'Vergadering schorsen na storing is vragen om DDoS'

Digitale vergaderingen van overheden moeten geschorst worden als er haperingen of storingen zijn. Althans, zo luidt de aanbeveling van minister Ollongren. Hoogleraar internetveiligheid van Universiteit Twente Aiko Pras vreest, vertelt hij aan AG Connect, dat DDoS-aanvallers hun slag zullen slaan.

Niet vlekkeloos
Gemeenten, provincies en waterschappen vergaderen sinds de coronacrisis digitaal. Een speciaal aangenomen spoedwet maakt dat mogelijk, maar het gaat nog niet vlekkeloos. Onlangs werd een raadsvergadering van gemeente West Betuwe bruut verstoord door een onbekende die scheldwoorden riep en pornografisch materiaal deelde. De vergadering moest al snel worden stilgelegd.

Overbelast

Incidenten hebben ook een technische aard: op 21 april waren er storingen bij een groot aantal gemeenten omdat de server van leverancier NotuBiz overbelast was. De vergadering kon doorgaan, maar publiek kon via NotuBiz niet meekijken. Inmiddels zijn de capaciteitsproblemen van Notubiz opgelost. De minister stelt echter dat vergaderingen bij storingen en haperingen voortaan geschorst moeten worden.

Sabotage op de loer
Maar dat is vragen om problemen, denkt Pras. “Het is een zeer logische gedachte dat digitale vergaderingen dan gesaboteerd gaan worden. Dat geldt met name voor gevoelige onderwerpen zoals asielzoekerscentra. Er zijn mensen geweest die toen ook fysiek het gemeentehuis belaagden. Je bent naïef als je denkt dat ze het dan niet elektronisch gaan proberen.”

Afhankelijk van elektronische toegang
Pras is het ermee eens dat vergaderingen openbaar moeten plaatsvinden via internet, maar vergaderingen gaan schorsen bij haperingen of storingen in de live-stream, ziet hij als risicovol. 'Vergaderingen zijn in principe altijd op het gemeentehuis voor een aantal mensen die erbij moeten zijn. Het elektronisch toegankelijk maken is een extra service. Als je de vergadering daarvan afhankelijk maakt, krijg je ook risico’s.'

Onduidelijkheid
Technische problemen moeten volgens Pras altijd worden opgelost, maar tegen DDoS-aanvallen zijn gemeenteraden volgens hem weerloos. “Het kost vrijwel niets om zo’n aanval op te starten. Een systeem als NotuBiz kan daar waarschijnlijk niet tegenop. Daarbij is er ook onduidelijkheid over het begrip ‘verstoring’: is dat het geval als de laptop van de voorzitter is platgelegd? Of die van één van de raadsleden? Of geldt het bij een korte verstoring bij de live-stream voor het publiek?

Niet goed nagedacht over consequenties
Volgens Pras moeten overheden die vergaderingen schorsten na een storing rekening gaan houden met aanvallen. 'Er zijn altijd grappenmakers die dit als een uitdaging zullen zien. De minister heeft denk ik nog niet zo goed nagedacht over consequenties van het schorsen van vergaderingen.'

Afhankelijk van anderen
Toch is Pras uiteindelijk voorstander van digitaal vergaderen, zo lang het experimenteel blijft en tijdelijk van aard is. Een ‘blijvertje’ wordt het volgens hem niet. 'Je zult van tevoren goed moeten bedenken wat je kan doen wanneer mensen de vergadering bewust willen verstoren. We hebben de neiging om de DDoS-beveiliging van grote Amerikaanse partijen in de arm te nemen, maar de vraag is dan weer of je afhankelijk wil worden van die organisaties met je bestuurlijke besluitvorming.'

Dit artikel verscheen oorspronkelijk op AG Connect.