DDoS-aanvallen voorkomen is een onbegonnen zaak. Wel is het mogelijk om de kwetsbaarheid en impact van dergelijke cyberaanvallen te verkleinen. Om dat te bewerkstelligen is het belangrijk dat overheidsinstanties en het midden- en kleinbedrijf (MKB) hierover geïnformeerd worden en samenwerken. Door middel van publiekscampagnes moeten burgers zich bewust worden van de gevaren van DDoS-aanvallen.

Kamer vragen

In de brief geeft Keijzer antwoord op schriftelijke vragen die Arne Weverling (VVD) begin september stelde. De liberaal maakte zich zorgen over het grote aantal DDoS-aanvallen dat ons land in augustus te verduren kreeg. Diverse internetproviders werden bestookt met zoveel verbindings- en dataverzoeken, dat de servers het begaven. Klanten hadden hierdoor meerdere dagen geen internet, of duurde het ontzettend lang voordat webpagina’s geladen waren.

Zowel de politie als het Nationaal Cyber Security Centrum (NCSC) bevestigde dat er in augustus extra veel DDoS-aanvallen plaatsvonden in ons land. Deze waren volgens Nederlandse maatstaven ‘uitzonderlijk groot’.

Vitale infrastructuur

Als je door een DDoS-aanval geen kleding, eten of cadeaus kunt bestellen, is dat vervelend. Het kan ook grote, maatschappij ontwrichtende gevolgen hebben, zo waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) eerder dit jaar. Stel dat een energiebedrijf door een DDoS-aanval wordt platgelegd. Dan zit je letterlijk in het donker en zonder stroom. Als luchthaven Schiphol of de Maasvlakte door een DDoS-aanval wordt getroffen, dan heeft dat consequenties voor de aan- en afvoer van goederen in heel Europa en daarbuiten.

Het is anderhalve maand geleden dat Weverling zijn schriftelijke vragen richtte aan staatssecretaris Keijzer. Maandag verschenen de antwoorden op zijn vragen op de website van de Tweede Kamer. Allereerst vroeg de VVD’er zich af hoeveel DDoS-aanvallen er zich hebben plaatsgevonden in de vitale infrastructuur en het MKB in de afgelopen jaren. Daar kan de staatssecretaris geen antwoord op geven, omdat de Nationale Beheersorganisatie voor Internet Providers (NBIP) alleen het totaal aantal DDoS-aanvallen registreert en geen onderscheid maakt tussen de sectoren. Keijzer bevestigt wel dat de intensiteit van DDoS-aanvallen al jaren gestaag toeneemt.

Nationale Wasstraat

Om iets te doen tegen het toenemend aantal DDoS-aanvallen, is enkele jaren geleden de Nationale Wasstraat (NaWas) bedacht door internetproviders. Als een provider ineens ongewone grote hoeveelheden data moeten verwerken, wordt het verkeer doorgestuurd naar een ‘wasstraat’. Hier wordt al het verkeer gefilterd: fout verkeer wordt weggegooid en goed verkeer wordt teruggestuurd naar de provider, waar het alsnog verwerkt kan worden. Hierdoor is het voor hackers een stuk lastiger om servers plat te leggen en kunnen bezoekers onbezorgd surfen op internet.

Keijzer schrijft dat de NaWas 90 deelnemers heeft en 2,5 miljoen .nl-domeinnamen beschermt tegen DDoS-aanvallen. Vorig jaar registreerde de NaWas 919 DDoS-aanvallen, gemiddeld twee tot drie aanvallen per dag. Dat is een lichte daling ten opzichte van 2018, terwijl het aantal deelnemers in deze periode groeide.

Digitale domein

Weverling vroeg aan de staatssecretaris welke impact DDoS-aanvallen hebben, zowel voor internetgebruikers als het bedrijfsleven. Keijzer zegt dat DDoS-aanvallen aan de orde van de dag zijn in het digitale domein. Ze kan dan ook geen inschatting kan maken over de omvang van de economische schade. Dat hangt af van een groot aantal factoren, zoals de omvang en duur van de verstoring, en welke diensten worden getroffen.

Staatssecretaris Keijzer laat er geen misverstand over bestaan: DDoS-aanvallen zijn niet te voorkomen. Wel is het volgens haar mogelijk om “de kwetsbaarheid voor en impact van DDoS-aanvallen” te verkleinen. Daar spelen het Digital Trust Center (DTC) en Nationaal Cyber Security Centrum (NCSC) een belangrijke rol in. Deze organisaties mogen, met inachtneming van de wettelijke kaders, informatie over cyberaanvallen delen tussen publieke en private partijen, “met als doel de slagkracht van de partijen te vergroten”.

Het DTC informeert niet-vitale bedrijven via haar website over wat ze voor, tijdens en na een DDoS-aanval moeten doen. Het NCSC adviseert vitale bedrijven, de Rijksoverheid en andere politieke instanties over digitale dreigingen die voor hen relevant zijn.

Publiek-private initiatieven

Keijzer wijst er in haar brief op dat er reeds veel publiek-private initiatieven zijn om een vuist te vormen tegen DDoS-aanvallen. De NaWas is daar een voorbeeld van, evenals de Anti-DDoS Coalitie. Dit samenwerkingsverband kwam in 2018 van de grond om Nederlandse onderwijsinstellingen en organisaties beter te beschermen tegen DDoS-aanvallen door kennis te delen, gezamenlijk oefeningen te houden, maatregelen te promoten tegen dit soort aanvallen en technische oplossingen te ontwikkelen.

“Het bundelen van kennis en krachten is een hoeksteen van de Nederlandse cybersecurity aanpak in de Nederlandse Cyber Security Agenda”, zo schrijft de staatssecretaris in haar brief. Samenwerking is daarbij cruciaal om de digitale weerbaarheid van Nederland te versterken. Dat betekent niet dat regionale providers verplicht moeten worden om toe te treden tot een samenwerkingsverband. “Ik vind het van belang dat internetaanbieders een oplossing kiezen die het beste aansluit bij hun bedrijfsvoering om de continuïteit te waarborgen”, aldus Keijzer.

Brandoefening voor internetproviders

Weverling vroeg in zijn brief of de staatssecretaris een voorstander is voor een ‘brandoefening voor internetproviders’. Keijzer benadrukt dat ze het belangrijk vindt dat er publiek-private oefeningen worden georganiseerd waar partijen leren hoe ze moeten omgaan als er een DDoS-aanval plaatsvindt. Ze pleit dan ook voor een “structureel oefen- en testprogramma”.

Tot slot legt de staatssecretaris de nadruk op bewustwordingscampagnes. Daar zet het kabinet al fors op in. De website veiliginternetten.nl en de publiekscampagne ‘Doe je updates’ zijn daar het bewijs van. “Door apparaten te updaten beschermen eindgebruikers niet alleen zichzelf. Ze zorgen er ook voor dat apparaten minder kwetsbaar zijn om onderdeel te worden van een botnet waarmee onder meer DDoS-aanvallen worden uitgevoerd”, aldus de staatssecretaris.