Cyberburgerwacht waakt over data Estland

Leerschool Europa

Computers en internet zijn onderdeel van de nationale identiteit van Estland. Een van de modernste landen ter wereld kreeg als eerste te maken met een gecoördineerde cyberaanval. En zet nu alles op veiligheid.

Een schoolklas in Tallinn. Foto Guus Dubbelman

Het is zo'n gebouw met mintgroene muren en een adelaar boven de deur, zoals je ze vaker ziet in wat vroeger de Sovjet-Unie was. Er staan houten tafels met houten stoelen op een krakend visgraatparket. Een morsige man in uniform noteert de namen van de bezoekers op een papier met te kleine vakjes voor de handtekeningen. Dan zijn er gangetjes, trappetjes en deuren, die uiteindelijk uitkomen bij een kamer met kabelgoten, Estlandse popmuziek uit de radio en een ict'er achter een laptop.

In 1918 vochten zijn voorgangers tegen de tsaar, nu houdt Rein Podra hier, in dit gebouw aan de voet van de oude burcht van Tallinn, Russische hackers buiten de deur. Hij is vrijwilliger bij de ­cyberafdeling van de nationale reserve van Estland, een officieel legeronderdeel met wortels in de onafhankelijkheidsstrijd van een eeuw geleden. Podra (42) is systeembeheerder bij een producent van kaas en melkpoeder, maar staat ook op de digitale uitkijk voor zijn land. 'Het loopt door elkaar heen', zegt hij. 'Hackers hacken alles. Landen en bedrijven. Het werk is bijna hetzelfde. En zo kan ik iets voor mijn land doen.'

Estland is het enige land ter wereld met zo'n ­cyberverdedigingseenheid van betrokken burgers. Het precieze aantal is geheim, maar naar schatting 150 mannen zoals Podra bewaken op deze manier de nationale computersystemen. In Nederland werken overheid en bedrijven weliswaar samen in het Nationaal Cyber Security Centrum, maar informatie over hacks wordt niet snel gedeeld. Dan is het toch vooral ieder voor zich. 'We zijn één groot collectief beest', zegt Andrus Padar, commandant van het cyberlegioen. 'Dit is de enige manier om sterker te zijn dan onze vijanden.'

Leerschool Europa

In zes afleveringen: Europa heeft een slechte naam. Zien we het goede niet over het hoofd? Kunnen we wellicht iets leren van andere Europese landen? De Volkskrant trok eropuit en kwam verrijkt terug.

Griekse streek
Herwaardering van lokale producten redt platteland Santorini

Studeren op z'n Zweeds
Plan-Truijens blijkt te werken

Brits districtenstelsel
De democratie komt bij je thuis

Noorse duiven
Noren volharden in wereldwijde vredesdiplomatie

Franse topsport
De aanpak achter alle gouden medailles

Estland cyberland
In de voorhoede van digitale bescherming

De digitale verdedigingslinie is een van de publiek-private vondsten die Estland tot een van de modernste landen ter wereld maakt. Alles wat via internet kan, gebeurt via internet. Je kunt inloggen om geld over te maken, een bedrijf op te richten, een recept op te halen, je stem uit te brengen. Met de identiteitskaart die je daarvoor gebruikt, kun je ook een bus in stappen.

Computers en internet zijn hier onderdeel van de nationale identiteit - de overheid bestaat niet eens meer zonder e- ervoor. Het is het gevolg van een doelbewuste strategie, in de jaren na de herwonnen onafhankelijkheid in 1991, en een typisch geval van de remmende voorsprong - maar dan omgekeerd. Opgescheept met verouderde Sovjet-technologie, besloten de Esten dat hun toekomst moest samenvallen met de toekomst die zich net begon te ontvouwen: die van internet. Zo werd Estland zelf een soort internet startup. Ze zouden wel zien waar het zou eindigen.

Het project Tijgersprong begon met de aansluiting van alle scholen op internet. Bedrijven en overheid boden vanaf 2002 alle volwassenen een tweedaagse computercursus aan, die door 10 procent van de bevolking is gevolgd. De wouden van het land zijn gevuld met duizenden wifi-zones.

