Huib Modderkolk over de schaduwzijde van de digitalisering: ‘Je maakt jezelf én je klanten kwetsbaar door te veel gegevens te verzamelen’

Hoe hard we onze systemen ook proberen te beveiligen tegen hackers allerhande, iedereen kan het slachtoffer worden van datalekken en digitale inbraakpogingen. En er is zelfs niet zo gek veel voor nodig om het doelwit te worden van veiligheidsdiensten, waarschuwt journalist Huib Modderkolk. “We leven in een tijd van massaspionage.”

Of ik een identiteitskaart of rijbewijs ter identificatie kan voorleggen, vraagt de vriendelijke veiligheidsman aan het onthaal van het gebouw waar de redactie van de Volkskrant huist in de Amsterdamse Oostenburgbuurt.

Het is wellicht omdat ik net het boek van Huib Modderkolk heb gelezen dat ik onmiddellijk op mijn hoede ben. Wordt mijn e-ID nu gewoon bekeken? Of toch ingelezen? Worden die gegevens dan bijgehouden, en voor hoelang? En wie houdt ze dan bij? DPG Media, de eigenaar van de krant waarvoor Huib Modderkolk werkt? Of het beveiligingsbedrijf zelf?

En toch stel ik die vragen niet aan de veiligheidsman. Ik geef net als de meeste bezoekers gedwee mijn identiteitskaart af in ruil voor een digitaal pasje.

Eenmaal ik dankzij dat pasje toegang heb gekregen tot de redactie, is het daarover makkelijk grapjes maken met Modderkolk. Maar ik heb in gedachten wel de juiste vragen gesteld, blijkt uit zijn boek. Modderkolk heeft zich als verslaggever en onderzoeksjournalist de afgelopen twee decennia gespecialiseerd in veiligheidsdiensten en de digitale wereld. Daardoor werd hij zelf al eens het doelwit van veiligheidsdiensten en raakte hij verstrengeld in een informatiegevecht met een agent van de Iraanse veiligheidsdienst en diens collega van de Mossad, de roemruchte Israëlische veiligheidsdienst.

Zijn relaas daarover leest als een spannend jongensboek met ingrediënten van oorlog en spionage, maar het is het soort verhaal waar iedereen lessen uit kan trekken. Want niet alleen onderzoeksjournalisten komen op de radar van veiligheidsdiensten te staan, het kan ook een marketeer of een ambtenaar overkomen. “Iedereen met een potentiële toegang tot interessante informatie kan een doelwit worden”, aldus Modderkolk. “We denken dan vaak aan Russische en Chinese hackers die in dienst van hun overheid werken. Maar als een westerse inlichtingendienst wil binnenraken in jouw systemen, dan doet die dat ook. En je zal er niets van merken.”

Er lopen een paar verhalen door elkaar in dit boek, zoals uw eigen ervaring met veiligheidsdiensten. Maar het is veel ruimer dan dat. Het illustreert alles wat verkeerd kan lopen in onze digitale wereld. Wat was uw motivatie om dit boek nu te schrijven?

HUIB MODDERKOLK. “Ik schrijf voor de krant veel verhalen over de gevaren en valkuilen van de digitale wereld. Maar het is pas als je ze naast elkaar plaatst en met elkaar in verband brengt, dat je het grotere geheel gaat zien. Ik vergelijk het een beetje met de klimaatcrisis. We schrijven verhalen over het gestegen waterpeil van de Rijn, over smeltende ijskappen en over het feit dat de gemiddelde temperatuur deze maand weer de hoogste is sinds het begin van de metingen. Maar hebben we daar nu al zwaar last van? Voorlopig niet, dus zijn er veel mensen die daar de schouders voor ophalen. Maar als je al die ontwikkelingen op een rijtje zet, zie je een bredere ontwikkeling die je niet meer kunt negeren. Dat is met de digitale wereld net zo.

“Vladimir Poetin noemde het enkele jaren geleden al onze belangrijkste levenssfeer, dus het is vreemd dat we nog altijd over de digitale wereld praten, want het is gewoon onze reële wereld geworden. En toch hebben we geen juist beeld van wat daar precies gebeurt en welke invloed dat heeft op ons bestaan. Als ik dat allemaal op een rij zet in een boek, zie je de zorgelijke onderstromen en ga je beseffen dat we ons kritischer moeten verhouden tot die digitale wereld. En ik ben geen techpessimist. Die wereld biedt veel kansen, maar kan tegelijk ontwrichtend zijn. Daar moeten we attenter voor worden.”

