Om digitale ontwrichting te voorkomen, is meer inzet van bedrijven en dwingend optreden van overheden nodig

Gepubliceerd op 11 juni 2021 om 07:00

Om digitale ontwrichting te voorkomen, is meer inzet van bedrijven en dwingend optreden van overheden nodig. De aanval met ransomware bij Colonial Pipeline toont de grote kwetsbaarheid van de samenleving.

Toevoer olie, benzine, diesel en kerosine

Russische hackers slaagden er eerder deze maand in om een week lang een groot deel van de toevoer van olie, benzine, diesel en kerosine aan de oostkust van de Verenigde Staten lam te leggen. Ze gijzelden Colonial Pipeline, dat ongeveer 45 procent van het olietransport in dit deel van de VS verzorgt. Veel vitaler kan een infrastructuur niet worden: de afhankelijkheid van brandstof is enorm. Aan de oostkust van de VS werd zelfs een regionale noodtoestand uitgeroepen.

Belgisch ministerie

Ook dichter bij huis zijn de laatste tijd regelmatig incidenten, soms met minder zichtbare maar evengoed schadelijke gevolgen. Zo is volgens Belgische media het federale ministerie van Binnenlandse Zaken twee jaar lang gehackt geweest, waarschijnlijk door China.

Veel mensen nemen de berichten voor kennisgeving aan. Maar de vraag die gesteld moet worden is: valt tegen dit soort incidenten iets te beginnen? Het antwoord is bevestigend. Er zijn oplossingen voorhanden die het hackers in ieder geval moeilijker kunnen maken. Maar op dit moment gebeurt dat structureel nog te weinig.

Veiligheid voedsel en auto’s wel bewaakt

Te vaak ligt de nadruk op de eindgebruiker, groot of klein, die zich beter zou moeten beveiligen. Maar die kan niets uitrichten tegen onveilig verkochte producten of diensten. De oorzaak en daarmee de oplossing van het probleem is complexer. Ook bedrijven en overheden moeten verantwoordelijkheid nemen.

Het internet verbindt vrijwel alles. Dit netwerk van netwerken bestaat en functioneert dankzij door internettechnici goedgekeurde protocollen, zogenoemde ‘internet-standaarden’. Maar deze internet-standaarden zijn al rond 1980 gemaakt – en in beginsel onveilig, zoals Vint Cerf , een van de geestelijk vaders van het internet erkende.

Websites maar ook steeds meer ‘internet of things’ apparaten (IoT), apps en software komen veelal onveilig ontworpen op de markt. Voor auto’s, vliegtuigen of voedsel zou zoiets ondenkbaar zijn. Hackers zoeken naar die kwetsbaarheid. Eén zwakke plek is voldoende om een immens bedrijf als Colonial Pipeline binnen te dringen en, zoals deze maand bleek, op de knieën te krijgen.

Wetgeving of stimulering

Internet-standaarden zijn inmiddels verbeterd en voor bijvoorbeeld websites zijn best practices opgesteld. Maar toepassing blijft vrijwillig en daar zucht de hele digitale infrastructuur onder. Wetgeving of actieve stimulering is nodig.

Dat zou kunnen beginnen bij het wereldwijd aansporen of verplichten van overheden en grote bedrijven om veilig materiaal in te kopen. Zo wordt de vraag naar veilige ICT, IoT en diensten gestimuleerd en groeit de markt. De Nederlandse overheid heeft dit beleid nu al.

Meer transparantie en inzicht in bestaande kwetsbaarheden kan tot druk, dus verbeteringen, leiden. Hier ligt een rol voor minder voor de hand liggende partijen. Hackers, zoals die van Colonial Pipeline, testen systemen 24 uur per dag op zoek naar die ene zwakheid. Waarom doet de maatschappij niet hetzelfde? Stimuleer ‘goede’ hackers meer nog dan nu al gebeurt om wereldwijd 24/7 op zoek te gaan naar zwakheden in voor de samenleving belangrijke systemen.

