Om digitale ontwrichting te voorkomen, is meer inzet van bedrijven en dwingend optreden van overheden nodig

Gepubliceerd op 11 juni 2021 om 07:00

Om digitale ontwrichting te voorkomen, is meer inzet van bedrijven en dwingend optreden van overheden nodig. De aanval met ransomware bij Colonial Pipeline toont de grote kwetsbaarheid van de samenleving.

Toevoer olie, benzine, diesel en kerosine

Russische hackers slaagden er eerder deze maand in om een week lang een groot deel van de toevoer van olie, benzine, diesel en kerosine aan de oostkust van de Verenigde Staten lam te leggen. Ze gijzelden Colonial Pipeline, dat ongeveer 45 procent van het olietransport in dit deel van de VS verzorgt. Veel vitaler kan een infrastructuur niet worden: de afhankelijkheid van brandstof is enorm. Aan de oostkust van de VS werd zelfs een regionale noodtoestand uitgeroepen.

Belgisch ministerie

Ook dichter bij huis zijn de laatste tijd regelmatig incidenten, soms met minder zichtbare maar evengoed schadelijke gevolgen. Zo is volgens Belgische media het federale ministerie van Binnenlandse Zaken twee jaar lang gehackt geweest, waarschijnlijk door China.

Veel mensen nemen de berichten voor kennisgeving aan. Maar de vraag die gesteld moet worden is: valt tegen dit soort incidenten iets te beginnen? Het antwoord is bevestigend. Er zijn oplossingen voorhanden die het hackers in ieder geval moeilijker kunnen maken. Maar op dit moment gebeurt dat structureel nog te weinig.

Veiligheid voedsel en auto’s wel bewaakt

Te vaak ligt de nadruk op de eindgebruiker, groot of klein, die zich beter zou moeten beveiligen. Maar die kan niets uitrichten tegen onveilig verkochte producten of diensten. De oorzaak en daarmee de oplossing van het probleem is complexer. Ook bedrijven en overheden moeten verantwoordelijkheid nemen.

Het internet verbindt vrijwel alles. Dit netwerk van netwerken bestaat en functioneert dankzij door internettechnici goedgekeurde protocollen, zogenoemde ‘internet-standaarden’. Maar deze internet-standaarden zijn al rond 1980 gemaakt – en in beginsel onveilig, zoals Vint Cerf , een van de geestelijk vaders van het internet erkende.

Websites maar ook steeds meer ‘internet of things’ apparaten (IoT), apps en software komen veelal onveilig ontworpen op de markt. Voor auto’s, vliegtuigen of voedsel zou zoiets ondenkbaar zijn. Hackers zoeken naar die kwetsbaarheid. Eén zwakke plek is voldoende om een immens bedrijf als Colonial Pipeline binnen te dringen en, zoals deze maand bleek, op de knieën te krijgen.

Wetgeving of stimulering

Internet-standaarden zijn inmiddels verbeterd en voor bijvoorbeeld websites zijn best practices opgesteld. Maar toepassing blijft vrijwillig en daar zucht de hele digitale infrastructuur onder. Wetgeving of actieve stimulering is nodig.

Dat zou kunnen beginnen bij het wereldwijd aansporen of verplichten van overheden en grote bedrijven om veilig materiaal in te kopen. Zo wordt de vraag naar veilige ICT, IoT en diensten gestimuleerd en groeit de markt. De Nederlandse overheid heeft dit beleid nu al.

Meer transparantie en inzicht in bestaande kwetsbaarheden kan tot druk, dus verbeteringen, leiden. Hier ligt een rol voor minder voor de hand liggende partijen. Hackers, zoals die van Colonial Pipeline, testen systemen 24 uur per dag op zoek naar die ene zwakheid. Waarom doet de maatschappij niet hetzelfde? Stimuleer ‘goede’ hackers meer nog dan nu al gebeurt om wereldwijd 24/7 op zoek te gaan naar zwakheden in voor de samenleving belangrijke systemen.

