Om digitale ontwrichting te voorkomen, is meer inzet van bedrijven en dwingend optreden van overheden nodig. De aanval met ransomware bij Colonial Pipeline toont de grote kwetsbaarheid van de samenleving.
Toevoer olie, benzine, diesel en kerosine
Russische hackers slaagden er eerder deze maand in om een week lang een groot deel van de toevoer van olie, benzine, diesel en kerosine aan de oostkust van de Verenigde Staten lam te leggen. Ze gijzelden Colonial Pipeline, dat ongeveer 45 procent van het olietransport in dit deel van de VS verzorgt. Veel vitaler kan een infrastructuur niet worden: de afhankelijkheid van brandstof is enorm. Aan de oostkust van de VS werd zelfs een regionale noodtoestand uitgeroepen.
Belgisch ministerie
Ook dichter bij huis zijn de laatste tijd regelmatig incidenten, soms met minder zichtbare maar evengoed schadelijke gevolgen. Zo is volgens Belgische media het federale ministerie van Binnenlandse Zaken twee jaar lang gehackt geweest, waarschijnlijk door China.
Veel mensen nemen de berichten voor kennisgeving aan. Maar de vraag die gesteld moet worden is: valt tegen dit soort incidenten iets te beginnen? Het antwoord is bevestigend. Er zijn oplossingen voorhanden die het hackers in ieder geval moeilijker kunnen maken. Maar op dit moment gebeurt dat structureel nog te weinig.
Veiligheid voedsel en auto’s wel bewaakt
Te vaak ligt de nadruk op de eindgebruiker, groot of klein, die zich beter zou moeten beveiligen. Maar die kan niets uitrichten tegen onveilig verkochte producten of diensten. De oorzaak en daarmee de oplossing van het probleem is complexer. Ook bedrijven en overheden moeten verantwoordelijkheid nemen.
Het internet verbindt vrijwel alles. Dit netwerk van netwerken bestaat en functioneert dankzij door internettechnici goedgekeurde protocollen, zogenoemde ‘internet-standaarden’. Maar deze internet-standaarden zijn al rond 1980 gemaakt – en in beginsel onveilig, zoals Vint Cerf , een van de geestelijk vaders van het internet erkende.
Websites maar ook steeds meer ‘internet of things’ apparaten (IoT), apps en software komen veelal onveilig ontworpen op de markt. Voor auto’s, vliegtuigen of voedsel zou zoiets ondenkbaar zijn. Hackers zoeken naar die kwetsbaarheid. Eén zwakke plek is voldoende om een immens bedrijf als Colonial Pipeline binnen te dringen en, zoals deze maand bleek, op de knieën te krijgen.
Wetgeving of stimulering
Internet-standaarden zijn inmiddels verbeterd en voor bijvoorbeeld websites zijn best practices opgesteld. Maar toepassing blijft vrijwillig en daar zucht de hele digitale infrastructuur onder. Wetgeving of actieve stimulering is nodig.
Dat zou kunnen beginnen bij het wereldwijd aansporen of verplichten van overheden en grote bedrijven om veilig materiaal in te kopen. Zo wordt de vraag naar veilige ICT, IoT en diensten gestimuleerd en groeit de markt. De Nederlandse overheid heeft dit beleid nu al.
Meer transparantie en inzicht in bestaande kwetsbaarheden kan tot druk, dus verbeteringen, leiden. Hier ligt een rol voor minder voor de hand liggende partijen. Hackers, zoals die van Colonial Pipeline, testen systemen 24 uur per dag op zoek naar die ene zwakheid. Waarom doet de maatschappij niet hetzelfde? Stimuleer ‘goede’ hackers meer nog dan nu al gebeurt om wereldwijd 24/7 op zoek te gaan naar zwakheden in voor de samenleving belangrijke systemen.
