenging gaat gebeuren bij onze verkiezingen. Die inmenging is er al, de invloed van buitenaf. Mensen uiten zich zo getriggerd en boos via sociale media, dan heb ik soms het idee dat dat is aangewakkerd door derden.
Russen?
Bepaalde politieke stromen uit het buitenland. Het hoeft niet meteen China of Rusland te zijn, maar kan ook België of Frankrijk zijn. In bijna elk land zijn wel lobbygroepen die hun standpunten online uitdragen. Soms neemt dat de vorm aan van een complottheorie of fake news, en doordat veel mensen verplicht thuis moeten zitten en veel tijd achter de computer doorbrengen, worden die boodschappen versterkt.
Jij hebt Donald Trump gehackt, was dat ook politieke inmenging?
Nee, helemaal niet. In 2016 was er een Linkedin-database met vertrouwelijke gegevens publiekelijk geworden en daar zaten een heleboel mensen in: vrienden, collega’s, mensen in belangrijke posities, en toevallig ook Trump. Mijn team en ik hebben ze allemaal netjes een e-mailtje gestuurd. We hadden toen helemaal niet verwacht dat Trump ook president zou worden. Hij werd het wel, en toen ging ik later nog even kijken of de beveiliging inmiddels op orde was, maar dat viel dus tegen. Tijdens zo'n campagnerally filmden ze de persroom waar ergens een briefje met het wifiwachtwoord lag: MAGA2020!. Ik dacht, zo dom zullen ze toch niet zijn, dat ze overal hetzelfde wachtwoord voor gebruiken? Zo dom waren ze wel.
Deze week was Jinek ook nog op die manier gehackt. Maar heet het wel een hack als je ergens een wachtwoord ziet liggen en dan inlogt?
Ik vind het zelf geen hack. Ik vind het meer het aantonen dat het wachtwoord niet sterk genoeg is, en dat het wachtwoord niet goed bewaard word. Als je dan vervolgens zorgt dat het opgelost wordt, dan heb je goed bijgedragen. Journalisten noemen je dan een hacker, ik vind het prima. Een hack is in principe niets anders dan een creatieve oplossing voor een probleem.
Oké, bedankt Victor!
Nou ja, ik heb het nog niet kunnen bespeuren in de programma’s van politieke partijen. Er zijn ook een heleboel nieuwe politieke partijen op komst, en daar zie je wel: het internet is belangrijk. Maar het staat zeker niet bovenaan, iedereen is bezig met corona, en met de economie. Er zijn natuurlijk partijen zoals de Piratenpartij, waarbij het wel zo is. Maar de vraag is: gaat de piratenpartij regeren? Die kans is erg klein, bijna niet aanwezig. Onze grootste zorg is dat het beetje IT-kennis dat er was in de Tweede Kamer is vertrokken met Astrid Oosenburg (zij heeft een eigen IT-bedrijf, zit in DIVD en is expert in cybersecurity, red.). Waarom is dat erg?
Alles wat met ICT te maken gaat moeizaam bij de overheid. Je ziet nu dat ze bijvoorbeeld dat ze van bepaalde diensten (zoals whatsapp, red.) de encryptie wat zwakker willen maken, want dan kunnen ze de mensen beter in de gaten houden. Dat is een begrijpelijke gedachte, maar wiskundig kan het niet eens. Het zou fijn zijn als huidige generatie politici gewoon even zorgt voor de dingen die nog goed werken, zoals het internet. Anders komt dat óók nog op het bordje van de volgende generatie, naast klimaatverandering, de sociale onrust en een eventuele economische reset die er nog aan zitten te komen. Wat ga jij zelf stemmen?
Ik weet het nog niet, ik ga toch maar weer de stemwijzer doen. Dat heb ik vorige keer ook gedaan maar toen kwam ik erachter dat mijn cookies getrackt werden. Daar heb ik nog wat heibel over zitten maken. Spelen de ICT-standpunten een grote rol bij hackers in wat ze stemmen?
Nee. Het is persoonlijk, en er is een hele grote diversiteit aan politieke overtuigingen onder hackers.
Dus jij zou ook kunnen stemmen op een partij waar je het helemaal mee eens bent behalve wat betreft de internet-standpunten?
Ja, maar ik zou me er dan wel tegenaan gaan bemoeien. Toen de Wet op de Inlichtingendiensten (WIV) werd aangenomen in 2017, ben ik in het expertpanel van de Tweede Kamer gaan zitten, om de zwakke punten uit de wetgeving te halen. Ik was toen tegen het idee dat de AIVD ongelimiteerd kon monitoren en filteren. Toen hebben ze een juridische toets ingevoerd, en ook vastgelegd hoeveel AIVD-medewerkers hieraan mochten werken, zodat ze niet de capaciteit hadden om heel Nederland te sleepnetten.