Media en bonden ook

Consumentenbonden zouden producten structureel op digitale veiligheid kunnen testen: rode vinkjes leiden dan tot vragen bij verkopers en fabrikanten. Media hebben ook een rol. Laat zien hoe veilig de ICT is van een auto die in het tv-programma Top Gear of in een krant getest wordt. Met permanente melden van kwetsbaarheden in producten en diensten leidt tot inzicht en dwang tot verbetering. Breng bovendien kinderen vroeg digitale veiligheid bij.

Waar iederéén vanuit eigenbelang handelt, voelt uiteindelijk niemand zich verantwoordelijk, met verwaarlozing tot gevolg: een klassiek voorbeeld van tragedy of the commons. Normaal gesproken treedt de overheid op als ordenende instantie, maar op internet gebeurt dit onvoldoende. Dit is bevreemdend, gezien de enorme belangen en het grote aantal incidenten van de laatste jaren. Hackers zijn overal binnengedrongen, vaak onopgemerkt. Strategie, kennis en geld lekt weg.

Achterdeurtjes?

Dit leidt tot meer strategische vragen die dringend antwoord behoeven. Voor welke aanpak moet de overheid kiezen? Veilig inkopen of wetgeving en regulering? Zit de business case van sommige ICT-bedrijven een veiliger internet in de weg? Strookt het overheidsstreven naar ‘achterdeurtjes’ bij encryptie met een veilig internet? Is één internet in 2021 nog na te streven als de gevaren zo groot zijn?

Zonder duidelijke antwoorden op deze vragen, is het niet mogelijk gericht beleid op betere bescherming op te stellen noch om succesvol (economische) druk op tegenstanders te zetten. Maar het moet beter; en wel snel. Structureel inzetten op security by design is het makkelijke begin. Laat Colonial Pipeline een wake-up-call zijn.

Bron: netkwesties.nl

Wout de Natris is historicus en adviseur op het gebied van internetveiligheid. Dit artikel is een beknopte samenvatting van het IGF-rapport voor een veiliger internet dat hij met Marten Porte in 2020 schreef. Een versie van dit artikel verscheen ook in NRC Handelsblad van 27 mei 2021

 

Meer info over cybercrime

Tips of verdachte activiteiten gezien? Meld het hier.

Cybercrime gerelateerde berichten

We hebben meer slagkracht nodig, samenleving steeds ingewikkelder

Het nieuwe kabinet moet structureel, dus jaarlijks, 1,3 miljard euro steken in de politie, het Openbaar Ministerie, de rechters, de reclassering en Slachtofferhulp. “We hebben meer slagkracht nodig”, zegt voorzitter van het College van procureurs-generaal van het OM Gerrit van der Burg in Goedemorgen Nederland op NPO 1.

Lees meer »

Het aantal jeugdige daders van cybercrime dat in het strafrecht terecht komt neemt toe

Er is een toename van het aantal Nederlandse jongeren dat wegens een cyberdelict wordt veroordeeld, zo blijkt uit onderzoek van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC), het kennisinstituut voor het ministerie van Justitie en Veiligheid. Onder cyberdelicten worden verschillende zaken verstaan, zoals het inbreken op online accounts, phishing, verspreiden van malware, oplichting en cyberpesten.

Lees meer »

De gezamenlijke Europese cybereenheid is een bouwsteen om onszelf te beschermen

De Europese Commissie heeft gisteren de oprichting van een gezamenlijke Europese cybereenheid aangekondigd voor de aanpak van grote cyberincidenten. De op te richten Joint Cyber Unit moet cybersecurity communities bij elkaar brengen en samenwerking bevorderen. "Alle relevante partijen in de EU moeten voorbereid zijn om collectief te reageren en relevante informatie op een 'need to share' in plaats van een 'need to know' basis te delen", aldus de EC.

Lees meer »

Versoepeling corona maatregelen = Kansen voor cybercriminelen

Op 26 juni vervalt het advies om zoveel mogelijk thuis te werken. Deze versoepeling van de coronamaatregelen brengt risico’s met zich mee voor de (digitale) beveiliging van organisaties. Cybersecurity experts adviseren leidinggevenden en IT-afdelingen om extra alert te zijn op enkele specifieke aanvalsmethoden.

Lees meer »