Het was een even vermakelijke als muzikale startschot van de internationale vakbeurs Cybersec Europe in Brussel, maar ook een waarschuwing van cybersecurity-goeroe-duo Eddy Willems (G Data) en Righard Zwienenberg (Eset): binnen cybersecurity worden nog steeds de meest basale fouten gemaakt door mensen en ‘you ain’t see nothing yet'. Het tweetal strooit met voorbeelden van cyberincidenten, inclusief een waarbij betrokken een politicus met een master in it op zak.
‘Dan wordt het Twitter-account van een collega gehackt, dan zou je denken dat je zelf de beveiliging van je eigen account controleert’, zo tekenen we uit de mond van Willems op. ‘Maar dat doe je dan niet, je zet niet eens je tweefactorauthenticatie aan.’ Willems is niet mals als hij dit voorbeeld aanhaalt van de Vlaamse minister-president Jan Jambon. Zijn Twitter werd gehackt vlak nadat meerdere accounts van politici werden overgenomen. De reden dat Willems, zelf Belg, Jambon harder aanpakt dan de rest: Jambon heeft een master in it.
Politici in de fout
Zwienenberg, Nederlander, haalt ook een voorbeeld aan, maar hier gaat het om de vermenging van werk- en privémail. Zijn voorbeeld is dan ook Nederlands, waarbij coronaminster Hugo de Jonge thuis een mailserver installeerde die hij gebruikte voor zowel zijn privé- als werkmail. Dit ging fout met een pittige politieke discussie tot gevolg. Diens opvolger Conny Helder moest tekst en uitleg geven waaruit bleek hoeveel standaardsecurityprocedures waren overtreden door De Jonge. ‘En bleef het daar maar bij’, vervolgt Zwienenberg. ‘Maar het werd nog erger. Want waar De Jonge publiekelijk aan de schandpaal werd genageld, beging Helder zelf ook een kapitale fout. In het publieke debat noemde zij het privémailadres van De Jonge. Gevolg: in de kortst mogelijke tijd ontving De Jonge negentig e-mails en moest hij zijn e-mailadres uit de lucht halen.’
Maar daar blijft het niet bij, het presentatieduo strooit met meer voorbeelden waarbij politici de fout ingaan met het door elkaar gebruiken van werk- en privémail. Femke Halsema, burgemeester van Amsterdam biecht het op, Hillary Clinton, die president van Amerika kon worden, deed het ook. En dat is dan ook waar volgens Willems en Zwienenberg de schoen wringt: het is al zolang bekend dat je werk- en privémail gescheiden moet houden, maar mensen blijven ze door elkaar gebruiken. Zelfs de beleidsmakers doen het, en dat schuurt.
Spyware Pegasus
Willems en Zwienenberg benoemen aansluitend ook nog Pegasus, de spyware voor op smartphones ontwikkeld door het Israëlische NSO Group. Het wordt door de overheid ingezet om bijvoorbeeld criminelen te kunnen bespioneren. Zo wist de Nederlandse politie de spyware op de telefoon te krijgen van Ridouan Taghi. Maar de software werkt ook tegen hen. Pegasus wordt aangewend om politici over de hele wereld in de gaten te houden. En via Pegasus is het dus mogelijk om indirect, maar heel precies alle ontwikkelingen in de wereld te volgen.
De securitygoeroes willen dan ook het publiek wakker schudden, en dat lijkt aardig te lukken bij de opening van vakbeurs Cybersec Europe. Het nummer ‘You ain’t seen nothing yet’ van Bachman-Turner Overdrive uit 1974 knalt uit de boxen van de mainstage. Het brengt Zwienenberg op een metafoor. ‘Ik ben een drummer, deze song rockt echt. Maar dit geldt ook voor cybersecurity, zeker in combinatie met politici. Er zijn zoveel voorbeelden van cyberincidenten, maar we blijven ze maar maken.’ Willems is het daarmee eens. ‘We hebben te maken met veel menselijk falen en fouten, en dat verandert niet. Beslissers moeten opstaan en cybersecurity omarmen, maar ze lijken er niet eens serieus naar te willen kijken. Ik hoop dat we deze presentatie nooit meer hoeven te doen. Maar daar heb ik een hard hoofd in’