Nog even en elke dag is gehacktdag

Het is hoognodig beter na te denken over
afscherming van informatietechnologie. Anders
wordt nieuws over inbraken dagelijkse kost,
vreest Chris Verhoef.

Bush denkt zo'n 60 miljard nodig te hebben voor
de wederopbouw van wat men daar de grootste
ramp aller tijden noemt. De Verenigde Staten
verkwisten elk jaar bijna drie keer die ramp
aan volstrekt ondermaatse informatietechnologie
(IT): 150 miljard dollar. Niet werkende
weersystemen, onbruikbare luchtverkeerscontrole-systemen,
waardeloze belastingsystemen; de rij is eindeloos,
maar niets op CNN te bekennen.

Europa is van hetzelfde laken een pak: 140
miljard dollar per jaar door de gootsteen. De
meeste IT-rampen zijn onzichtbaar. Niks geen
rokende puinhopen, slachtoffers, of zielige
zeehondjes; wel andere signalen. Een aandelenkoers
die in een dag met 40% keldert, een bedrijf
dat door foutieve software binnen een paar
weken failliet is, 80 miljoen winst veranderd
in 20 miljoen verlies, of een marktaandeel dat
patsboem terugloopt omdat grote klanten weglopen
door weigerachtige software.

Het is dus uiterst gevaarlijk dat beleidsmakers
van ANWB tot ZBO informatietechnologie zien
als panacee om bezuinigingen te realiseren.
Het ene na het andere utopische IT-idee wordt
gelanceerd, zonder een seconde te besteden aan
de risico's, gevolgen, en onmogelijkheden.
Besluitvorming rond IT is meestal amateuristisch,
en de aanbesteding ervan idem dito. Een perfecte
illustratie daarvan zagen we vorige week zaterdag
in een artikel van Karin Spaink: het lichten
van de medische dossiers van een dikke miljoen
patienten (het Betoog, 3 september). Niet via
Hollywoodtaferelen met magische tovertechnieken,
alleen te begrijpen door contactgestoorde
computerhackers, maar gewoon: met een web
browser.

Iedereen die ook maar een college gegevensverwerking
heeft gevolgd, kan deze gegevens zonder omhaal
vanuit de behaaglijkheid van de huiskamer via
een web browser vergaren.

Wellicht slaapt u daar geen nacht minder om.
U heeft namelijk geen ziekte en verder ook
niets te verbergen! Maar wat nu als uw complete
belastingdossier gelicht wordt, en uw toekomstige
baas gebruikt dat om haarscherpe salarisonderhandelingen
te voeren? Geen cent teveel hoor! Bij de
Amerikaanse belastingdienst werden 420 medewerkers
berispt voor gegevensverkoop aan information
brokers. De privacy van de getroffenen bleek
vijfentwintig dollar waard.

Het dus is de hoogste tijd dat we in Nederland
gaan nadenken over privacy en security van onze
gegevens en de garanties die daar bijhoren.

Maar nu wordt het pas echt verontrustend.
Beleidsmakers bagatelliseren elke poging om
het levensgrote probleem van falende
informatietechnologie aan de kaak te stellen.
Een weeffoutje in het systeem, dat heel flauw
net ontdekt werd door wat slimme deugnieten.
Ze gaan het oplossen hoor en de oplevering gaat
gewoon door volgens plan.

Illustratief voor de houding van het ziekenhuis
met de wrakke website is dat men na afloop de
systeembeheerder naar het gesprek met de
veiligheidsexperts stuurde. Niet iemand van
de bestuursraad. Er is namelijk geen sprake
van een onbeduidende oneffenheid die snel
gladgestreken kan worden. Mensen die systemen
opleveren waar je probleemloos binnenwandelt
zonder dat iemand het merkt, hebben ruimschoots
hun brevet van onvermogen gehaald. Ze missen
aantoonbaar alle basiskennis omtrent de
professionele productie van privacybeschermende
en adekwaat beveiligde gegevensverwerkende
systemen.

En wie heeft die brokkenpiloten ingehuurd?
Juist de beleidsmakers, die kiezen voor de
laagste prijs, zonder waarborg voor gedegen
vakmanschap. Die IT-laagvliegers hebben de
beleidsmakers kennelijk in het oor gefluisterd
dat ze het gaan oplossen. Fout! Ze gaan
helemaal niets oplossen.

Zijn die lui nu blind? Vanaf het begin is niet
werkelijk geanticipeerd op cruciale eisen zoals
gegevensbescherming, inbraakgevoeligheid, en
fraude van binnenuit. Daardoor is het IT-ontwerp
ondoordacht, en is het schier onmogelijk om
dat achteraf even terug te draaien. Het is
als een auto-ontwerp waar alle veiligheidsaspecten
vergeten zijn: airbags, gordels, verlichting,
claxon, ruitenwissers, spiegels, ramen,
kreukelzone, kooicontructie, et cetera. Het
vergt een totaal andere opzet om mensen buiten
te houden die er niet horen. Zo naief!

Voor de goede verstaander toont de beleidsmaker
zelf ook glashelder aan dat managen van IT niet
in het competentieprofiel zit. Vasthouden aan
een planning terwijl de IT onder je verkruimelt
doet kosten explosief stijgen, en dito de
risico's. Stuitend!

Als ik een bank kom uitleggen dat ik zonder
problemen van een miljoen klanten al hun gegevens
kan lichten, sturen ze NIET de systeembeheerder.
Dan gaan alle alarmbellen af, je hebt meteen
de Nederlandsche Bank op je nek, klanten lopen
weg, en je gaat failliet. Zo niet de beleidsmakers
van het ziekenhuis. De systeembeheerder sturen
is onbegrip in het kwadraat: zelfs een idioot
snapt namelijk dat hij die wrakke software niet
heeft gebouwd, er niet toe besloten heeft, en
dus geen kaas gegeten heeft van de oplossing!

Het volstrekte gebrek aan enige vorm van
professionaliteit dat de ziekenhuisdirectie
hiermee ten toon spreidt is uiterst zorgwekkend.

Kortom: de problemen worden niet opgelost.
Debet daaraan is naief (overheids)beleid. Er
zijn geen controlemechanismen: geen IT-inspectie,
geen IT-effectrapportage, en construeren,
beheren, en managen van de IT-functie is geen
gelicenseerde professie. Productie van software
komt daardoor in verkeerde handen, met alle
gevolgen van dien.

We moeten als burgers geen genoegen nemen met
dit soort fratsen, anders is het binnenkort
eke dag raak met gegevensdiefstal door de
voordeur: elke dag gehacktdag!

Vrijdag was het namelijk weer Schiphol dat de
digitale deuren wagenwijd open heeft staan voor
ieder die daar misbruik van wil maken.

Regelgeving rond IT moet op de politieke agenda!

Chris Verhoef is Hoogleraar Informatica aan de
Vrije Universiteit te Amsterdam.