De online-winkelstraat is voor elke dief een walhalla: daar gaan uw creditcard- en persoonsgegevens

Wie heeft ­weleens een seksspeeltje ­gekocht bij een webwinkel? Online ietsje meer drank besteld dan de buren of de werkgever hoeven te weten? Voorkeuren toevertrouwd aan een datingbureau? ­Medische gegevens van een ziek kind aan de opvang doorgegeven? Informatie opgevraagd bij een stichting voor vrijwillige levensbeëindiging?

Het is te hopen dat uw stiekeme ­pleziertjes en persoonlijke zieleroerselen veilig blijven.

Beveiligd

De fysieke winkelstraat is van alle kanten beveiligd tegen inbrekers: met sloten, alarmsystemen, ­camera’s en dna-spray. Winkeliers laten klanten zoveel mogelijk betalen met pinpas; bankbiljetten gaan direct de kluis in, kassa’s worden regelmatig geleegd. Maar in de vir­tuele winkelstraat, waar hackers zoeken naar identiteitsgegevens, wachtwoorden en creditkaartdata, worden de toegangspoorten slecht bewaakt.

‘Het ontbreekt vaak nog aan de meest basale voorzieningen, zoals een behoorlijk slot op de deur’, zegt Christian Branbergen van internetanalist Dataprovider.com.

Dataprovider.com is een ‘internetcrawler’ die onder meer werkt voor het Centraal Bureau voor de Statistiek (CBS), Google en Paypal. Het bedrijf indexeert maandelijks meer dan 113 miljoen websites, waarvan 3,2 miljoen in Nederland, op 174 kenmerken: in welke taal is de site, is er commerciële activiteit, hoeveel bezoekers komen er? Maar ook: beschikt de site over privacygevoelige gegevens van mensen, welke ‘poorten’ (digitale toegangswegen tot gegevens) staan er open, is er een beveiligde verbinding, draait de server op verouderde, inbraakgevoelige software?

Grote internetbedrijven zoals Coolblue of Bol.com hebben de gegevensbescherming vaak op orde – al lekt het nog geregeld, zoals recent bij Facebook en Uber. Maar het overgrote deel van de databases met privacygevoelige informatie zit achter de websites van allerlei kleinere instellingen: winkels, sportverenigingen, hobbyclubs, scholen, de lokale politieke partij, de stamboomonderzoeker, de fysiotherapeut en de drankhandelaar.

Dataprovider.com luidt nu de alarmbel: honderdduizenden websites die persoonsgegevens van hun klanten hebben, zijn kwetsbaar voor digitale inbraak.

Digitale deuren niet op slot

Het probleem is doorgaans de beveiliging van de verbinding tussen de websitebezoeker en de server, dat is de computer waarop websites huizen. Of de beveiliging van die server zelf. Toegang tot servers wordt dikwijls bewaakt door de digitale evenknie van een deurketting. U weet wel: zo’n slotje dat de deur op een kier houdt terwijl de bewoner in een enge film ‘ja…?’ zegt ­tegen een aanbellende slechterik. En dat die slechterik er vervolgens met een flinke schop aftrapt.

Websites zijn bereikbaar via ports: digitale deuren. Een poort voor http-verkeer (internetbrowser), een poort voor e-mailverkeer, een poort voor de website-beheerder, etc. En, aparte ports voor databases waarin bijvoorbeeld adresgegevens en telefoonnummers staan. Maar daarin kunnen ook inkomensgegevens staan. Of burgerservicenummers, of paspoortgegevens. Of de gegevens van leden van een politieke of religieuze organisatie. Medische gegevens. De namen en bestellingen van klanten.

De meeste sites hebben aan twee open poorten genoeg. Ook websites met uitgebreide functionaliteit, zoals een webwinkel, hebben – zeldzame uitzonderingen daargelaten – niet meer dan tien open poorten nodig, zegt ­Dataprovider.com. Ict-experts ondersteunen die stelling.

Kwetsbaar

Dataprovider.com definieert ‘kwetsbaar’ als volgt: een website die privacygevoelige gegevens verwerkt, heeft meer dan tien poorten openstaan en/of gebruikt geen beveiligde verbinding en/of gebruikt verouderde software waarvan geen beveiligings­updates meer worden uitgebracht.

‘Dat zijn goede indicatoren voor een slecht beveiligde website’, zegt ook hoogleraar digitale beveiliging Bart ­Jacobs van de Radboud Universiteit in Nijmegen. ‘Maar ze vormen bepaald geen volledige lijst van risico’s.’

Een enquête van de Haagse Hogeschool vorig jaar, onder achthonderd directeuren in het mkb, liet zien dat 41 procent van hun bedrijven slachtoffer was geworden van poging tot cybercrime. Bij 20 procent van het totaal was de poging succesvol. ‘De komende jaren zal het aantal mkb-instellingen dat met cybercrime te maken krijgt alleen maar toenemen’, zegt belangenvereniging MKB-Nederland op haar website.

‘Wat er allemaal fout kan gaan? The sky is the limit’, zegt hoogleraar Jacobs. ‘Chantage, afpersing en reputatieschade behoren allemaal tot de mogelijkheden.’

Leg het IT-systeem van een middelgroot bouwbedrijf plat en dwing ze te betalen om weer toegang tot hun plannen en tekeningen te krijgen. Script kiddies, jargon voor tieners die voor de lol makkelijk te hacken sites aanvallen, kunnen het idee krijgen om achter het klantenbestand van een grote seksshop aan te gaan. Kijken wie er allemaal bestellen, en die lijst online zetten. Wie weet zit er een BN’er bij die een vibrator heeft gekocht.

Een kanttekening is hier op zijn plaats: open poorten betekenen niet dat gegevens op straat liggen. Het ziektebeeld is geen open wond, maar een sluimerend virus. Met een dichte poort kan een hacker niets, maar een open poort biedt de mogelijkheid om een gebruikersnaam en wachtwoord in te voeren. Simpel gezegd: een open poort is als een deur die een inbreker kan proberen te forceren.

Hackers doen dat door bijvoorbeeld een brute force attack: eindeloos combinaties van gebruikersnaam en wachtwoord invoeren, totdat je de juiste te pakken hebt. Een behoorlijke computer kan zo een miljoen combinaties per etmaal afvuren terwijl de ­digitale inbreker cappuccino drinkt totdat de juiste gevonden is. In de krochten van het internet circuleren bovendien schier eindeloze lijsten met veelgebruikte gebruikersnamen en wachtwoorden.

Verloren kosten

‘Gebrek aan bewustzijn’, noemt hoogleraar Jacobs de voornaamste reden voor de kwetsbaarheden. ‘En als er al wel een bewustzijn is, dan kost het op orde brengen van de beveiliging nog altijd een beetje geld. Kleine organisaties zien dat als verloren kosten. Zolang ze geen probleem hebben, is er geen motivatie om er veel aan te doen.’

Veel kleine bedrijven hebben hun website jaren geleden door een bevriende computerkenner laten optuigen. Ook middelgrote bedrijven die de boel ooit door een echt ict-bedrijf hebben laten neerzetten, gaan er sindsdien vaak van uit dat het zo verder goed is. Ondertussen groeit de website, moet software worden aangepast, komen nieuwe functies beschikbaar, wordt er nieuwe apparatuur aan het systeem gehangen – niemand die nog weet hoe het met de beveiliging zit. Poorten? Wat zijn poorten?

Totdat er een keer ingebroken wordt, en de winkelier achteraf zegt: had ik nou maar een flinke balk langs die rammelende achterdeur gehangen.

Hoe gevaarlijk is het?

Een rondgang langs Nederlandse ict-experts met de vraag hoe gevaarlijk dit alles nu eigenlijk is, levert inschattingen op die variëren van ‘een veeg teken’ tot ‘volstrekt onacceptabel.’

‘De vraag is tot wat voor schade kwetsbaarheden bij kleine bedrijven kunnen leiden, zeker als het alleen gaat om onbeveiligde verbindingen’, zegt Jobert Abma van HackerOne, een club ‘ethische hackers’ die voor bedrijven de beveiliging test door te proberen binnen te dringen: als de bakker een lijst ­e-mailadressen heeft waar hij wekelijks aanbiedingen naartoe stuurt, gaat het immers ook om privacygevoelige gegevens. ‘Het zijn waarschijnlijk vooral dat soort kleine bedrijven die de boel niet op orde hebben.’

Dat mag zo zijn, maar geregeld gaat het wel degelijk om schadelijker gegevens. Medische gegevens, bijvoorbeeld, moeten extra goed beveiligd worden. Ook financiële gegevens ziet de Autoriteit Persoonsgegevens, de privacywaakhond voor burgers, als bijzonder gevoelig. Toch was er in 2017 zesduizend keer een datalek – digitaal of anderszins – waarbij medische of financiële gegevens op straat kwamen te liggen. 30 procent van de datalekken, de grootste groep, kwam uit de sector zorg en welzijn.

Over drie dingen zijn de kenners het eens: de door Dataprovider.com aangekaarte gebreken zijn inderdaad kwetsbaarheden in de beveiliging, ze komen op grote schaal voor en ze zijn onnodig.

Het gebrek aan bewustzijn is niet alleen het resultaat van onwil de put te dempen voordat er een kalf verdronken is, maar ook van grootschalige ict-onkunde. De Nationale Rekenkamer concludeerde deze maand dat de overheid kampt met ernstige ict-problemen, en dat bij maar liefst negen ministeries de informatiebeveiliging rammelt.

‘Ook bij multinationals is nog een wereld te winnen’, zegt Lokke Moerel, hoogleraar Global ICT Law aan de Universiteit van Tilburg. ‘Delen van de Rotterdamse haven lagen vorig jaar plat omdat een containerbedrijf niet de laatste beveiligingsupdates had geïnstalleerd. En die hebben hier hele afdelingen voor. Het mkb heeft al helemaal geen idee.’

De oplossing

Het is dan ook onrealistisch om van kleine organisaties te verwachten dat ze alles in hun eentje oplossen, zeggen de experts; MKB-Nederland moet de handen ineenslaan met sectorvertegenwoordiger Nederland ICT om ondernemers kant-en-klare oplossingen te bieden. Brancheverenigingen moeten hun leden duidelijk vertellen welke ict-consultants ze kunnen inhuren. Er moet een keurmerk komen voor bedrijven die hun cybersecurity goed op orde hebben.

En de ict-branche moet orde op zaken stellen, zegt Michel van Eeten, hoogleraar Cybersecurity aan de TU Delft. Volgens hem ligt het probleem niet zozeer bij de mkb’ers die online aan de slag gaan, maar vooral bij bedrijven die ict-oplossingen aanbieden zonder dat ze daar adequate en voortdurende beveiliging bij leveren – zoals de vele ict-leveranciers die voor een prikkie een website regelen.

‘Als ik een auto koop, ga ik er ook van uit dat die aan de veiligheidseisen ­voldoet’, zegt Van Eeten. ‘Niet dat de dealer zegt: en nou zelf even op de markt zoeken naar een paar goede remmen.’