'Automatisering sprak eigenlijk vanzelf', zegt Jaan Priisalu, directeur van de ict-toezichthouder, in zijn kantoor in het moderne deel van de stad. 'Mensen veranderen niet als ze geen pijn lijden. Onze pijn was een gebrek aan mensen. We zijn met 1,3 miljoen op een even groot oppervlak als Nederland. Met zo'n bevolkingsdichtheid kun je een land niet efficiënt besturen.'

Foto de Volkskrant

Automatisering was dus de oplossing. 'Als we zouden falen met de automatisering van het landsbestuur, zouden we falen we met het besturen zelf', zegt Priisalu. En een zwak bestuur is iets dat ze zich in Estland niet kunnen veroorloven, vinden ze: dan is er altijd die grote buurman in het oosten die dat bestuur wel voor zijn rekening wil nemen.

Gebrek aan geld bleek essentieel voor de grote sprong voorwaarts. Het eerste plan voor de digitalisering van de overheid was dertig keer zo duur als het beschikbare budget. Dus werd een goedkoper alternatief bedacht, een platform dat door alle organisaties in het land zou kunnen worden gebruikt om hun klanten te bereiken: banken, bedrijven, overheid. 'Als je geen geld hebt, moet je samenwerken', zegt Priisalu. X-Road, zoals het platform heette, zou de digitale ruggegraat van Estland worden. Zeshonderd bedrijven en overheidsinstellingen zijn aangesloten op één centrale toegang, waar ze bijna drieduizend diensten aanbieden.

Zoals elk zichzelf respecterend technologiebedrijf heeft Estland een heuse Chief Information Officer. Hij heet Taavi Kotka en zit in een kamer in het ministerie van Economische Zaken, een klassiek gebouw aan een klinkerstraat in het oude centrum van Tallinn. Kotka knikt meewarig als hij hoort over de commissie-Elias in Nederland en de uit de pan rijzende kosten voor ict-projecten. 'Ict is in veel landen nog zoals de luchtvaart voordat Easyjet er was. Er zijn veel verborgen kosten. Het is gecompliceerd en niet veel mensen hebben er verstand van. En vaak worden oude technologische erfenissen te lang in stand gehouden. Wij behandelen die erfenissen met geen enkel respect.'

Net als andere mannen hier op ict-sleutelposities spreekt hij met het soort achteloosheid van mensen die weten waar ze het over hebben. Kotka (35), kind van schaakfanaten, studeerde na het gymnasium informatica en richtte een paar succesvolle tech-bedrijven op - hij was in 2011 ondernemer van het jaar. Nu heeft hij geld genoeg en 'wil hij iets doen voor zijn land'. Estland als project.

Kotka stopt zijn id-kaart in zijn laptop en gaat naar zijn eigen pagina. In verschillende blokken zijn al zijn data te zien: persoonlijke gegevens, belastinggegevens, medische data. Alles netjes bij elkaar. Handig natuurlijk, maar de betrokken instanties kunnen daar, als ze daar toestemming voor hebben, ook bij. Privacy-alarm! Zo gaat iedereen toch in die informatie snuffelen?

Kotka snuift.'Privacy? Dit is veiliger dan papier. Kijk, als je medische gegevens in een papieren kaartenbak staan, kan iedere verpleegster erdoorheen bladeren zonder dat iemand dat door heeft. Digitalisering maakt dingen veel transparanter. Iedereen die naar die data kijkt, wordt geregistreerd.'

Hij bekijkt het logboek op zijn persoonlijke datapagina. 'Kijk, dat is mijn dokter, die een recept heeft uitgeschreven. En hier de apotheker, die het recept heeft ontvangen. Maar als ik hier iemand anders zie staan, kan ik dat aangeven.' Voor onrechtmatig meekijken kunnen Esten een gevangenisstraf krijgen.