Media en bonden ook
Consumentenbonden zouden producten structureel op digitale veiligheid kunnen testen: rode vinkjes leiden dan tot vragen bij verkopers en fabrikanten. Media hebben ook een rol. Laat zien hoe veilig de ICT is van een auto die in het tv-programma Top Gear of in een krant getest wordt. Met permanente melden van kwetsbaarheden in producten en diensten leidt tot inzicht en dwang tot verbetering. Breng bovendien kinderen vroeg digitale veiligheid bij.
Waar iederéén vanuit eigenbelang handelt, voelt uiteindelijk niemand zich verantwoordelijk, met verwaarlozing tot gevolg: een klassiek voorbeeld van tragedy of the commons. Normaal gesproken treedt de overheid op als ordenende instantie, maar op internet gebeurt dit onvoldoende. Dit is bevreemdend, gezien de enorme belangen en het grote aantal incidenten van de laatste jaren. Hackers zijn overal binnengedrongen, vaak onopgemerkt. Strategie, kennis en geld lekt weg.
Achterdeurtjes?
Dit leidt tot meer strategische vragen die dringend antwoord behoeven. Voor welke aanpak moet de overheid kiezen? Veilig inkopen of wetgeving en regulering? Zit de business case van sommige ICT-bedrijven een veiliger internet in de weg? Strookt het overheidsstreven naar ‘achterdeurtjes’ bij encryptie met een veilig internet? Is één internet in 2021 nog na te streven als de gevaren zo groot zijn?
Zonder duidelijke antwoorden op deze vragen, is het niet mogelijk gericht beleid op betere bescherming op te stellen noch om succesvol (economische) druk op tegenstanders te zetten. Maar het moet beter; en wel snel. Structureel inzetten op security by design is het makkelijke begin. Laat Colonial Pipeline een wake-up-call zijn.
Bron: netkwesties.nl
Wout de Natris is historicus en adviseur op het gebied van internetveiligheid. Dit artikel is een beknopte samenvatting van het IGF-rapport voor een veiliger internet dat hij met Marten Porte in 2020 schreef. Een versie van dit artikel verscheen ook in NRC Handelsblad van 27 mei 2021
Meer info over cybercrime
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
Het nieuwe decennium, nieuwe trends
Het nieuwe decennium is een paar dagen oud. Er staat een aantal trends te trappelen in de coulissen om het dagelijks leven te beïnvloeden. Anderen zijn al jaren met een opmars bezig, maar zijn voorlopig niet weg te denken.
Veiliger 'online' in 2020?
Het begin van een nieuw jaar is het perfecte moment om met nieuwe voornemens te starten. Hoewel sommigen kiezen voor extra te gaan sporten of het leren van een derde taal, is het ook een gelegenheid om enkele wijzigingen aan te brengen in de manier waarop u omgaat met uw digitale apparatuur.
Ze weten alles van me, hoe kan dit?
Hoe jaloerse partners en paranoïde werkgevers je kunnen bespioneren en waarom het gebruik van 'lege chip zakken' het beste kunnen worden overgelaten aan filmhelden.
Cybercriminelen weten als geen ander dat kleinere organisaties niet altijd even goed zijn beveiligd
Uit een recent onderzoek van het 'Ponemon Institute' was dit jaar meer dan de helft van het mkb in de Benelux slachtoffer van cybercrime. "Ik verwacht dat in 2020 het aantal cyberaanvallen op het mkb eerder toe- dan afneemt."
New Orleans (USA) verklaart noodtoestand na cyberaanval
De stad New Orleans heeft een cyberaanval ondergaan die ernstig genoeg is voor burgemeester LaToya Cantrell om de noodtoestand uit te roepen.
Cybercriminelen hergebruiken oude aanvalstechnieken
Cybercriminelen ontwikkelen niet alleen nieuwe malware en zero day-aanvallen, maar hergebruiken ook tactieken die in het verleden succesvol zijn gebleken. Daarmee kunnen ze zoveel mogelijk kansen binnen het aanvalsoppervlak benutten.