Van spioneren naar saboteren: online ben je zo kwetsbaar

Het jaar 2011. Inmiddels acht jaar geleden. Herinner je je nog wat voor jaar dat was? 2011 was het jaar van de iPhone 3. 2011 was het jaar waarin Osama Bin Laden werd gedood. 2011 was ook het jaar van Robin. Robin is een Nederlandse vrouw die in dat jaar naar Engeland gaat. Haar man krijgt daar een baan, en zij gaat mee. Maar ze verveelt zich. Ze heeft geen baan, dus ze gaat op zoek naar een klusje. Ze wil iets vanuit huis doen, en na een rondje googelen vindt ze vertaalopdrachten.

Ze komt uit bij het Australische bureau Appen. Dat biedt vertaalopdrachten aan voor mensen die spraak kunnen omzetten in tekst. Het is een online bureau, dus ze doet een online-test. Dan krijgt ze een mailtje van ene Ellen, die zegt: je hebt het goed gedaan. Robin krijgt dan, zodra er een klus beschikbaar is, een mailtje van deze Ellen om deel te nemen aan het volgende project. 'You should now see the following project available', staat er dan. Als Robin daarop klikt, komt ze op een website. Op die website staan korte fragmentjes van ongeveer 20 of 30 seconden, waarin ze Nederlanders hoort praten. Ze weet niet precies waarvoor, maar haar opdracht is om die fragmenten uit te typen.

Al snel komt ze erachter dat het veel fragmenten zijn. Honderden, duizenden fragmenten. Ze doet dit wekenlang en wordt er steeds behendiger in. Het valt haar op dat het mensen zijn die over een vakantie praten, of over een relatie. Gewone mensen zoals jij en ik. Mensen die in de regio Den Haag werken, of regio Amsterdam. Ze hoort taxichauffeurs. Mensen met Turkse of Marokkaanse achtergrond.

2011 is ook het jaar dat hackers van de Amerikaanse NSA vijftigduizend computersystemen wereldwijd binnendringen en daar kwaadaardige software achterlaten. Zodat ze altijd terug kunnen komen naar die systemen, en ze een berichtje krijgen als daar iets interessants gebeurt.

2011 is ook het jaar dat de Britse geheime dienst GCHQ internetkabels aftapt, en gegevens van 600 miljoen telefoontjes per dag opslaat.

2011 is ook het jaar dat de Nederlandse AIVD webfora hackt: online-plekken waar mensen samenkomen. Daar hackt de dienst de databases van, om te kijken: wie komen daar eigenlijk allemaal? Dat betreft de gegevens van duizenden mensen.

Robin werkt maandenlang met Appen. En ze komt erachter dat ze snel moet reageren als ze een mailtje krijgt, want er zijn ook andere mensen die aan dat project meewerken. Hoe meer zij vertaalt, hoe meer ze betaald krijgt. Maar als ze niet snel genoeg is, dan is het alweer weg.

Op een dag gebeurt er iets geks. Ze klikt een fragmentje aan en ze hoort de stem van haar ex-vriend. En ze denkt: dat kan niet, ik ben gek geworden. Ze hoort haar ex-vriend een voicemail inspreken. Waarschijnlijk van zijn nieuwe vriendin, want hij gebruikt een koosnaampje voor haar, die hij ook bij Robin gebruikte. Dus Robin weet zeker dat het haar ex-vriend moet zijn.

Ze belt hem op en hij reageert geërgerd. Dit kan niet waar zijn, zegt hij. Maar zij kan hem allerlei details van dat gesprek geven. Dat hij in de auto zat. Dat het over een zakelijke deal ging. Dat hij dat vertelde tegen z'n nieuwe vriendin. Dan moet hij concluderen dat wat ze zegt klopt. Dat telefoongesprek had een paar weken eerder plaatsgevonden.

Hoe kan het dat dit telefoongesprek, gepleegd via Vodafone in Nederland, bij een Australisch bedrijf terechtkwam en zo uiteindelijk door Robin werd beluisterd in Engeland?

We gaan vier jaar verder. 2015. Een koude decemberavond. 23 december 2015. In West-Oekraïne is er een technisch medewerker van een elektriciteitsbedrijf die net naar huis wil gaan. Hij pakt zijn jas en loopt naar de computer. Dan ziet hij dat de cursor op zijn scherm beweegt.