Wat kan er nog meer beter op het gebied van politiek en technologie?
Ik erger me ook kapot aan hoe we stemmen. Het gaat nu met potlood, omdat ze bang zijn dat er gefraudeerd wordt bij electronisch stemmen. Maar van die angst moeten we een keer af stappen, of we moeten gewoon zorgen dat er niet meer gefraudeerd kan worden. En dan kunnen er ook referenda komen. Daar is behoefte aan: dan kan de overheid sneller en flexibeler kan handelen.
Denk je dat er niet-ethische hackers zijn die expres op de meest digibete partij stemmen?
Nee, want dingen zoals het verzwakken van die encryptie werken alleen maar tegen ze. Criminelen gebruiken PGP-encriptie, zodat ze niet kunnen worden opgespoord. Een cybercrimineel zou juist eerder op de piratenpartij stemmen, waarbij privacy hoog in het vaandel staat.
De PvdA was laatst gehackt, betekent dat dat zij hun cyberbeleid het slechtste op orde hebben van alle partijen?
Volgens mij is er bij elke politieke partij wel iets te vinden. Mensen die wachtwoorden opnieuw gebruiken, gebruik maken van oude office-pakketten. Van beleidsstukken die naar de Tweede Kamer gestuurd worden kun je soms uit de meta-data halen dat de kamerleden nog met office 2003 werken. Uiteindelijk zijn politici mensen; mensen die altijd druk bezig zijn, altijd haast hebben, even snel op whatsapp dingetjes met elkaar delen. We hebben ook een minister gehad die gewoon staatsgeheime documenten deelt via Google Drive (Stef Blok, red.).
Oei. Over Google gesproken, techbedrijven worden steeds machtiger. Moet het internet de komende tijd meer gereguleerd worden?
Het reguleren gaat wel goed. Maar veel met name Amerikaanse bedrijven hebben maling aan de regels, zoals de AVG (Algemene Verordening Gegevensbescherming, red.). Ze zijn te groot en te machtig. Onze overheid, de waakhond daarvoor, die zegt dan: "ja, oké, ze willen niet." De overheid is al een paar keer belazerd door grote techbedrijven, en toch blijven we met die partijen in zee gaan. Omdat door aanbestedingswetgeving altijd het goedkoopste wordt gekozen en niet het beste. En soms ook niet het meest ethische. Je kunt je afvragen: zitten we wel op de goede koers? Je zou veel meer naar open source-oplossingen kunnen kijken, zodat de overheid zelf de controle heeft en niet de bedrijven.
Wat is het ergste cyberdoemscenario?
Mijn grootste zorg is dat er buitenlandse inmenging gaat gebeuren bij onze verkiezingen. Die inmenging is er al, de invloed van buitenaf. Mensen uiten zich zo getriggerd en boos via sociale media, dan heb ik soms het idee dat dat is aangewakkerd door derden.
Russen?
Bepaalde politieke stromen uit het buitenland. Het hoeft niet meteen China of Rusland te zijn, maar kan ook België of Frankrijk zijn. In bijna elk land zijn wel lobbygroepen die hun standpunten online uitdragen. Soms neemt dat de vorm aan van een complottheorie of fake news, en doordat veel mensen verplicht thuis moeten zitten en veel tijd achter de computer doorbrengen, worden die boodschappen versterkt.
Jij hebt Donald Trump gehackt, was dat ook politieke inmenging?
Nee, helemaal niet. In 2016 was er een Linkedin-database met vertrouwelijke gegevens publiekelijk geworden en daar zaten een heleboel mensen in: vrienden, collega’s, mensen in belangrijke posities, en toevallig ook Trump. Mijn team en ik hebben ze allemaal netjes een e-mailtje gestuurd. We hadden toen helemaal niet verwacht dat Trump ook president zou worden. Hij werd het wel, en toen ging ik later nog even kijken of de beveiliging inmiddels op orde was, maar dat viel dus tegen. Tijdens zo'n campagnerally filmden ze de persroom waar ergens een briefje met het wifiwachtwoord lag: MAGA2020!. Ik dacht, zo dom zullen ze toch niet zijn, dat ze overal hetzelfde wachtwoord voor gebruiken? Zo dom waren ze wel.
Deze week was Jinek ook nog op die manier gehackt. Maar heet het wel een hack als je ergens een wachtwoord ziet liggen en dan inlogt?
Ik vind het zelf geen hack. Ik vind het meer het aantonen dat het wachtwoord niet sterk genoeg is, en dat het wachtwoord niet goed bewaard word. Als je dan vervolgens zorgt dat het opgelost wordt, dan heb je goed bijgedragen. Journalisten noemen je dan een hacker, ik vind het prima. Een hack is in principe niets anders dan een creatieve oplossing voor een probleem.
Oké, bedankt Victor!