Europol blundert met terrorisme-dossiers

Ruim 700 pagina’s politiedossier over terrorisme zijn gedurende langere tijd voor iedereen toegankelijk geweest via internet. In de documenten van Europol worden 54 Europese terrorisme-onderzoeken genoemd, uit 8 verschillende landen. Het tv-programma Zembla toonde vanavond informatie uit de vertrouwelijke stukken, die op een onbeveiligde backup schijf werden aangetroffen.

Door Vincent Verweij

Europol geeft de fout toe, noemt het ‘een zeer ernstig incident’ en heeft onderzoek gedaan in acht Europese lidstaten naar de mogelijke gevolgen van het lek. Europol is een samenwerkingsverband tussen de politiediensten van de Europese Unie en heeft zijn hoofdkantoor in Den Haag.

Backup

De bestanden zijn door een medewerkster van de Nationale Politie, die tot begin dit jaar bij Europol werkte, tegen de regels vanuit het hoofdkantoor meegenomen naar huis. Vervolgens maakte zij een backup van de documenten op een privé iOmega netwerkschijf, een harddisk die zonder wachtwoord met internet was verbonden. ‘Dit raakt de vertrouwelijkheid en dat is ook de reden dat we meteen een onderzoek hebben ingesteld, om te kijken hoe dit heeft kunnen gebeuren’, zei Wil van Gemert, adjunct-directeur van Europol vanavond in de uitzending van Zembla. De hele uitzending is hier terug te kijken.

Ramp

Computerexpert Ronald Prins van beveiligingsbedrijf FOX-IT noemt het datalek ‘een ramp’. Hij zegt in de uitzending:

Het is verschrikkelijk. Er wordt ontzettend hard gewerkt door al die mensen om dit soort informatie te verzamelen, er wordt heel veel geld uitgegeven aan procedures, apparatuur en trainingen, om te zorgen dat dit soort dingen niet op straat komen. En dan is er altijd eentje die daar maling aan heeft.

Geheim

De documenten, die zijn voorzien van meerdere geheimhoudingskenmerken, bevatten analyses van terroristische groepen en honderden namen en telefoonnummers van mensen die met terrorisme in verband worden gebracht. Het betreft voornamelijk documenten uit de periode 2006 tot 2008, waaronder analyses van de Hofstadgroep, de bomaanslagen in Madrid en verijdelde aanslagen op vliegtuigen met vloeibare explosieven. Maar er worden ook tal van terrorisme-onderzoeken genoemd die nooit in de openbaarheid zijn gekomen.

Reactie

Volgens Europol heeft het datalek geen gevolgen voor lopende terrorisme-onderzoeken, maar kan de organisatie niet uitsluiten dat behalve ZEMBLA ook anderen toegang tot de netwerkschijf hebben gehad. Adjunct-directeur Wil van Gemert van Europol: ‘Ik acht het niet waarschijnlijk gezien het onderzoek dat we hebben gedaan, maar ik kan het ook niet voor honderd procent uitsluiten’.

Blunder

Hoogleraar computerveiligheid Herbert Bos van de Vrije Universiteit noemt in Zembla het datalek ‘een gigantische blunder’. En volgens terrorisme-deskundige Jelle van Buuren van de Universiteit Leiden kan het datalek mogelijk gevolgen hebben voor de informatievoorziening aan Europol:

Politiediensten die al terughoudend zijn, zouden dit incident kunnen aangrijpen om geen gevoelige informatie aan Europol te geven, want Europol weet blijkbaar niet hoe ze die informatie goed moeten afschermen.

Lenovo

Lenovo, eigenaar van het merk iOmega, zegt in een reactie dat het beveiligen van de netwerkschijven een eigen verantwoordelijkheid van gebruikers is. ‘Je moet ook je WiFi van een wachtwoord voorzien en je auto op slot zetten’, aldus woordvoerder Carina van Vlerken. Hoogleraar computerveiligheid Bos is het daar niet mee eens:

Je kan dit niet aan de gebruikers overlaten. Fabrikanten zijn verantwoordelijk en zouden wettelijk aansprakelijk moeten worden voor de beveiligingsproblematiek die hun apparaten hebben.

De iOmega netwerkschijven die tussen 2009 en 2014 zijn geproduceerd, zetten ongevraagd al je bestanden open op internet zonder wachtwoord.

De uitzending van ZEMBLA, die werd gemaakt door onderzoeksjournalist (en Crimesite-verslaggever) Vincent Verweij, is hier terug te zien.