Hij pakt z'n muis en probeert die cursor ook te bewegen. Maar dat lukt niet. Dan ziet hij dat de cursor een scherm opent. Dat scherm regelt de controle over elektriciteit-stations. Dan ziet hij dat er staat: uitschakelen. En de cursor klikt daarop. Dat betekent dat een elektriciteit-station even verderop wordt uitgeschakeld. De man pakt de muis, probeert wanhopig te voorkomen dat een volgend station wordt uitgeschakeld. Maar dan logt het systeem hem uit. Als hij weer wil inloggen ziet hij dat zijn wachtwoord is gewijzigd. Hij kan niks doen.

De aanvallers schakelen zo zestig elektriciteit-stations uit, op een moment dat het extreem koud in Oekraïne. Mensen komen in het donker en in de kou te zitten, en hebben geen elektriciteit of water. Wat de aanvallers ook nog doen, is het overspoelen van de elektriciteitsbedrijven met neptelefoontjes. Zodat mensen die zich zorgen maken, de elektriciteitsbedrijven niet kunnen bellen.

Wat deze man niet weet, en wat wij toen ook niet wisten, is dat deze aanval een half jaar eerder al werd gezien door de Nederlandse MIVD. Zij hadden een aanvalscomputer gevonden in een datacentrum in Meppel, langs de spoorlijn tussen Zwolle en Groningen. De MIVD is dat ding gaan tappen en zag dat de computer van Russische hackers was. Zij bleken in Oekraïne op zoek naar elektriciteitsbedrijven om daar software achter te laten. Daarnaast waren ze in Oost-Europa op zoek naar mediaredacties, waar ze bijvoorbeeld bij lokale verkiezingen vanaf een afstand binnendrongen, om documenten en video's te verwijderen, zodat journalisten niet over de verkiezingen konden berichten.

En ze deden in het Westen verkenningen van de besturing van bruggen en sluizen. Even kijken wat voor software daar draait. Dit leidt bij de MIVD tot schrik. Altijd hebben ze gedacht: het gaat om spioneren. Er komt vast een moment dat het internet gebruikt gaat worden voor beïnvloeding, voor sabotage. Nu is kennelijk dat moment.

De MIVD houdt samen met de bazen van de AIVD en de NCTV (de Nederlandse veiligheidsdiensten) een geheime bijeenkomst in de blauwe kamer van Algemene Zaken, met premier Rutte. Ze zeggen: Wij zien dat de eerste hoofdstukken worden geschreven van hetgeen waar wij altijd voor waarschuwen. En hier maken wij ons zorgen om. Wij vinden dat Nederland, u, meneer Rutte, 340 miljoen euro moet vrijmaken om ons te beschermen. Om digitaal specialisten op te leiden, om een nationaal detectienetwerk te verbeteren.

De premier hoort dit aan, samen met enkele van zijn ministers. Schrikt hiervan, maar doet niks. Als het om geld gaat, trekken de ministers zich terug. Algemene Zaken heeft geen eigen budget. Defensie moet al heel veel bezuinigen, Buitenlandse Zaken wil liever geld aan iets anders geven.

Wat zeggen deze twee verhalen nou? Van 2011 tot 2015. Van spioneren naar saboteren. In zo'n kort tijdsbestek is de rol van inlichtingendiensten aan het veranderen. Maar het zegt ook iets anders. Premier Rutte, daarmee geconfronteerd, wil geen geld vrij maken. Daar kunnen we natuurlijk allemaal verontwaardigd over zijn. Maar het is niet heel erg anders van wat wij allemaal doen.

We delen, we mailen, we appen, we liken. En we weten ook dat dat risico's geeft. Dat dezelfde apparaten die wij gebruiken om bijvoorbeeld met Google Maps door het verkeer te navigeren ook nieuwe risico's geven. De waarschuwingen kennen we, maar toch gaan we ermee door. Een fiets zetten we op slot, maar een passwordmanager zetten de meeste mensen niet op hun telefoon. Waarom is dat?

Ik heb zes jaar onderzoek gedaan naar de digitale wereld. Ik heb me altijd afgevraagd: hoe kan het dat we dat niet zien? Dat we er niets aan doen en die risico's niet willen ervaren. Ik denk dat het komt omdat we die risico's echt niet zien. Als we een fiets niet op slot zetten dan weten we dat hij weg is. De dreiging voor een mobiele telefoon is onzichtbaar, maar de gevolgen kunnen veel groter zijn.

Digitalisering laat zich vergelijken met antibiotica. Er zijn talloze voordelen. Je kunt er heel veel ziektes mee genezen. Alleen er is een keerzijde. Bij ondoordacht gebruik ontstaan nieuwe risico's, dan worden we immuun voor bepaalde ziektes. Zo is het ook met digitalisering. Er zijn talloze voordelen. Maar bij ondoordacht gebruik van ons allemaal worden we extra kwetsbaar.