Diverse Nederlandse hackerscollectieven hebben een brandbrief over het gebrek aan ict-expertise binnen de overheid naar de Tweede Kamer gestuurd. Volgens de hackers zou bijvoorbeeld Govcert meer bevoegdheden moeten krijgen.
De ondertekenaars van de brief, die namens de grootste Nederlandse hackerspaces zeggen te spreken, zeggen in een donderdagavond gepubliceerde brief dat ze zich zorgen maken over de beveiliging van de ict-systemen van de Nederlandse overheid.
"Keer op keer zien wij hoe basale beveiligingsprincipes niet worden toegepast binnen bestaande en nieuwe ict-systemen", zo staat in de brief te lezen. "Recente voorbeelden zijn de kwestie rond Diginotar en de ssl-certificaten, de ov-chipkaart, het elektronisch patiëntendossier en nog vele andere systemen en omgevingen." Donderdag nog werd aan die lijst het vroegtijdig uitlekken van de Miljoenennota toegevoegd toen de pdf met informatie per abuis al op de live omgeving bleek te staan.
De 'verenigde Nederlandse hackerspaces' bestaan uit diverse hackersclubs en -organisaties, waaronder Hack42, ACKspace, TkkrLab, Bitlair, Revelation Space, Randomdata, Frack, Sk1llz , Stichting eth0, 2600nl.net en Stichting HXX. Volgens deze spaces, waarbij een aantal van de bekendste whitehat-hackers van Nederland is aangesloten, is er een flinke lijst met voorbeelden van overheidssystemen waarvan de beveiliging niet op orde is.
"Dit zijn geen ingewikkelde hacks, maar fouten die mensen zonder opleiding kunnen misbruiken. Daarvoor is standaard programmatuur op internet voorhanden. Het gaat om elementaire beveiligingsprincipes die structureel niet worden toegepast."
Volgens hackerswoordvoerder Koen Martens heeft de overheid te veel vertrouwen in de expertise van ingehuurde bedrijven, terwijl er binnen de overheid onvoldoende kennis beschikbaar is om het geleverde werk te controleren. "Het wordt tijd dat de overheid investeert om fatsoenlijke ict-kennis in huis te hebben. Er kan nu niet worden bepaald of gewenste systemen wel echt voldoen."
Als het aan de hackers ligt, grijpt de Tweede Kamer de recente gebeurtenissen rondom DigiNotar aan om orde op zaken te stellen. "Wat er met DigiNotar is gebeurd, is geen los incident", zegt Martens tegenover Tweakers.net. "We hopen dat de politiek ziet dat het hier om een symptoom gaat van gebrek aan kennis en controle. Er is sprake van een structureel probleem, dat dus ook structureel moet worden aangepakt."
Die aanpak begint volgens Martens met bijvoorbeeld het geven van meer bevoegdheden aan Govcert. "Die organisatie heeft echt wel wat kennis in huis, maar mag nu alleen advies geven. Als de overheid een nieuw project bedenkt, zou dat echter degene moeten zijn die als een soort chief security officer binnen de overheid inspraak heeft over de systemen, de privacy-eisen en andere ict-gerelateerde zaken."
Martens hoopt dat de politiek de noodzaak van betere controle inziet en actie onderneemt. "Als dat niet gebeurt, moeten we mogelijk omzien naar creatievere middelen om de aandacht te krijgen en het belang aan te tonen."