„Er is niets zo ellendig als dat je het gevoel hebt dat je identiteit gekaapt is”, zegt Mark Drost van het Heerlense cyberbeveiligingsbedrijf Route443. „En het lek dat nu is ontdekt, vergroot de kwetsbaarheid van Nederland. Met dit soort gegevens kun je ernstige dingen doen.”

Omroep Gelderland kwam de informatie op het spoor via Strava. Op dit sociale medium delen sporters hun prestaties, bijvoorbeeld wie het snelst een route aflegt. Omdat bepaalde routes op een beveiligd terrein van defensie liggen, is duidelijk dat de deelnemers militair zijn.

Omroep Gelderland vond uit de eigen provincie negen ranglijsten, afkomstig van zeven kazernes. Binnen een uur wisten de onderzoekers zo de gegevens van 900 militairen te achterhalen: de naam, van de meesten de profielfoto en van de helft ook de woonplaats.

In totaal vond de omroep de informatie van 2000 militairen die de afgelopen twee jaar actief waren in Gelderland, Noord-Brabant en Drenthe. Een vijand kan deze informatie gebruiken, verklaarde een woordvoerder van defensie. „Militairen worden dan onder druk gezet, met alle mogelijke gevolgen van dien. Voor henzelf en hun familie, maar ook voor de nationale veiligheid.”

Navo-top

„Het is vrij makkelijk om vanuit het buitenland mensen op te sporen en uit te schakelen”, zegt cyberspecialist Drost. „Stel dat een oorlogssituatie ontstaat en de vijand wil voorkomen dat onze straaljagers worden ingezet. Er zijn maar weinig piloten beschikbaar. Als je hun gegevens hebt, kun je hen onder druk zetten of uitschakelen. Als een tank onze grens nadert, weten we wat we moeten doen, maar op een cyberaanval zijn we minder goed voorbereid.”

De digitale veiligheid zou sterk moeten worden verbeterd, zegt Drost. „We doen veel aan het beveiligen van onze digitale infrastructuur, maar de mens is de zwakste schakel. De beveiliging van identiteitsgegevens is op veel plekken niet op orde. Er zou ook veel meer aan bewustwording en training moeten worden gedaan.”

Ook bij afgeschermd profiel staan namen van militairen op ranglijsten van fitnessapp, met profielfoto’s en woonplaatsen

De overheid realiseert zich dat volgens de veiligheidsdeskundige. „Waarom worden we nu gewaarschuwd een noodpakket in huis te hebben? Omdat de overheid weet dat kritieke infrastructuur vrij makkelijk plat te leggen is. En dat komt doordat buitenlandse partijen zeer waarschijnlijk al op veel plaatsen zijn binnengedrongen. De afgelopen jaren zijn er steeds meer aanvallen geweest, waarschijnlijk als test. De komende NAVO-top in Den Haag is bijvoorbeeld een ideaal doelwit. Kwaadwillenden hebben maar één gaatje in de computersystemen nodig. Als ze eenmaal binnen zijn, hebben ze weinig tijd nodig om hun doel te bereiken.”

Verbod

Defensie waarschuwde in 2018 al voor de risico’s van Strava. Het ministerie adviseert militairen hun profiel op slot te zetten, bepaalde apps niet op defensielocaties te gebruiken en niet herkenbaar als militair op dergelijke platforms aanwezig te zijn. Driekwart van de militairen blijkt zijn profiel echter niet te hebben afgeschermd. Als dat wel gebeurt, kunnen alleen mensen die uitgenodigd zijn, de activiteiten bekijken. Ook dan staan de namen van de militairen echter op de ranglijsten van de fitnessapp en zijn profielfoto’s en woonplaatsen te zien.

Het gebruik van sportapps door militairen heeft vaker voor ophef gezorgd. De Britse krant The Guardian onthulde in 2022 dat de locaties van Israëlische geheime bases te vinden waren via de Strava-app. Ook andere media achterhaalden gegevens. In Nederland zijn de richtlijnen voor militairen daarom aangescherpt. GroenLinks-PvdA vindt dat niet ver genoeg gaan en wil minister Brekelmans van Defensie nu vragen het gebruik van trackingapps op militaire bases te verbieden.

Ook cyberspecialist Drost pleit daarvoor. „Er wordt nu te veel verantwoordelijkheid bij de individuele militair gelegd. Gevoelige gebieden zoals legerbases zouden ook software moeten inzetten die tracking –het traceren van mensen via hun mobiele telefoon– uitschakelt.”

Het verbeteren van de „digitale hygiëne” is in de hele samenleving een aandachtspunt, waarschuwt Drost. „Zo lang  je er niet persoonlijk mee geconfronteerd wordt, lijkt het ver van je bed te staan. Laat mensen maar zien wat de consequenties zijn als anderen hun gegevens kunnen misbruiken.”