Je moet jezelf dus in de gaten houden, zegt Kotka. 'Je wordt een Big Brother van jezelf. Deze manier van werken is dus heel wat anders dan wat de Googles en Facebooks van deze wereld doen. Daar heb je geen idee wat er met je data gebeurt.' Kotka, zelf ondernemer, heeft meer vertrouwen in de overheid dan in het bedrijfsleven, als het om data gaat. 'De overheid is je beste vriend. Met goede regels en transparantie kan die ons helpen bij de controle over onze data. De staat is onze enige kans om ons tegen de bedrijven te beschermen.'

Er is niet heel veel discussie geweest over het systeem, zegt Martin Ruubel van het databeveiligingsbedrijf GuardTime. Daarvoor ging het allemaal te snel. Estland was een jonge democratie; dan kun je veel doen en de problemen achteraf oplossen, zegt Ruubel. De internetmentaliteit van de jaren negentig kreeg ook Estland te pakken. 'En als je je zorgen maakt over eten en een dikke jas tegen de kou, dan geef je geen reet om privacy.'

Hij vindt de hoeveelheid data die de overheid heeft overweldigend en beangstigend. Natuurlijk, zegt hij, zullen die versleutelde medische data op een gegeven moment gehackt worden - als het niet nu al kan. 'Ik weet zeker dat er incidenten zullen zijn. Daarom moeten we de beveiliging stoelen op kennis, niet op vertrouwen. Er zijn technologieën die verklappen dat er iets gebeurd is. We kunnen nooit garanderen dat data volkomen veilig zijn. Maar we kunnen wel zeggen dat er gerommeld is met de data.'

Het is een verleidelijk doelwit voor hackers, zo'n systeem. In 2007 was Estland het eerste land dat slachtoffer werd van een gecoördineerde cyberaanval. Nadat de regering had besloten om een Russisch standbeeld ter nagedachtenis aan gesneuvelde soldaten te verplaatsen naar een oorlogskerkhof, sloegen - hoogstwaarschijnlijk Russische - hackers terug met een ddos-aanval, een vloed aan inkomend internetverkeer waarmee allerlei websites (banken, de overheid, de media) werden platgelegd. Omdat Estland toen al zo afhankelijk was van digitale diensten, ontstond flinke onrust. Het probleem werd opgelost door de grenzen te sluiten voor buitenlandse data.

Het incident was relatief onschuldig: overlast, vandalisme, maar geen inbraak. De hackers waren niet bij de beveiligde data gekomen, om daar iets te wissen of te veranderen. Maar het was genoeg voor de Esten zich nog eens goed achter de oren te krabbelen. Was de beveiliging wel goed genoeg?

Het kantoor van de cyberafdeling van de nationale reserve. Foto Guus Dubbelman

En zo kwam er een cyberburgerwacht van ict-mannen. De NAVO vestigde in 2008 een Cyber Defence Centre of Excellence in Tallinn, om de digitale verdediging van het bondgenootschap beter op orde te brengen. Daarnaast werd in Estland de ict-infrastructuur aangepast, zegt toezichthouder Priisalu. Kritieke systemen worden over verschillende servers verspreid, waardoor er geen 'single points of failures' meer zijn. 'Als het systeem het begeeft is het maar gedeeltelijk.'

Die filosofie wordt zelfs uitgebreid naar het buitenland. Estland, dat in de afgelopen honderd jaar bezet is geweest door de Russen, bevrijd door zichzelf, bezet door de Russen, bezet door de Duitsers, bezet door de Russen en weer bevrijd door zichzelf, sluit ondanks het lidmaatschap van de NAVO niets uit. Kotka en Priisalu lanceerden deze zomer het plan van 'data-ambassades', buitenlandse clouds waar de cruciale informatie van het land gebackupt zou moeten worden. Dan kan het land zelfs ondanks een militaire bezetting gewoon door blijven functioneren, is het idee.

Sterker nog: Estland wordt zo een entiteit die steeds minder aan grondgebied is gebonden. Sinds kort kunnen ook buitenlanders een elektronische identiteitskaart aanvragen, waarmee ze hun bedrijf virtueel in Estland (en dus Europa) kunnen vestigen. Er zijn al duizenden aanvragen gedaan. Estland, als een echte startup, heeft nog geen idee waar dit eindigt.

