DEN HAAG – Jarenlang was het op Bonaire, Saba en Sint-Eustatius slecht gesteld met de beveiliging van overheidsgegevens, waaronder die van burgers en bedrijven. Bij IT-experts rijzen er twijfels of er geen gegevens zijn gestolen.
Wie slechte bedoelingen had, kon tot april dit jaar ‘relatief gemakkelijk’ op het netwerk van Rijksdienst Caribisch Nederland (RCN) komen. De manier van inloggen was ver ondermaats en de firewall bleek ook al in 2014 zo lek als een mandje. Zo ontstonden er veiligheidsrisico’s voor andere netwerken van de Rijksoverheid.
Kan het zijn dat er informatie op straat ligt? Een woordvoerder van BZK benadrukt dat dit niet het geval is. “Uit onderzoek zijn er geen aanwijzingen gevonden dat onbevoegden bij gegevens van bedrijven en burgers van de BES-eilanden zijn gekomen.”
IT-experts Brenno de Winter en Astrid Oosenburg vragen zich af hoe BZK tot die conclusie is gekomen. “Veel sporen worden automatisch gewist. Logboeken hoor je na een bepaalde tijd weg te gooien”, aldus de Winter. “Ook hoef je natuurlijk niet in te loggen om toch misbruik te maken.”
‘Er is reden om te twijfelen’
“Je kunt via forensisch onderzoek uitzoeken of iemand ingelogd heeft, maar dan moet je er wel snel bij zijn”, aldus Oosenburg, IT-expert en voormalig PvdA-Tweede Kamerlid. “Hoe hebben ze dat dus onderzocht en wanneer precies, vraag ik me af? En waarom niet al in 2014?”
Beide experts hebben de recente verklaringen van het ministerie van BZK doorgenomen. “Er is reden om te twijfelen”, stelt De Winter. “Er is niet duidelijk gesteld wat er is onderzocht. Het ministerie toont niet dat er iets is onderzocht.”
BZK was sinds 2014 op de hoogte van de slechte beveiliging in de Caribische gemeenten, maar kwam pas na druk van de Algemene Rekenkamer in april in actie met noodmaatregelen. Volgens De Winter ‘getuigt dat ook niet van een actief beleid om incidenten in de gaten te houden’.
Wat als er wél data is gelekt?
Er is nu een tweede controlesysteem bij het inloggen. “Eerst had je dus alleen een inlognaam en wachtwoord nodig. Stel, je hebt mijn inloggevens toen gebruikt, dan kunnen zij niet constateren dat het iemand anders was”, vertelt Oosenburg. “Op het moment dat iemand binnen is gekomen, dan kan je ervan uitgaan dat er data is gekopieerd.”
“Dit kan potentieel betekenen dat mensen in de problemen gaan raken. Hoe ga je die mensen en bedrijven bedienen als er over een jaar of twee sprake blijkt van identiteitsfraude?”
“De minister moet nu vervolgstappen nemen en een signaal gaan afgeven dat de overheid er voor de burgers is en niet andersom”, aldus het oud-Kamerlid en IT-expert. “Wijs een meldpunt aan op de eilanden.”
Structureel probleem
De Winter benadrukt dat er geen duidelijkheid is wat de overheid structureel gaat doen aan het verbeteren van de IT-beveiliging. “Ook niet of de risico’s goed in kaart zijn gebracht. Waar is de roadmap en waar is de toekomstvisie waaruit blijkt wat er gaat verbeteren? Nu wordt de indruk gewekt dat we ‘wat aan beveiliging’ aan het doen zijn.”
