In de raadsapp van Heiloo ging maandagmiddag een opvallend bericht rond. Niet over Ypehove, het Stationsplein of het aanstaande verkiezingsdebat, maar over iets wat zich grotendeels buiten het zicht van de lokale politiek afspeelt: buitenlandse hackers die mogelijk meelezen met berichten van bestuurders.
De griffie van Heiloo stuurde raads- en commissieleden een waarschuwing door van de AIVD en MIVD, waarin wordt gewezen op een internationale cybercampagne gericht op accounts van WhatsApp en Signal.
Volgens de veiligheidsdiensten proberen Russische staatshackers wereldwijd toegang te krijgen tot accounts van hoogwaardigheidsbekleders, militairen en ambtenaren. Nederland vormt daarop geen uitzondering. Het doel is niet om de apps zelf te kraken, maar om individuele accounts over te nemen, zodat berichten en contactgegevens kunnen worden ingezien. (tekst gaat verder onder de foto)
In Heiloo leidde het bericht vooral tot een mengeling van nuchterheid en lichte verbazing. Griffier Gerda Beeksma liet de raadsleden weten dat er in de gemeentelijke appgroepen voorlopig geen vreemde of dubbele accounts te zien zijn.
“Het chatverkeer voor het raadswerk van Heiloo is gelukkig vrij overzichtelijk,” schreef zij in haar bericht. Tegelijkertijd voegde ze eraan toe dat bestuurders – ook op lokaal niveau – in theorie wel degelijk interessant kunnen zijn voor buitenlandse inlichtingendiensten.
In Heiloo houdt het lokale bestuur er al rekening mee dat het dorp vaker onderdeel wordt van een wereldwijde digitale werkelijkheid. Waar raadsleden elkaar vroeger na een vergadering nog even opbelden of een mail stuurden, lopen tegenwoordig veel korte afstemmingen via WhatsAppgroepen van fracties, commissies of soms zelfs hele raden. Dat maakt het werk snel en efficiënt, maar volgens de inlichtingendiensten ook kwetsbaar.
De hackpogingen maken gebruik van zogeheten ‘social engineering’. Daarbij proberen aanvallers gebruikers te verleiden om zelf toegang te geven tot hun account, bijvoorbeeld door zich voor te doen als helpdeskmedewerker of door een QR-code te laten scannen waarmee een extra apparaat wordt gekoppeld aan het account. Zodra dat lukt, kunnen hackers meelezen met berichten en groepsgesprekken. (tekst gaat verder onder de foto)
Alle bestuurders en politici van lokale overheden kunnen volgens de MIVD doelwit zijn van buitenlandse inlichtingendiensten. (foto: Streekstad Centraal)Voor raadsleden kan dat verder gaan dan alleen privéberichten. In appgroepen wordt geregeld informatie gedeeld over conceptmoties, politieke strategie of interne discussies. Officieel horen vertrouwelijke stukken daar niet thuis, maar in de praktijk worden chatapps door veel bestuurders wel gebruikt voor snelle afstemming. Juist daarom benadrukken de veiligheidsdiensten dat WhatsApp en Signal, ondanks hun versleuteling, niet geschikt zijn voor vertrouwelijke of gerubriceerde informatie.
In Heiloo bleef de reactie vooralsnog vooral praktisch: even controleren of er geen onbekende deelnemers in de appgroepen zitten en alert blijven op verdachte berichten of links. Toch zal het bericht waarschijnlijk ook buiten het kleine dorpje worden gelezen. In vrijwel alle gemeenten in de regio Alkmaar lopen vergelijkbare appgroepen van fracties, colleges en raden. Alle burgemeesters en griffiers in Noord-Holland kregen via de provincie de waarschuwing van de AIVD en MIVD.
En zo komt een geopolitiek onderwerp ineens dicht bij huis. Want terwijl in Den Haag en Brussel wordt gesproken over cyberoorlog en digitale veiligheid, blijkt dat de eerste verdedigingslinie soms gewoon begint bij een raadslid dat even kijkt of er geen vreemde naam in de groepsapp staat.