Maar dat betekent dus wel dat dat virtuele land goed beschermd moet worden. Volgens commandant Padar van de cybervrijwilligers is er geen vredestijd meer geweest, sinds de aanvallen van 2007. En dat het de Russen zijn is volgens hem wel duidelijk. 'Jarenlang vond de rest van Europa ons enge Russofoben, maar sinds de inval in Oekraïne is echt duidelijk wat zij willen, toch? Het is niet duidelijk waar de conflicten beginnen en eindigen. Dat is de Gerasimov-doctrine, de visie van de chef van de Russische Generale Staf: het gevecht wordt deels gevoerd in de hoofden van de mensen, met desinformatie en misleiding. Daarbij zijn cybermiddelen belangrijk.'

De technologie is wel degelijk een achilleshiel, vindt hij. 'Als we onze verbindingen kwijt zijn, zijn we alles kwijt. Hoeveel geld heb jij in huis? Hoe lang red je het daarmee?' Of de verdediging op orde is, durft hij eigenlijk niet te zeggen. 'Doen we genoeg? We weten hoe we de oorlogen van het verleden moeten winnen, maar niet de oorlog die nog komen gaat. De waarheid kennen we pas als die zich in onze computers aandient.'

'Je maakt je enorm kwetsbaar'

Interessant, noemt minister Plasterk van Binnenlandse Zaken het beleid in Estland. Plasterk, in Nederland verantwoordelijk voor de digitale overheid, ziet daarin een richting die het kabinet ook op wil. 'In het Regeerakkoord is opgenomen dat vanaf 2017 burgers en bedrijven hun diensten van de overheid digitaal kunnen afnemen. Daarbij geldt: digitaal waar het kan, persoonlijk waar het moet. Of en hoe er een stelsel voor elektronische identificatie komt, wordt in december besloten.'

Op de vraag of Nederlandse burgers net als in Estland zouden moeten kunnen zien wie hun gegevens heeft bekeken, wijst Plasterk op een aantal plekken waar informatie te halen is, met als belangrijkste plek de gemeentebalie. Volgens Daphne van der Kroft van burgerrechtenorganisatie Bits of Freedom is de Nederlandse situatie echter niet te vergelijken met die in Estland. 'Die inzage is een recht waar Nederlandse burgers ontzettend hun best voor moeten doen en dat ze feitelijk nooit krijgen. De transparantie in Estland, op zo'n grote schaal en zo gedetailleerd, is echt te gek.'

Van der Kroft is minder te spreken over de centralisatie van het systeem in Estland. 'Al die data bij elkaar zijn een goudmijn. Voor hackers, maar ook voor bedrijven. Je maakt je enorm kwetsbaar. Wij zouden die data liever verspreiden over vijf verschillende systemen.'

Jan van Dijk, hoogleraar e-governance aan de Universiteit Twente, vindt dat Nederland veel last heeft van gevestigde belangen van overheidsorganisaties en de ict-industrie. 'Daar zijn al die ict-debacles uit voortgekomen. Soms is het beter met een schone lei te beginnen, zoals in Estland.' Al helpt het dat dat een klein land is met een nabije vijand. De aanpak met de cybervrijwilligers noemt hij uniek. 'Het leidt tot een veel groter bewustzijn bij burgers. In andere landen wordt dat heel centralistisch en met geheimhouding aangepakt. Al is dat tot op zekere hoogte ook nodig. Op dit terrein moeten veiligheidsdiensten bliksemsnel kunnen reageren en met hoge expertise.'

Kolonel Paul Ducheine, hooglaar cyberwar aan de Universiteit van Amsterdam, wil het Nederlandse 'ieder voor zich' wat nuanceren. 'In het NCSC werken bedrijven en overheden ook samen aan een respons op incidenten. Daarover zijn afspraken gemaakt. Maar Estland is zeker een gidsland.'

Het monument ter nagedachtenis aan gesneuvelde Russische soldaten. Foto Guus Dubbelman