Opinie: Onze politici moeten écht voorzichter zijn online

Deze opinie verscheen in De Morgen op 12 januari 2017.


Staatssecretaris voor Privacy Philippe De Backer (Open Vld) stelde in deze krant met gepaste bombarie zijn plan voor om onze politici en infrastructuur beter te beschermen tegen hackers (DM 11/1). Een van de speerpunten van het plan is om politici spoedcursussen in e-veiligheid te geven. Om een hippe term uit de security-sector te hanteren: we hebben dringend nood aan betere OPSEC (operational security). Is de nood echt zo hoog? Wie doet er moeite om informatie te ontfutselen uit de hoogste echelons van ons spruitenlandje? Om te antwoorden op die vragen is het tijd voor een verhaaltje.

Er was eens een groepje digitale kornuiten met de naam APT28, Fancy Bear of Cozy Bear – voor de vrienden. In ruil voor de juiste som ontraceerbaar geld specialiseerden ze zich in het ontfutselen van grote hoeveelheden informatie van politici en beleidsmakers wereldwijd. De hoogste bieder kreeg de buit, of die zich nu in Moskou, Pyongyang of Tel Aviv bevond. In tegenstelling tot wat stockfotografie of films u willen doen geloven, is de manier waarop dit soort hackers te werk gaat meestal helemaal niet intensief of sexy.

Neen, deze beren waren liever lui dan moe. De sleutel tot iemands digitale leven is zijn of haar mailbox. De officiële mailadressen van figuren uit alle rangen van belangrijke organisaties staan zo te grabbel op het wereldwijde web. Privéadressen zijn gemakkelijk te raden, want vaak een variatie op voornaam.naam@e-mailprovider. Een uitgebreide lijst is snel opgesteld. Voor het ontfutselen van de bijbehorende wachtwoorden is de tactiek simpel: je vraagt je toekomstige slachtoffers er gewoon naar, op een listige manier.

Dit is phishing: mails die ogenschijnlijk van een betrouwbare bron komen en je vragen om persoonlijke informatie in te voeren. Software om dit soort phishing-aanvallen te orchestreren is gemakkelijk te schrijven of aan te kopen. Met een druk op de knop kon onze berenclub in enkele minuten duizenden mensen mailen, volledig geautomatiseerd. Het digitale equivalent van een zak visvoer in een vijver uit te strooien, en dan te chillen tot een vis van voldoende formaat bijt.

Een van deze vissen was John Podesta, campagnemanager in een presidentiële race. Hij kreeg een mailtje van [email protected] (seems legit!). Dat zijn mailbox gehackt was en hij zo snel mogelijk ergens moest inloggen om zijn data niet te verliezen – ook beren zijn niet wars van wat ironie, ziet u. Zijn IT-team gaf hem – domweg – groen licht, en de rest is geschiedenis. Podesta gebruikte zijn private e-mail immers jammer genoeg ook voor gevoelige werkaangelegenheden. Ongetwijfeld een praktische overweging, maar eentje waarvoor zijn baas, Hillary Clinton, nochtans al in hete watertjes was terechtgekomen.

Zo gemakkelijk en ogenschijnlijk dom kan het gaan. En vergis u niet: ook politici uit ons Belgenlandje zijn een valabel doelwit. In het globale steekspel van de geopolitiek is informatie macht. Hoeveel Belgische politici (en hun medewerkers) gebruiken – uit gemakzucht – hun privéadres ook voor werkzaken? Hoeveel van hen gebruiken een uniek en voldoende complex wachtwoord voor hun belangrijke accounts? Wie mailt af en toe eens snel een gevoelig, doch ambetant groot document via Wetransfer of Dropbox? Hoeveel van hen communiceren via geëncrypteerde communicatiekanalen, en niet via gewone sms? En onze veiligheidsdiensten? In mijn communicatie met politiediensten word ik bijvoorbeeld regelmatig doorverwezen naar een privéadres. Wordt er zo wel zorgvuldig genoeg omgesprongen met potentieel gevoelige informatie?

Het antwoord gaan we waarschijnlijk pas écht weten wanneer de eerste Belgische John Podesta zich met schaamrood op de wangen schuldig maakt aan onvoorzichtigheid. Geloof me vrij: zonder betere gewoonten – van ons allemaal – is dat slechts een kwestie van tijd.