Matthias Dobbelaere-Welvaert

‘Moeten we een overheid vertrouwen, wanneer ze keer op keer bewijst het vertrouwen niet waard te zijn?’

Matthias Dobbelaere-Welvaert directeur en privacyactivist bij 'the Ministry of Privacy'.

‘We moeten ons  schrap zetten voor véél meer aanvallen en datadiefstallen bij instanties en besturen’, schrijft privacyactivist Matthias Dobbelaere-Welvaert over de hackers die stadsdiensten van Antwerpen binnendrongen. ‘We kunnen weinig meer doen dan hopen dat men hier iets uit leert.’

Ah, Antwerpen. Best wel een mooie stad, maar ik woon er niet. Op de Meetjeslandse parking waar ik vertoef, zijn de koeien baas, maar het is er toch net wat rustiger. Ook rustiger is het momenteel in mijn gemeente, waar de paniek nog niet is losgeslagen en waar men nog lustig vingerafdrukken pleurt op nieuwe identiteitskaarten. “Het zal hier wel niet voorkomen”, denken ze daar vast. Dan moeten ze misschien eens Diest bezoeken.

Want dat dit stukje enkel over Antwerpen gaat, zou een grote misvatting zijn. Audit Vlaanderen deed in 2018 haar eerste ‘themastudie’ rond cyberveiligheid bij lokale besturen. Leest u even mee: “Bij 24 van de 28 besturen konden de ingehuurde ethische hackers controle krijgen over de volledige IT-omgeving of de belangrijkste delen ervan. Dergelijke controle laat toe de werking stil te leggen, kennis te nemen van alle gegevens en deze te manipuleren.”.

Dan kan je toch niet zeggen dat je van niets wist? Hoewel in daaropvolgende studies de situatie lichte beterschap vertoonde, bracht Datanews in 2021 dat meer dan de helft van de Vlaamse gemeenten haar ICT-veiligheid niet laat doorlichten. Dat is geen naïviteit meer, maar pure kwade wil.

Hacking

Ik ben boos. Want onze overheden vragen bijzonder veel vertrouwen aan ons, burgers. Vertrouwen dat men keer op keer beschaamt: niet enkel door slachtoffer te worden van ransomware (een goede dief raakt overal binnen), maar wel door telkenmale dermate nonchalant om te springen met gevoelige gegevens van hun burgers, dat criminelen niets minder dan een rode loper uitgerold krijgen. En dan is er nog de communicatie. Antwerpen is geen kleine boerengemeente. Het is de grootste stad van Vlaanderen (wat we toch voldoende moeten horen) met ongeveer een half miljoen inwoners. Men beschikt over een performante communicatiedienst. Het minste wat je mag verwachten – en dit dateert uit elk oud handboek over cybercrime – is minimale transparantie. Die is er vandaag niet, en men houdt stijf de lippen op elkaar over de omvang van de hack, welke databases en types van informatie is gelekt, en hoe ze de situatie willen repareren. Een woordvoerder van de Stad Antwerpen liet zich ontvallen dat ze “de criminelen nog niet slimmer willen maken”, maar in mijn bescheiden opinie is daar toch weinig risico toe.

Biometrie: je hebt er maar ééntje van

Dan blijft natuurlijk de vraag openstaan: welke data ligt er nu op straat? De enige die dat met zekerheid weet, is Antwerpen (en de hackers). Op hun kanaal in de dark web spreken de hackers van identiteitskaarten, paspoorten, financiële documenten en meer. Ze beschikken over 557 gigabytes, maar op zich zegt dat niet zoveel. Er zijn redelijk wat stevige thuisgebruikers die beschikken over terabytes (dat is duizendmaal een gigabyte) aan data.

(Lees verder onder het artikel.)

Het is dus vooral bang afwachten. Er is discussie of men ook aan de vingerafdrukken kon. De opname van vingerafdrukken verloopt immers via een aparte applicatie, Belpic. Men heeft anderzijds daar wel toegang toe op gemeentelijk niveau, anders kan men geen vingerafdrukken scannen en bewaren. Eigenlijk is die discussie zelfs niet relevant: op identiteitskaarten en paspoorten staat ook uw – al dan niet lieflijk – gezicht, en daar heb je maar ééntje van. Biometrische data is in dat geval sowieso gestolen.