Ik moest ook vaak terugdenken aan de bankencrisis. Ook daar werden systemen opgetuigd waarover veel mensen geen controle hadden, ook niet bij de banken zelf.

MODDERKOLK. “Ik denk dat die vergelijking terecht is, al zou je kunnen zeggen dat de banken over het algemeen een geslotener ecosysteem zijn dan de techwereld. Het digitale gaat overal dwars doorheen. Het zorgt ervoor dat China machtiger kan worden omdat het volop informatie verzamelt, en dat Rusland doet wat het graag doet: via allerhande desinformatie de westerse democratieën ondermijnen. Zij zijn de vervuilers van het digitale ecosysteem, en dat heeft hier invloed. Thierry Baudet, de voorman van Forum voor Democratie, beweerde na de dood van Aleksej Navalny dat hij was overleden omdat hij net zijn vierde mRNA-vaccin had gekregen.”

Slechts een kleine minderheid neemt dat ernstig, toch?

MODDERKOLK. “Wij kunnen daar eens om lachen, maar zo’n bewering komt rechtstreeks uit de koker van het Kremlin. Wat zij na de moord op Navalny deden, is daar allerlei dingen rond creëren, zoals foto’s van een lachende weduwe, of dat de CIA het heeft gedaan. Allemaal alternatieve theorieën, en die worden inderdaad slechts door een minderheid geloofd, maar als je 20 procent mensen kunt doen twijfelen, dan heb je vanuit Russisch perspectief heel effectief ondermijnend gewerkt. Soms vinden Russen en christelijk-conservatieve krachten elkaar daarin. Zo wordt de week van de Lentekriebels over seksuele vorming dan bijvoorbeeld geframed als het promoten van pedofilie. Een ander voorbeeld: na de aanval van Hamas op 7 oktober verschenen in Parijs en op andere plekken in Europa Jodensterren. Dat is een operatie van de FSB, de Russische veiligheidsdienst. Dat wordt dan versterkt online en opgepikt. Zo slaagt Rusland erin in het Westen onrust te creëren.”

Desinformatie is één ding, er wordt ook volop informatie gestolen via hacks. Er is een ware informatieoorlog aan de gang. Waarom weten we daar zo weinig over?

MODDERKOLK. “We leven in een tijd van massaspionage. Maar veel partijen, ook de slachtoffers, hebben er geen belang bij daarover iets openbaar te maken. En als het dan toch eens naar buiten komt omdat het niet anders kan, dan wordt het vaak geminimaliseerd. Denk ook aan de cyberinbraak bij Proximus in 2011 en 2013, waarbij telecommunicatie werd onderschept. Dat was het werk van Amerikaanse en Britse inlichtingendiensten.”

Doorgaans wordt dan gezegd: we zijn gehackt, maar uw gegevens zijn nog altijd veilig.

MODDERKOLK. “Dat kunnen die bedrijven helemaal niet weten! Vaak is het moeilijk om te achterhalen wie achter een hack zit, en dan is het zeker moeilijk om te weten wat ze precies met alle gestolen informatie doen.”

Proximus is een grote speler, maar volgens u kan iedereen het doelwit worden van een inlichtingendienst.

MODDERKOLK. “Iedereen die potentieel toegang heeft tot interessante of gevoelige informatie, kan een doelwit worden. Ik maakte een paar jaar geleden een podcast over een Nederlandse e-mailmarketeer in Barcelona, die onder meer werkte voor Omnium, de stichting achter het referendum voor Catalaanse onafhankelijkheid. Die man had in zijn bestanden alle adressen en gegevens van de donateurs en supporters van Omnium. Hij werd hoogstwaarschijnlijk het doelwit van de Spaanse inlichtingendienst, al blijft het haast onmogelijk dat staalhard te bewijzen. Dat is de moeilijkheid met onderzoeksjournalistiek naar inlichtingendiensten: het staat zelden zwart op wit.”

Wat kunnen bedrijven als zo’n marketingagentschap doen om zich beter te beveiligen?