Media en bonden ook

Consumentenbonden zouden producten structureel op digitale veiligheid kunnen testen: rode vinkjes leiden dan tot vragen bij verkopers en fabrikanten. Media hebben ook een rol. Laat zien hoe veilig de ICT is van een auto die in het tv-programma Top Gear of in een krant getest wordt. Met permanente melden van kwetsbaarheden in producten en diensten leidt tot inzicht en dwang tot verbetering. Breng bovendien kinderen vroeg digitale veiligheid bij.

Waar iederéén vanuit eigenbelang handelt, voelt uiteindelijk niemand zich verantwoordelijk, met verwaarlozing tot gevolg: een klassiek voorbeeld van tragedy of the commons. Normaal gesproken treedt de overheid op als ordenende instantie, maar op internet gebeurt dit onvoldoende. Dit is bevreemdend, gezien de enorme belangen en het grote aantal incidenten van de laatste jaren. Hackers zijn overal binnengedrongen, vaak onopgemerkt. Strategie, kennis en geld lekt weg.

Achterdeurtjes?

Dit leidt tot meer strategische vragen die dringend antwoord behoeven. Voor welke aanpak moet de overheid kiezen? Veilig inkopen of wetgeving en regulering? Zit de business case van sommige ICT-bedrijven een veiliger internet in de weg? Strookt het overheidsstreven naar ‘achterdeurtjes’ bij encryptie met een veilig internet? Is één internet in 2021 nog na te streven als de gevaren zo groot zijn?

Zonder duidelijke antwoorden op deze vragen, is het niet mogelijk gericht beleid op betere bescherming op te stellen noch om succesvol (economische) druk op tegenstanders te zetten. Maar het moet beter; en wel snel. Structureel inzetten op security by design is het makkelijke begin. Laat Colonial Pipeline een wake-up-call zijn.

Bron: netkwesties.nl

Wout de Natris is historicus en adviseur op het gebied van internetveiligheid. Dit artikel is een beknopte samenvatting van het IGF-rapport voor een veiliger internet dat hij met Marten Porte in 2020 schreef. Een versie van dit artikel verscheen ook in NRC Handelsblad van 27 mei 2021

 

Meer info over cybercrime

Tips of verdachte activiteiten gezien? Meld het hier.

Cybercrime gerelateerde berichten

Tips voor alle thuiswerkers

Cybercriminelen weten ook dat jij thuis werkt. Informatie over videoconferences, phishing mailtjes vanuit het RIVM of de WHO, mailtjes met malware erin, allerlei fake websites met zogenaamd informatie over vaccins.

Lees meer »

Samen tegen Corona Hackers

De hackers die de coronacrisis gebruiken om meer campagnes en aanvallen uit te voeren, hebben er een nieuwe tegenstander bij. Een groep van bijna 400 cybersecurityexperts wereldwijd zijn een organisatie begonnen om te vechten tegen hacks gerelateerd aan het nieuwe coronavirus Covid-19.

Lees meer »

Microsoft waarschuwt voor zeroday aanval

De zeroday-aanval waar Microsoft gisteren voor waarschuwde was gericht tegen Windows 7-systemen, zo laat de softwaregigant vanavond weten. In de eerste waarschuwing werd gesteld dat er "beperkte gerichte" aanvallen waren waargenomen die misbruik van twee kwetsbaarheden in de Adobe Type Manager Library maakten waarvoor nog geen beveiligingsupdate beschikbaar is.

Lees meer »

OM waarschuwt voor toename cybercrime tijdens coronacrisis

Het Openbaar Ministerie voorziet een toename van digitale aanvallen nu veel mensen thuiswerken door de coronacrisis. Het gaat dan niet louter om cybercriminelen die aanvallen uitvoeren, maar ook om jongeren die uit verveling bijvoorbeeld DDoS-aanvallen opzetten, zegt openbaar aanklager cybercrime Lodewijk van Zwieten.

Lees meer »