Schurken, journalisten, voetballers en celebrities. Meer heeft een Hollywood-scenario niet nodig. Het dook de voorbije weken allemaal op in de Panama Papers, de grote verzameling vertrouwelijke documenten vanuit het intussen beruchte advocatenkantoor Mossack Fonseca.
Het kantoor met thuisbasis in belastingparadijs Panama werd door de rich & famous van deze planeet ingeschakeld om geld te verduisteren. Maar veel van hun informatie werd vanuit het kantoor gelekt naar de buitenwereld. Met meer dan 2 terabyte is het het allergrootste datalek aller tijden.
In het boek, met eveneens Panama Papers als titel, onthullen de twee Duitse journalisten van de Süddeutsche Zeitung hoe ze de confidentiële informatie ontvingen en vervolgens te werk gingen. Ik heb het de voorbije dagen in één ruk uitgelezen. Het heeft alles in zich wat je in een thriller van Tom Clancy of Stieg Larsson kan terugvinden. Het heeft (helaas) één groot verschil: het is allemaal echt gebeurd.
De financiële constructies, de drugbazen, de corrupte Poetin-vrienden, de Fifa-steekpenningen en Afrikaanse dictators uit het boek laat ik voor wat het is. Ik richt me voor deze column op de elementen die ook voor een modaal bedrijf en (vooral) hun it-afdeling van tel zijn.
1. The devil inside
De Panama Papers vormen het grootste datalek aller tijden, meer dan duizend keer zo groot als Wikileaks. Ruim acht miljoen uiterst confidentiële documenten verstuurde een bron naar de twee Duitse journalisten.
Voor al deze informatie kreeg deze anonieme bron geen geld. Hij (of zij) wilde, net zoals Edward Snowden, gewoon mistoestanden aanklagen. Hij bezorgde de Duitse journalisten een aanhoudende stroom van uittreksels, dossiers en e-mails van duizenden klanten en hun vaak erg dubieuze deals. Die klanten kwamen van de vier windstreken met allemaal één eigenschap: zo veel mogelijk geld verduisteren naar offshore-rekeningen in belastingparadijzen als Panama. Geld dat meestal het daglicht niet mocht zien.
Tot op vandaag is het nog gissen wie al die informatie heeft gelekt. Vermoedelijk is het iemand van binnen de organisatie van het advocatenkantoor van Mossack Fonseca zelf. Mogelijk zelf iemand van de it-afdeling. Opvallend was de aanhoudende stroom aan informatie die zeer recent was. Het was alsof de twee journalisten over de schouder van de Mossack Fonseca-medewerkers konden mee lezen.
2. Big data is er sneller dan je denkt
De twee Duitse onderzoeksjournalisten kregen op enkele weken 2,6 terabyte aan hoogste vertrouwelijke bedrijfsinformatie onder vorm van pdf’s en e-mails. Daardoor moesten ze herhaaldelijk bij hun chef gaan aankloppen om een nog krachtige laptop aan te kopen.
Het laatste type pc kostte zeventienduizend euro en had 128 gigabyte werkgeheugen en vijf ssd-harde schijven met in totaal 8,256 terabyte geheugen. Omdat het om een geheim project ging begreep de aankoopdirecteur van de krant niet waarom er zo’n krachtig toestel moest gekocht worden voor een journalist die ‘toch alleen maar artikelen moet typen’.
Ook de software moest aangepast worden. De Australische software van Nuix kan grote hoeveelheden data snel verwerken. Die software is peperduur, maar de journalisten kregen enkele gratis licenties. Voor het goede doel.
3. Visualisatie: data (veel) meer dan IT-project
De Duitse journalisten begrepen snel dat ze de verkregen informatie moesten delen. Ze contacteerden de ICIJ, de internationale vereniging voor onderzoeksjournalistiek. Het onderzoeksproject oversteeg namelijk al snel het niveau van enkele artikelen in een Duitse krant. Het werd een dataproject. Ook dat is een it-les: veel it-projecten zijn te belangrijk (of ingrijpend) om ze enkel aan de it-afdeling over te laten
Via de ICIJ konden de Duitse journalisten (en later veel andere internationale journalisten, die zich bij het project aansloten) een beroep doen op enkele datawetenschappers die de berg aan data konden voorbereiden. De meer dan honderd journalisten wereldwijd, kregen hierdoor later een nuttige toepassing die ze naar hun hand konden zetten. Het was pas de interpretatie en visualisatie van alle data die de verbanden deed leggen en de mistoestanden kon inschatten en aanklagen.
4. Offline is the real security
De nieuwe laptop van de Duitse journalisten met alle confidentiële informatie vanuit Mossack Fonseca werd bewust niet gekoppeld aan een (draadloos) netwerk. Op die manier konden kwaadwilligen slechts aan de data geraken als men er fysiek bij geraakte. Een airgap, zoals dat heet.
Eigenlijk werden aanvankelijk alle data uit het dossier bewust offline bewaard. Toen alle gelekte data naar de VS moesten voor de data-voorbereiding, gebeurde dit niet via een beveiligde internetverbinding, maar manueel met het vliegtuig. De externe harde schijf werd versleuteld. Men deed dit op een slimme manier, zodat bij het ontsluiten van de data enkel ‘onschuldige’ documenten zichtbaar zouden zijn.
Via Truecrypt werd de betreffende externe harde schijf namelijk zo versleuteld dat ze op het eerste zicht alleen maar gewoon versleuteld lijkt. In werkelijkheid stond er op de harde schijf, naast de zichtbare schijf, nog een drive die onzichtbaar en versleuteld is. En om die data draaide het.
Deze offline-aanpak zorgde aanvankelijk voor de echte security. Hadden ze dat bij Mossack Fonseca op voorhand ook maar in de oren geknoopt.
Het moge helder zijn, het moet vrijwel een inside job zijn geweest of het was iemand a la Ton Elias die de uitgaande pipe heeft gemonitored. Hoe het ook zij, het is een hele duidelijk signaal dat wanneer je het idee hebt dat je persoonlijke data veilig en wel ‘anywhere’ zou staan, je nu weet dat dit gewoon niet het geval is.
Dit zou een signaal moeten zijn een gezond wantrouwen te blijven koesteren, ook betreffende al die commerciële geesten die toch maar wat graag en dagelijks roepen, dit is de weg, dit is het product, neen er is niets anders en of u wil of niet, het zal de nieuwe realiteit worden. Bottom line? Zij willen graag uw portemonnee en dat zie je dan hier ook gebeuren met al die grote namen die verschijnen.
Onder die namen ook Nederlanders die het grootste gelijk van de wereld hebben. Want laten we wel zijn, als u minstens een miljoen zou bezitten, zou u dan nog in Nederland blijven? Ik weet zeker dat menig accountant van KPMG of Deloitte u meteen zal adviseren uw geld asap weg te sluizen. Want eerlijk is eerlijk, wie wil er nu voor tomeloze ambtelijk en politiek onvermogen plus ketengevolgen aan schade met belastinginning opdraaien?
U zou wel gek zijn. Dus twee gouden regels:
1. Stal je belastinggeld elders …
2. Verdeel en heers
Meer kan ik u niet aanbieden.