MODDERKOLK. “Als een westerse inlichtingendienst wil inbreken in jouw systeem, kun je dat niet tegenhouden. Bij Russische en Chinese hackers wordt het vaak sneller opgemerkt, vooral Russen durven nogal eens nonchalant zijn. Maar bedrijven zouden zich kunnen afvragen waarom ze al die gegevens willen bijhouden, en hoelang. Soms is dat helemaal niet nodig. Je maakt jezelf én je klanten kwetsbaar door te veel gegevens te verzamelen. Ik kreeg onlangs een mail van het Coronalab waar ik was getest, dat er een datalek was geweest en ook mijn gegevens waren gestolen, waaronder een digitale kopie van mijn paspoort. Dan denk ik: dat hoeven jullie helemaal niet zo lang te bewaren, dat had je de dag nadien al kunnen verwijderen uit je bestanden. We stellen ons daar veel te weinig vragen bij.”

We hebben ook allerlei veiligheidssystemen van industriële processen gedigitaliseerd, met als argument dat dit veiliger zou zijn. Maar dat blijkt niet altijd het geval te zijn. Integendeel, soms hebben we die systemen net kwetsbaarder gemaakt.

MODDERKOLK. “In sommige gevallen is dat inderdaad zo. Dat komt omdat we de dreiging niet direct zien. Waarom zou ik allemaal dure en ingewikkelde maatregelen nemen om mijn smartphone of laptop te beveiligen, als ik niets merk van een dreiging? We hebben de neiging alleen maar de voordelen van de automatisering en digitalisering te zien, en vaak gaat het om een kostenbesparing. Maar als je daarna met een veiligheidsprobleem zit, kom je vaak duurder uit. Ik geef in het boek het voorbeeld van de Amsterdamse bruggen en sluizen. De brug- en sluiswachters werden ontslagen, hun wachthuisjes werden verkocht aan een hotelketen, en de sluizen en bruggen zouden voortaan op afstand digitaal worden bediend. Maar dat betekent dus ook dat iemand die in dat systeem raakt ook die sluizen en bruggen kan overnemen. Er liep vervolgens van alles verkeerd – bruggen die plots opengingen zonder waarschuwing en dat soort zaken. Dus moesten de wachters weer worden aangenomen om alles manueel te doen. Alleen moesten ze dan in een barak naast hun oude onderkomen gaan zitten, want die wachthuisjes waren nu luxe hotelkamers geworden. Ik vond dat erg symbolisch. En dat voorbeeld van die sluizen kun je misschien nog onschuldig vinden, maar elk systeem valt te manipuleren – denk aan satellieten of nucleaire installaties.”

Vanwaar komt het grootste gevaar? Criminele organisaties? Of toch landen als Rusland of China?

MODDERKOLK. “China. Zijn diensten verzamelen hier massaal gegevens en ze gebruiken ze volop. Dat gaat over industriële spionage, maar ook over persoonsgegevens. Dan kan het interessant zijn als iemand bijvoorbeeld politieman wordt, of naar China reist, dan ken je die persoon al een beetje. En ze hebben dankzij die gegevens ook de mogelijkheid om zich te mengen in het publieke debat. Dat doen ze volop, maar ik betwijfel of onze ministeries van Buitenlandse Zaken actief zijn op Weibo, de Chinese variant van X.”

Integendeel misschien. In onze steden hangt het vol met veiligheidscamera’s van het Chinese Hikvision, waarbij in de contracten staat dat de data beheerd worden door de Chinezen.

MODDERKOLK. “Dat staat standaard zo in die contracten, ook bij westerse firma’s. Maar onze besturen kopen bij de Chinezen omdat die iets goedkoper zijn. Maar dat is uiteraard niet zonder risico. Het kan zijn dat de camera’s van Hikvision die in Oekraïne hangen gebruikt worden om doelwitten in die steden te identificeren. Oekraïners kijken nu wel met andere ogen naar die veiligheidscamera’s. En er rijst langzaam het besef dat we misschien iets terughoudender moeten zijn als we zakendoen met China.

“Maar politici spelen daar toch een heel dubbelhartige rol in. Enerzijds hebben ze kritiek op TikTok, en ambtenaren mogen het niet gebruiken omdat het onveilig zou zijn. Maar tijdens de verkiezingscampagnes keren ze toch naar TikTok, met als argument dat ze daar jongeren kunnen bereiken. Als het je ernst is met die veiligheid, dan blijf je weg van TikTok.” z

Huib Modderkolk, Dit wil je écht niet weten, Podium, 288 blz, 20,99 euro