Security bij de overheid: ‘Hele team kreeg wachtwoord Welkom 01’

Door Constanteyn Roelofs

Er zijn maar weinig sectoren waarbinnen het aantal frauduleuze cyberaanvallen de laatste jaren harder groeide dan de gezondheidszorg (ziekenhuizen) en de overheid (gemeenten).

Het begon voor Mary-Jo de Leeuw allemaal met een Nintendo. “Al vanaf ik klein ben speel ik met computers. Daar ontdekte ik dan fouten en onregelmatigheden in, die ik dan probeerde te fixen. Ik was nooit zo van de barbies en de makeupjes, behalve van de Barbies die je kon hacken maar dat was pas op veel latere leeftijd! Mijn eerste computer was een Commodore 64, maar dat werden er al snel meer.”

Een opleiding aan de Hogeschool Utrecht volgde, met een specialisatie in communicatiesystemen (informatica). Het hacken ging ook door: “Ik was gefascineerd door de vroege interactieve voice response systems zeg maar de ‘bandjes’ die je aan de lijn krijgt als je een grote organisatie belt. Op een zeker moment had ik alle telefooncodes die je in moet toetsen om vooraan in de wachtrij te komen bij bijvoorbeeld de Belastingdienst of kon ik een systeem op afstand tijdelijk stil leggen.”

Dat was toen nog niet strafbaar, maar het toont wel de onverbeterlijke neiging van de geboren hacker om uit nieuwsgierigheid onder de motorkap te kijken van de systemen en apparaten om ons heen. “Als je wilt weten hoe iets werkt, dan moet je ook weten hoe je het stuk krijgt. Ik heb zelfs de neiging om mijn Nespresso-apparaat uit elkaar te schroeven om uit te vinden waarom de ene dag de melkopschuimer beter schuim produceert dan de andere.”

Generatie Yolo
Terwijl De Leeuw een carrière bouwde als onafhankelijk expert op het gebied van cybersecurity is het onderwerp alleen maar belangrijker geworden. “Vroeger ging het over wachtwoorden van de computer op je werk, maar tegenwoordig is alles cybersecurity. We hebben slimme deurbellen, energiemeters die verbonden zijn met internet en veel meer personen en organisaties hebben nu toegang tot je gegevens.”

Scherp zijn op dat soort risico’s is inmiddels tweede natuur voor De Leeuw. “Als je bijvoorbeeld in het ziekenhuis ligt en er wordt een hartfilmpje gemaakt, wat is dan de weg van dat filmpje van het apparaat naar de cardioloog? En hoe zit het met de encryptie?” Dat is soms wel eens schrikken, zeker als blijkt dat een zorginstelling nog gevoelige medische gegevens verwerkt in een zwaar verouderde Windows XP-omgeving.

De cursus ‘Cyberbedreigingen in de publieke sector’ die De Leeuw verzorgt voor de Academie Publieke Sector spits zich vooral toe op cybersecurity binnen de overheid, waar cyberveiligheid volgens De Leeuw nou niet bepaald top of mind is. “Organisaties redeneren vanuit waartoe men hier op aarde is: het primaire proces. Paspoorten uitgeven, vuilnis ophalen, dat soort dingen. Men is vooral bezig met uitvoeren, waardoor de informatiesystemen niet persé top zijn.” Dat gaat natuurlijk precies zo lang goed totdat een kwaadwillende daar gebruik van maakt door bijvoorbeeld burgergegevens te stelen voor frauduleuze doeleinden, of systemen te gijzelen met een ransomwareaanval – zoals de gemeente Hof van Twente in 2020 overkwam.

Die ervaring van de lage prioriteit van cyberveiligheid bij de overheid heeft De Leeuw ook toen zij actief politica was. “Zo kreeg ik een keer een mailtje waarin de hele ploeg de mededeling kreeg: je nieuwe wachtwoord is Welkom01.” Ook houdt institutionele traagheid veel verbeteringen tegen. “De discussies verzanden nog steeds vaak in semi-managementonzin. Zoals of cybersecurity nou onder ICT valt of onder de beveiliging. Ik ben in 1999 afgestudeerd, moeten we deze discussies nog steeds hebben?” Dat roept natuurlijk de vraag op of de situatie verbetert als de huidige generatie bestuurders die nog analoog zijn opgegroeid plaats maken voor de digital natives, de millennials en Gen-Z’ers. De Leeuw betwijfelt die aanname: “Die generatie heeft privacy helemaal aan de kant gezet. Snapchat, TikTok, Instagram – alles gaat online. De volgende generatie denkt: YOLO!”

Je hebt altijd wat te verbergen
Interactie is de basis bij de cursussen van Mary-Jo. We willen natuurlijk niet al te veel weggeven, maar de risico’s van cybersecurity worden extra inzichtelijk maakt als ze gekoppeld worden aan een casus die dicht bij het privéleven staat. “Dan vraag ik bijvoorbeeld aan de groep wie er spullen op Marktplaats verkoopt. Er gaan altijd een heleboel handen omhoog. Vervolgens zoeken we met z’n allen even een paar profielen op en dan laat ik zien wat er allemaal uit op te maken valt: heel veel mensen zetten zo maar hun adres en telefoonnummer op de site. Als je die gegevens vervolgens koppelt aan bijvoorbeeld een LinkedIn-profiel kun je al snel een heel compleet beeld van iemand maken. Zo’n profiel kun je bijvoorbeeld weer gebruiken voor Whatsappfraude.” Zo toont De Leeuw aan dat een topambtenaar op een gevoelige plaats in de overheid misschien op werk wel goed afgeschermd kan zijn, maar dat dat allemaal voor niets is als die persoon zelf alles op social media en sites als Marktplaats lekt.

Uiteindelijk is het doel van de cursus om een brede visie te ontwikkelen op cybersecurity, los van de grote hypes en geruchtmakende zaken in het nieuws. “Het gaat niet alleen om grote zaken als het stelen van octrooien of het stilleggen van primaire processen met ransomware, maar ook om klein laaghangend fruit.” Whatsappfraude, identiteitsdiefstal en kleine fraude met facturen bijvoorbeeld, problemen die op elk niveau van de organisatie kunnen optreden. “De essentie is: je bent altijd de zwakste schakel. Je hebt altijd wat te verbergen, ook als medewerker van de plantsoenendienst.”

Mary-Jo de Leeuw probeert als techexpert al jaren de wereld digitaal veiliger te krijgen. En voor al dat werk heeft zij inmiddels meer dan 20 internationale vermeldingen en prijzen op haar naam staan en werd zij door de Verenigde Staten uitgenodigd voor het prestigieuze International Visitors Leaderschip Program. De Leeuw heeft voorafgaand aan de coronacrisis in drie jaar tijd als veelgevraagd spreker 45 landen bezocht om zo haar kennis te delen en andere te inspireren waar nodig en te helpen waar kan. Voor de Academie Publieke Sector verzorgt zij de cursus ‘Cyberbedreigingen in de publieke sector’.