Wat de vingerafdrukken betreft, hebben we het alleszins ooit wel gevraagd aan het Grondwettelijk Hof: “De keuze van de regering om het digitale beeld van de vingerafdrukken in te zamelen en op te slaan op de chip van de kaart vormt volgens de EDPS niet de meest opportune keuze gelet op het risico van onrechtmatig gebruik van de identiteit in geval van hacking van de gegevens die voorkomen op de elektronische chip van de kaart. Deze keuze dient dus te worden herzien”.

Het Hof wou er niet van weten: “Hoewel het juist is dat de diefstal van gegevens met betrekking tot de vingerafdrukken voor de betrokken persoon, wiens identiteit zou kunnen worden overgenomen, ernstige nadelen met zich kan meebrengen, blijft het feit dat dat risico aanzienlijk kan worden ingeperkt door de beperkte bewaartermijn van de gegevens, ten behoeve van het aanmaken en het afgeven van de kaart, alsook door de technische beveiligingsmaatregelen die de Koning moet treffen. Daarenboven is het, zoals de minister van Veiligheid en Binnenlandse Zaken in de Kamercommissie opmerkte, « voor wie iemands vingerafdrukken wil ‘ ontvreemden ’ makkelijker […] een voorwerp te nemen waarop de betrokkene zijn of haar vingerafdrukken heeft achtergelaten dan te proberen zich de afdrukken toe te eigenen die op de identiteitskaart weergegeven zullen staan »

Tja. Als student leerde ik dat het Grondwettelijk Hof vooral bestaat uit wetten te handhaven, en niet om te vernietigen. Ze doen hun reputatie nog steeds eer aan, zeker wanneer men zo’n non-argument van toenmalig minister van Binnenlandse Zaken Jan Jambon (N-VA) oprakelt als argumentatie.

Hoe moet het nu verder?

Bart Somers (Open VLD) bracht het mirakel (en zeker geen paniekvoetbal!): de ‘Cyber War Room’. Want iedereen weet dat iets in Engels ontiegelijk veel cooler klinkt dan in het Nederlands. Of het ook daadwerkelijk zo fantastisch zal worden, is nog maar de vraag. Twee miljoen euro lijkt veel, maar om een performante dienst op te zetten met het juiste talent op de juiste plaats, is het helaas een peulschil.

Bovendien is er zeker een strijd om talent. Doorwinterde cyberprofessionelen, die pluk je niet zomaar van straat. De privé betaalt vaak beter dan de overheid, en biedt meer voordelen en doorgroeimogelijkheden. Of de ‘Cyber War Room’ het zoveelste politieke wensideetje is, moet nog blijken, maar het ziet er niet meteen een daadkrachtige oplossing uit.

We moeten ons vooral schrap zetten voor véél meer aanvallen en datadiefstallen bij instanties en besturen. Arjen Lubach grapte ooit in zijn avondshow dat cybercriminelen beter naar België uitwijken, en ze lijken te hebben geluisterd. Nederland heeft de laatste jaren ook te kampen gehad met ransomware, en ze hebben daar heel wat investeringen gedaan om het risico te beperken. België blijkt dan een leuke buur – met heel wat bestuursniveau’s – om het geluk daar eens te testen.

Voor het half miljoen Antwerpenaren heb ik geen goed nieuws. Ik weet niet welke data er straks eventueel op straat ligt. Ik weet niet of uw rijksregisternummer straks jarenlang wordt misbruikt, of uw foto, of uw bouwplannen (hoi, fysieke dieven). Ik weet het niet. Wat ik wel weet, is dat identiteitsdiefstal jarenlang, mogelijks levenslang, pijnlijke gevolgen heeft voor haar slachtoffers. Jarenlang moeten zij bewijzen dat ze niét die huurwagen hebben gehuurd, niét die lening hebben afgesloten bij de bank, niét dat gascontract hebben besteld. De rekeningen blijven toekomen, en men moet telkens klacht indienen bij de politie. Een politie die daar weinig tijd voor heeft, en al te vaak haar eigen datazaakjes nog niet eens op orde heeft.

Ik kan weinig doen, behalve de slachtoffers veel sterkte toewensen. En stilletjes maar met geringe verwachting, hopen dat men hier iets uit leert.

Matthias Dobbelaere-Welvaert is directeur en privacyactivist bij the Ministry of Privacy, en docent ‘Copyright and Mediarights’ aan de Erasmus Hogeschool Brussel. Zijn boek over privacy (‘Ik weet wie je bent, en wat je doet’) verscheen bij Borgerhoff & Lamberigts.

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content