RealCert: maar niet echt ?

De Nederlandse overheid is niet meer in staat zichzelf afdoende te beschermen, vinden hackers. Daarom beginnen ze een eigen hulpdienst om zaken te regelen: RealCERT als tegenhanger van GovCERT. RealCERT (op het moment van schrijven is de website niet toegankelijk) is gestart met een team van zeven vrijwilligers die kosteloos overheden en bedrijven helpen bij beveiligingsproblemen. Dat team moet snel groter worden en daarvoor zullen mensen worden geworven bij verschillende hackerspaces. Aanleiding voor de oprichting is volgens de hackers dat de problemen met falende beveiliging bij veel overheden niet serieus worden genomen en het gebrek aan openheid bij GovCERT.

‘Ze lopen achter feiten aan, zijn ontoegankelijk als je wat te melden hebt, en als je gehoord wordt dan nemen ze je niet serieus en ze laten grote steken vallen’, vertelt een (uiteraard anonieme) hacker. ‘Dat ze nu nog bepaalde gemeenten niet helpen met het oplossen van problemen kan gewoon niet’.

Hackers die al langer bezig zijn met het opzetten van het traject wijzen erop dat het belangrijk is iedereen van relevante beveiligingsinformatie te voorzien. ‘De technische gegevens zijn belangrijk voor iedereen die zich wil beschermen. GovCERT houdt dat geheim en dat is slecht’, zegt ‘001’ namens RealCERT tijdens de oprichtingsbijeenkomst.

Met update aan het einde van het bericht !

Groot pijnpunt is de selectiviteit van onderwerpen en geholpen partijen. ‘Alsof ik mij niet zo mag beschermen als de vriendjes van GovCERT. Wij gaan dus technische details zo snel delen als verantwoord kan’, stelt hij. ‘Uiteindelijk maakt het voor een crimineel niet uit waar hij gegevens steelt. Of het nou bij een groot bedrijf of een kleine gemeente is, het resultaat voor getroffen mensen is hetzelfde: ellende’.

Ook wil het collectief informatiebescherming bieden door scans uit te voeren voor de overheden die door het Rijk in de steek worden gelaten. Het plan om een eigen dienst gerund door hackers te starten is niet nieuw. Het speelt al langer in de gemeenschap. Maar de realisatie kwam in een stroomversnelling nadat duidelijk werd dat gemeenten die niet op DigiD zijn aangesloten ook niet kunnen rekenen op consultancy vanuit Den Haag. ‘Zolang GovCERT de rol van ’emergency response team’ blijft negeren en diverse partners niet helpt met securityproblemen, zijn we genoodzaakt om het zelf op te lossen’, legt de oprichter uit. Hij benadrukt dat de hulp wordt geboden ontdaan van alle politieke gevoeligheden. ‘Wij brengen de feiten zoals ze zijn en zijn er open over’.

Hackers die een lek vinden in een site kunnen dat melden bij RealCERT. Daarbij hoeft niemand zich er zorgen over te maken dat hij of zij vervolgd zal worden, zo benadrukken de oprichters. Over de belofte van de overheid om terughoudend te zijn bij het aanpakken van hackers die misstanden melden is men kort. Ze verwijzen naar de vele dreigementen met aangiften. ‘Niet echt een klimaat om op de overheid te vertrouwen, he ?’

Het gebeurt met grote regelmaat dat mensen die wijzen op lekken in de problemen komen, dus de voorzichtigheid van de hackers is verklaarbaar. In september bracht Wouter van Dongen van DongITnaar buiten dat tientallen raadsinformatiesystemen lek waren. Vervolgens werd hij benaderd door de advocaat van de hoster. De hoster besloot al wel snel van juridische actie af te zien, toen evident werd dat er geen misbruik van het lek is gemaakt. Ook Rop Gonggrijp kreeg bij het aantonen van fundamentele problemen bij stemcomputers het nodige te verduren, en journalist Bert Brussen kreeg een aangifte vanuit de Gemeente Amsterdam aan de broek toen hij bewees dat het stadsdeel Oost wachtwoorden op de website publiceerde. Ook Trans Link Systems reageerde met een aangifte op het aantonen van falen van de backoffice van de OV-chipkaart.

De groep, die gaat recruteren uit verschillende hackergroepen in Nederland, is vooral tot deze actie gekomen nadat bleek dat tientallen gemeenten na een recent beveiligingsincident nog steeds niet weer op DigiD zijn aangesloten en weinig hulp krijgen uit Den Haag. ‘Kleine overheid, kleine onderneming, geen DigiD en geen hulp, geen ondersteuning uit de Ivoren Torens uit Den Haag? Wij helpen wel en slechts met één doel: goede gegevensbescherming. Meer niet’, aldus de website van RealCERT (toen die toegankelijk was).

Maar of ik zaken zou willen doen met anonieme ondernemers ?
UPDATE (nog op 18 november, 19.15 u.)
En ja, de realiteit gaat vaak sneller dan ik kan bijhouden ! De website van RealCert was niet toegankelijk schreef ik hierboven. En dat klopt, want het initiatief is een halve dag na introductie vanwege de vele kritiek alweer in de prullenbak beland. Tja, dat gebeurt soms. De tegenwoordige tijd in het stuk hier mag dus in de verleden tijd worden omgezet. ‘t is snel en niet iedereen uit de groep is het er mee eens, maar het initiatief is wel ten einde. Met dank aan Erik, die mij op dit feit wees en mij verwees naar dit bericht. Waarvan akte !

Share This:

2 thoughts on “RealCert: maar niet echt ?

  1. Dave

    Bedankt voor goede artikel ook al is de webiste niet meer toegankelijk ;).

    MKB ondernemers zijn zich niet goed bewust van al deze risico’s. IT security is meestal toch een niet het favoriete onderdeel van ondernemen en behoort zeker niet core competence van de gemiddelde MKB ondernemer.

    Reply

Leave a Reply

Your email address will not be published. Required fields are marked *