Staatsgeheimen in digitale kluis

Het wemelt de laatste tijd van de hacks en informatielekken bij de overheid. Onnodig, weten de mannen en vrouwen van Compumatica. Beveiligen is technisch gezien best mogelijk. Als iedereen maar oplet.

Toen het Duitse IT-bedrijf Utimaco in 2002 vrij plotseling, op de naschokken van de gebarsten internetbubble, besloot te stoppen met het ontwikkelen van de technologie om netwerken te beveiligen, stonden Petra van Schayik en Anton Hopmans voor een fundamentele keus. De Duitsers maakten het belangrijkste product van Compumatica, hun toen ongeveer 10 jaar oude bedrijf.


Op maandag voerden ze een eerste gesprek met de Duitsers, op vrijdag stonden hun handtekeningen onder het koopcontract. Zo snel kan het gaan. Binnen een week waren ze van doorverkoper van een Duits product in Nederland, ineens de producent van een geavanceerde beveiligingstechnologie en bovendien een vestiging in Duitsland met Duitse IT-specialisten rijker.


Compumatica had zich in de jaren negentig ontwikkeld tot een belangrijke Nederlandse specialist in de beveiliging van computernetwerken, een sector die in die tijd nog in de kinderschoenen stond. De medewerkers van Compumatica bouwden veilige netwerken voor bedrijven en overheidsinstellingen en controleerden die veiligheid door netwerken proberen te hacken. Ze richtten zich ook op wat social engeneering wordt genoemd: het kraken van een systeem door misbruik te maken van menselijke fouten. Een peperduur, en technisch waterdicht netwerk is namelijk zo lek als een mandje als je het nummer van de helpdesk te pakken krijgt en met een telefoontje een "nieuw" wachtwoord krijgt van een hulpvaardige helpdeskmedewerker.


Die ervaring zie je om je heen als je het Udense hoofdkantoor van Compumatica bezoekt. Een hoog hek met een wat onopvallend naambordje. Je moet weten dat ze er zitten, anders rij je er zo voorbij. De ramen zijn van kogelvrij glas, de helft van het kantoor zit ondergrond, in de kelder. En dan zijn er de onzichtbare maatregelen: de schoonmaker komt alleen langs op tijden dat er wordt gewerkt en het kantoor is ingedeeld in zones, in het veiligste gedeelte kom je alleen binnen als je er iets te zoeken hebt. Zelfs Van Schayik, inmiddels volledig eigenaar en directeur, kan niet overal bij. Als een team werkt aan een gevoelig project, doen ze dat op een apart computernetwerk, waartoe alleen teamleden toegang krijgen. Het lijkt bizar, maar alles draait om het klein krijgen van risico's. En zelfs de directeur is theoretisch een veiligheidsrisico.


De specialsten van Compumatica begrijpen aan de ene kant niets van problemen zoals het lek bij Diginotar, een bedrijf dat verantwoordelijk was voor de veiligheid van veel overheidswebsites. Veiligheid is niet onmogelijk, alleen moeilijk. Zo zijn de manieren waarop digitale informatie wordt versleuteld - de moderne variant van het geheimschrift - eigenlijk alweer 10, 20 jaar oud. Die zijn niet te breken, en dat proberen hackers ook bijna niet, vertelt Cees Jansen, de cryptoloog van Compumatica.


Jansen beveiligt al drie decennia netwerken en dataverkeer. 'De aanvallen zijn heel geavanceerd geworden, het is de kunst het juiste hek te bouwen, een hacker probeert de zwakste schakel in het systeem te vinden, die doet niet aan crypto-analyse.' Jansen bedoelt dat informatie veilig versleutelen niet onmogelijk is. Het veilig werken met die informatie is wel lastig. Zodra iemand een beveiligd bestand opent op een computer, laat dat bestand sporen na. Op de harde schijf, ergens op een chip, diep in de pc. En hackers bekijken alles.


Beveiligingsspecialisten zoals die van Compumatica gaan daarom grondig te werk. Wat gebeurt er als de stroom uitvalt, net op het moment dat je een beveiligd bestand aan het afsluiten bent, geeft Jansen als voorbeeld. Is het dan nog beveiligd? Of maar voor de helft? Of ben je alles kwijt? Het risico is misschien niet zo groot - de kans dat het gebeurt is immers klein. Maar hoe klein het risico ook is, soms is informatie zo gevoelig dat een lek onacceptabel grote gevolgen heeft. Ook een kleine kans is dan nog te groot.


Aan de andere kant snappen ze dat het soms misgaat. Het is mensenwerk. Beveiliging is een keuze, een afweging. Geld kan een rol spelen, soms is er sprake van een gebrek aan kennis bij beslissers of komt het onderwerp veiligheid pas op tafel als een project bijna afgerond is. Dan is het soms te laat.


Neem bijvoorbeeld een gemeente die dienstverlening simpel wil houden en burgers zaken via internet wil laten regelen. Dat kan veilig, alleen wil de gemeente natuurlijk zo weinig mogelijk drempels opwerpen om de online dienstverlening eenvoudig en toegankelijk te houden. Dat kan betekenen dat concessies worden gedaan wat veiligheid betreft.


Of neem auto's. Die zitten vol IT en software, van de snelheidsmeter tot de remmen. Het maakt auto's comfortabeler en veiliger. Zo wil eurocommissaris Neelie Kroes dat in de niet zo verre toekomst een auto die betrokken raakt bij een ongeluk automatisch de hulpdiensten belt. Maar hoe meer technologie, hoe onveiliger, en een mobiele telefoon maakt inmiddels ook automatisch contact met de auto zodat de bestuurder handsfree kan bellen. Dit soort handige innovaties brengen veiligheidsrisico's met zich mee: ineens is het theoretisch mogelijk om een auto te hacken. Wie weet nu welk virus hij op een telefoon hebt binnengehaald en zo heeft meegenomen de auto in? Toch stelt niemand voor om de innovaties te stoppen.


'Vroeger had iemand een koffertje of dossier onder de arm, die info staat nu op een mobiel of laptop. Een smartphone kan meer dan een pc van 10 jaar geleden', schets Van Schayik de uitdagingen van de moderne informatiesamenleving voor beveiligingsspecialisten. Jansen: 'De beveiliging van een netwerk is niet moeilijk, de blauwdrukken daarvoor zijn al tien jaar niet veel veranderd. Alleen staat nu alles met elkaar in verbinding. Eigenlijk is tegenwoordig bijna alles data.'


WAT DOET COMPUMATICA?

Computica werkt sinds kort samen met het Nederland Forensisch Instituut (NFI) aan Xiraf, het door het NFI ontwikkelde softwareprogramma waarmee politie en justitie de digitale sporen van verdachten kunnen onderzoeken. Zo wordt Xiraf gebruikt om de computer te doorzoeken van Robert M., de ex-medewerker van een Amsterdams kinderdagverblijf die heeft bekend tientallen kinderen te hebben misbruikt. Maar ook de laptop van een 'simpele' inbreker kan voor de politie waardevolle informatie bevatten.

Compumatica gaat de opslagplaats ontwikkelen waar al die door het NFI doorzoekbaar gemaakte informatie kan worden bewaard. Door dit op één plek te doen kunnen politieteams in heel Nederland en uiteindelijk in heel Europa in de informatie speuren. Die plek wordt straks streng beveiligd, want justitie wil natuurlijk niet dat iemand kan meekijken op de harde schijven van verdachten.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden