Om digitale ontwrichting te voorkomen, is meer inzet van bedrijven en dwingend optreden van overheden nodig. De aanval met ransomware bij Colonial Pipeline toont de grote kwetsbaarheid van de samenleving.
Toevoer olie, benzine, diesel en kerosine
Russische hackers slaagden er eerder deze maand in om een week lang een groot deel van de toevoer van olie, benzine, diesel en kerosine aan de oostkust van de Verenigde Staten lam te leggen. Ze gijzelden Colonial Pipeline, dat ongeveer 45 procent van het olietransport in dit deel van de VS verzorgt. Veel vitaler kan een infrastructuur niet worden: de afhankelijkheid van brandstof is enorm. Aan de oostkust van de VS werd zelfs een regionale noodtoestand uitgeroepen.
Belgisch ministerie
Ook dichter bij huis zijn de laatste tijd regelmatig incidenten, soms met minder zichtbare maar evengoed schadelijke gevolgen. Zo is volgens Belgische media het federale ministerie van Binnenlandse Zaken twee jaar lang gehackt geweest, waarschijnlijk door China.
Veel mensen nemen de berichten voor kennisgeving aan. Maar de vraag die gesteld moet worden is: valt tegen dit soort incidenten iets te beginnen? Het antwoord is bevestigend. Er zijn oplossingen voorhanden die het hackers in ieder geval moeilijker kunnen maken. Maar op dit moment gebeurt dat structureel nog te weinig.
Veiligheid voedsel en auto’s wel bewaakt
Te vaak ligt de nadruk op de eindgebruiker, groot of klein, die zich beter zou moeten beveiligen. Maar die kan niets uitrichten tegen onveilig verkochte producten of diensten. De oorzaak en daarmee de oplossing van het probleem is complexer. Ook bedrijven en overheden moeten verantwoordelijkheid nemen.
Het internet verbindt vrijwel alles. Dit netwerk van netwerken bestaat en functioneert dankzij door internettechnici goedgekeurde protocollen, zogenoemde ‘internet-standaarden’. Maar deze internet-standaarden zijn al rond 1980 gemaakt – en in beginsel onveilig, zoals Vint Cerf , een van de geestelijk vaders van het internet erkende.
Websites maar ook steeds meer ‘internet of things’ apparaten (IoT), apps en software komen veelal onveilig ontworpen op de markt. Voor auto’s, vliegtuigen of voedsel zou zoiets ondenkbaar zijn. Hackers zoeken naar die kwetsbaarheid. Eén zwakke plek is voldoende om een immens bedrijf als Colonial Pipeline binnen te dringen en, zoals deze maand bleek, op de knieën te krijgen.
Wetgeving of stimulering
Internet-standaarden zijn inmiddels verbeterd en voor bijvoorbeeld websites zijn best practices opgesteld. Maar toepassing blijft vrijwillig en daar zucht de hele digitale infrastructuur onder. Wetgeving of actieve stimulering is nodig.
Dat zou kunnen beginnen bij het wereldwijd aansporen of verplichten van overheden en grote bedrijven om veilig materiaal in te kopen. Zo wordt de vraag naar veilige ICT, IoT en diensten gestimuleerd en groeit de markt. De Nederlandse overheid heeft dit beleid nu al.
Meer transparantie en inzicht in bestaande kwetsbaarheden kan tot druk, dus verbeteringen, leiden. Hier ligt een rol voor minder voor de hand liggende partijen. Hackers, zoals die van Colonial Pipeline, testen systemen 24 uur per dag op zoek naar die ene zwakheid. Waarom doet de maatschappij niet hetzelfde? Stimuleer ‘goede’ hackers meer nog dan nu al gebeurt om wereldwijd 24/7 op zoek te gaan naar zwakheden in voor de samenleving belangrijke systemen.
Media en bonden ook
Consumentenbonden zouden producten structureel op digitale veiligheid kunnen testen: rode vinkjes leiden dan tot vragen bij verkopers en fabrikanten. Media hebben ook een rol. Laat zien hoe veilig de ICT is van een auto die in het tv-programma Top Gear of in een krant getest wordt. Met permanente melden van kwetsbaarheden in producten en diensten leidt tot inzicht en dwang tot verbetering. Breng bovendien kinderen vroeg digitale veiligheid bij.
Waar iederéén vanuit eigenbelang handelt, voelt uiteindelijk niemand zich verantwoordelijk, met verwaarlozing tot gevolg: een klassiek voorbeeld van tragedy of the commons. Normaal gesproken treedt de overheid op als ordenende instantie, maar op internet gebeurt dit onvoldoende. Dit is bevreemdend, gezien de enorme belangen en het grote aantal incidenten van de laatste jaren. Hackers zijn overal binnengedrongen, vaak onopgemerkt. Strategie, kennis en geld lekt weg.
Achterdeurtjes?
Dit leidt tot meer strategische vragen die dringend antwoord behoeven. Voor welke aanpak moet de overheid kiezen? Veilig inkopen of wetgeving en regulering? Zit de business case van sommige ICT-bedrijven een veiliger internet in de weg? Strookt het overheidsstreven naar ‘achterdeurtjes’ bij encryptie met een veilig internet? Is één internet in 2021 nog na te streven als de gevaren zo groot zijn?
Zonder duidelijke antwoorden op deze vragen, is het niet mogelijk gericht beleid op betere bescherming op te stellen noch om succesvol (economische) druk op tegenstanders te zetten. Maar het moet beter; en wel snel. Structureel inzetten op security by design is het makkelijke begin. Laat Colonial Pipeline een wake-up-call zijn.
Bron: netkwesties.nl
Wout de Natris is historicus en adviseur op het gebied van internetveiligheid. Dit artikel is een beknopte samenvatting van het IGF-rapport voor een veiliger internet dat hij met Marten Porte in 2020 schreef. Een versie van dit artikel verscheen ook in NRC Handelsblad van 27 mei 2021
Meer info over cybercrime
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
‘Cybercriminelen worden steeds persoonlijker’
“Cybercriminelen doen er alles aan om directieleden persoonlijk te raken", zegt Pim Takkenberg, oud-rechercheur en general manager bij Northwave. In een gesprek legt hij uit hoe cybercriminelen hun werkwijze veranderen.
Drie kwart van de Nederlandse respondenten zegt dat het aantal cyberaanvallen in de afgelopen twaalf maanden is toegenomen
VMware maakt gisteren de resultaten van zijn vierde Global Security Insights Report bekend. Deze zijn gebaseerd op wereldwijd online onderzoek in december 2020 onder 3.542 CIO’s, CTO’s en CISO’s, waarvan 251 Nederlanders. Het rapport onderzoekt de impact van cyberaanvallen en digitale inbraken bij bedrijven en beschrijft hoe security teams zich aanpassen aan deze uitdagingen.
Hacktivisten achter cyberaanval op grootste slachterij van de wereld?
Update op 2 juni 2021 om 09:00
Hackers Nobelium vallen 24 landen aan
Vorige week hebben Russische hackers van 'Nobelium' opnieuw een grote cyberaanval gelanceerd. De aanvallers richtten zich op instellingen in 24 landen, de Verenigde Staten kreeg echter de meeste aanvallen voor zijn kiezen. De meeste aanvallen werden automatisch afgeslagen, in enkele gevallen slaagden de hackers erin om een backdoor te creëren.
Waarom nog inbreken met een koevoet als jij de deur digitaal wagenwijd openzet?
Vraag aan een ‘gemiddelde Nederlander’ hoe een crimineel er uitziet en je krijgt antwoorden als: zwart gekleed, bivakmuts op, tas met inbrekersspullen en wellicht een onverzorgd baardje. Klopt dat beeld anno 2021 nog steeds?
"Laat staan dat er draaiboeken klaarliggen waarin staat wat gedaan moet worden bij een hack"
Veel gemeenten zijn niet voorbereid op aanvallen van cybercriminelen. Laat staan dat er draaiboeken klaarliggen waarin staat wat gedaan moet worden bij een hack. In sommige gevallen hebben gemeenten niet eens tweestapsverificatie ingesteld voor hun medewerkers, blijkt uit een rondgang van vakbladen AG Connect en Binnenlands Bestuur.