23

Log4j Trumps Twitteraccount De Log4j­crisis in december 2021 markeerde een overgang in de manier van werken door de Rijksoverheid tijdens een cyberveiligheidscrisis. Voor het eerst werkten alle betrokken partijen samen in een chatkanaal. “Daar pleiten wij al voor sinds 2016”, zegt Gevers. “E­mail is prima voor de dagelijkse werkzaamheden, maar als je een crisis moet managen met het Rijk en externe partijen, dan moet iedereen elkaar kunnen zien. In een chat is iedereen altijd in the loop. Vervolgens gebruik je een platform waarop iedereen stukjes informatie kan delen. DIVD werkt al jaren met GitHub, het open platform voor programmeurs. We vertrouwen op de verantwoordelijkheid van de community om de juiste informatie aan te leveren.” Bij de Log4j­crisis konden organisaties die zelf onderzoek hadden gedaan naar kwetsbare producten dat melden in het Githubkanaal van het NCSC. Deze werkwijze leverde internationaal veel waardering en navolging op. Victor Gevers kreeg internationale bekendheid nadat hij in 2016 en in 2020 het Twitter-account van Donald Trump was binnengedrongen. Het wachtwoord bleek voor de hand liggend (in 2020 was het maga2020 - van Make America Great Again) en van tweefactorauthenticatie was op dat moment geen sprake. Voor Gevers was het een erezaak om volgens ‘de spelregels’ te spelen. Dat betekent onder meer dat hij geen misbruik maakte van zijn positie door de DM's van de toenmalige president te lezen of een tweet te plaatsen. Wel nam hij screenshots als bewijs. Hij probeerde op alle mogelijke manieren Homeland Security, het Amerikaanse ministerie voor binnenlandse veiligheid, te laten weten wat er was gebeurd. Frustrerend genoeg bleven zowel de Amerikaanse overheid als Twitter de hack ontkennen. “Inmiddels hebben we een goede samenwerking met Homeland Security”, zegt Gevert. “Ze erkennen nu zelf ook dat ze hadden moeten zorgen voor een kanaal om security issues te melden.” kan zitten. Het kan een weekend duren voordat het opgelost is. Maar als een kwetsbaarheid op donderdag bekend wordt, zou hij op vrijdagochtend gepatcht moeten zijn. Niet pas op maandagochtend.” Het moet sneller? “Ja, en dat betekent dat je moet kiezen. In de overheidscultuur gaat men uit van maandag tot en met vrijdag van acht tot vijf. Een dienst kan er in die tijd niet even uit. Maar als je bestuurlijk afspreekt dat bepaalde diensten móeten worden gepatcht, dan is een ambtenaar die middag van twaalf tot drie even vrij en werkt hij op een ander moment drie uurtjes door. We zijn er om de maatschappij te bedienen, maar ook om het goede voorbeeld te geven.” Gevers spreekt over 'we', omdat hij zelf bij het ministerie van Binnenlands Zaken en Koninkrijksrelaties werkt. Om de twee banen te combineren, staat hij elke ochtend om vijf uur op. Behalve in goed timemanagement gelooft hij in een organisatiestructuur waarin de zwaarste last ligt op de jongste schouders. “Binnen DIVD is de bestuurscultuur zo ingericht dat je snel ervaring opdoet, toetreedt tot het bestuur en na twee jaar je plaats weer afstaat. Die doorstroom is gezond en creëert diversiteit. De gemiddelde leeftijd is 35. Val je daar onder, dan ben je de klos: hoe jonger je bent, hoe zwaarder ik de verantNummer 42, april 2022 woordelijkheden naar binnen gooi. Jij hebt nog de energie om dat te kunnen dragen.” Zwart t-shirt Zelf schakelt Gevers op zijn 45ste een tandje terug binnen DIVD, waar hij is benoemd tot hoofd onderzoek. Tegelijk is het idealisme uit de beginjaren nog steeds springlevend. Met de DIVD Academy wil hij vanaf 2022 een nieuwe generatie hackers opleiden. Als rijksambtenaar kent Gevers de behouden cultuur binnen de overheid goed, maar weet hij ook dat die voorzichtigheid er soms toe leidt dat jonge hackers denken dat de overheid niets doet met hun meldingen. “Wij kunnen ze trainen hoe je omgaat met een mammoettanker als de Rijksoverheid.” Ook zijn er plannen om ongeschoolde jongeren te betrekken bij de uitvoering van simpele werkpakketten. Daarnaast ziet hij het als zijn taak om te zorgen dat talentvolle jonge hackers geen strafblad krijgen. “DIVD is partner van Team High Tech Crime, dus via hen komen ze ook wel bij ons terecht. Maar ik heb liever dat ze een zwart t-shirt met 'I hacked the Dutch government' verdienen zonder in aanraking te komen met de politie. Met zo'n aantekening in je dossier kun je fluiten naar een baan in security bij de Rijksoverheid, terwijl er een chronisch tekort is aan goede mensen. Dan haal ik ze liever nu al naar binnen, waar ik ze kan later zien hoe het wél moet.” 23

24 Online Touch Home