In de strijd tegen cybercrime is het Westen dader en slachtoffer

Bedrijven, overheden en inlichtingendiensten in het Westen worden geregeld aangevallen door hackers of cybercriminelen. Ze brengen de verdediging op orde. En ze gaan zelf ook in de aanval.

In maart slaagden hackers erin het Pentagon duizenden geheime documenten te ontfutselen. Het zou, volgens de onderminister van Defensie William Lynn bij een persconferentie gisteren, gaan om informatie over „onze gevoeligste systemen”, zoals kernonderzeeboten, spionagesatellieten en veiligheidsprocedures. Het is het zoveelste alarmerende bericht over het cyberfront waar het Westen bijna naakt lijkt. Beschuldigende vingers wijzen meestal naar de inlichtingendiensten van Rusland en vooral van China. De spectaculair snelle ontwikkeling van moderne wapensystemen door de Chinezen wordt vaak als bewijs aangevoerd. Het is niet alleen een gevecht tussen militairen en inlichtingendiensten; de cybercriminaliteit lijkt hier ook hand over hand toe te nemen.

Is het Westen zo kwetsbaar in cyberspace?

Volgens cyberdeskundige Patrick de Graaf van ICT-dienstverlener Capgemini is iedereen het eens over de volgende feiten. „Onze afhankelijkheid van cyberspace neemt toe.” De ‘kritische infrastructuur’, zoals de elektriciteitsvoorziening, het bankwezen en de drinkwatervoorziening zijn in toenemende mate geautomatiseerd. „Daardoor groeit ook onze kwetsbaarheid. De aanvalsmethodes worden bovendien steeds slimmer.” Op de vestiging van de onderneming in Voorburg schetst De Graaf een driehoek. Onderin, zegt hij, „zitten hackers met een beetje expertise. En dat zijn er dus veel”. Die houden zich vooral bezig met cybervandalisme, het bekladden van publieke websites of lukraak stukmaken van besturingssystemen. „Gewoon voor de fun.”

Onder de top bevinden zich „de betere versleuteraars en de dieven van creditcardgegevens”. De top: „Dat zijn de échte specialisten, zoals digitale bankrovers.” En in het bovenste segment bevinden zich ook de hackers die werken voor buitenlandse geheime diensten.

Nederlandse veiligheidsdiensten waarschuwden een paar jaar terug al bedrijven die handelsdelegaties uit China over de vloer hebben om alle computers in hun nabijheid uit te zetten. De Chinese ‘managers’ zouden namelijk niet zelden apparatuur in hun attachékoffers hebben verstopt waarmee harde schijven en andere informatiedragers zijn leeg te trekken.

Een Amerikaanse militair op bezoek in Nederland, tot voor kort als diplomaat gestationeerd in Peking, vertelde dat het Pentagon zijn collega’s had verboden documenten op sticks of schijfjes mee te nemen.

De Graaf kan zich goed voorstellen dat Rusland, met zijn ruime spionage-ervaring uit de Koude Oorlog, op het terrein van cyberwar nog slimmer te werk gaat dan China. Het Russische leger blonk tijdens het conflict met Georgië in 2008 niet uit in slim optreden. Maar het cyberoffensief dat tegelijk plaatshad was wel succesvol: Georgische netwerken gingen goed getimed plat.

Toch verdient het beeld van die naaktheid van krijgsmachten en van de moderne maatschappij als geheel nuance. Autoriteiten zitten bijvoorbeeld niet stil bij het opsporen van hackersactiviteiten en het opstellen van een verdediging daar tegen. In Europa en de VS is de ‘kritische infrastructuur’ goeddeels in kaart gebracht en de kwetsbaarheid voor cyberaanvallen verkleind. De Graaf: „Het uitschakelen van Pernis is lastig aangezien de beveiliging ook niet-digitaal is.” Het idee dat cybercriminelen vrij spel hebben, is bovendien onjuist. Ergens binnendringen is één, zegt De Graaf, „maar het blijft een probleem om bijvoorbeeld creditcard-gegevens te gelde te maken”.

De VS en Europa hebben initiatieven ontplooid om met internationale wetten cyberspace de status van vrijhaven te ontnemen. Het Amerikaanse ministerie van Buitenlandse Zaken stelde in april een ‘coördinator van cyberkwesties’ aan, Christopher Painter, die dergelijke verdragen en de internationale naleving daarvan ter hand moet nemen. „Ik maak altijd de analogie met een huis”, zei Painter bij een bezoek aan Den Haag in mei. „We moeten uit oogpunt van veiligheid met elkaar afspreken dat we deuren en ramen sloten doen. Maar als er dan tóch nog lui inbreken, moet je ook hebben afgesproken wat voor straffen daar op staan.”

De meeste winst is volgens De Graaf en Painter te halen uit het vergroten van het besef dat men niet allerlei waardevolle informatie in cyberspace moet laten rondslingeren. Painter: „Veel mensen moet je er nog steeds van overtuigen dat ze hun cyberramen en cyberdeuren niet wagenwijd open laten staan.”

Dat geldt niet alleen voor argeloze burgers met een internetaansluiting. Fameus is het verhaal over een team van hackers in overheidsdienst dat de verdediging van een Nederlandse inlichtingendienst testte. Ze legden ’s ochtends op de parkeerplaats een ‘vuile’ USB-stick. Deze werd gevonden door een medewerker die dacht dat een collega slordig was geweest. Hij stak de stick op zijn werk in de computer om te zien wie, en het kwaad was geschied. Bij Defensie gelden intussen strenge regels voor het gebruik van USB-sticks.

Er is nog een nuancering mogelijk bij de stroom onheilsberichten over de staat van de, vooral, Amerikaanse cyberdefensie. Die berichtgeving versluiert de activiteiten die westerse inlichtingendiensten zélf in cyberspace ondernemen. De VS, bakermat van de ICT-revolutie, steken miljarden in offensieve cyberwapens. Het Stuxnetvirus dat vorig jaar het Iraanse atoomprogramma deels lam legde, komt van Amerikaanse, Israëlische en Britse inlichtingendiensten. De Graaf: „Niet voor niets wil Rusland praten over de beheersing van cyberwapens.”