Vandaag DigiD, morgen de verkeerstoren van Schiphol. Digitaal gevaar is operationeel gevaar

Luchthaven Schiphol. Foto WFA

In 2010 bleken computers van een Iraanse kerncentrale geïnfecteerd met het Stuxnet-virus. Een aanval vanuit het Westen, beweerde president Ahmadinejad. Mocht Iran nu achter de hack op de Nederlandse overheid zitten, dan hebben we nog geluk gehad. Het kan en wordt veel erger, waarschuwt Joel Brenner, oud-chef van de Amerikaans veiligheidsdienst NSA.

Cyberwarrior. Zo laat de auteur van America the Vulnerable: Inside the New Threat Matrix of Digital Espionage, Crime, and Warfare zichzelf introduceren in het tijdschrift Foreign Policy. Dat zegt genoeg: de voormalig inlichtingenchef ziet het hacken van overheden niet alleen als hobby van baldadige pubers, maar ook als militaire activiteit van overheden onderling.

Bedrijven doelwit van natiestaten
Diefstal van persoonlijke informatie, waarmee fraude gepleegd kan worden, is volgens Brenner lang niet het grootste risico. Als voorbeeld geeft hij een Chinese hack op Google in 2009. Georkestreerd vanuit het Politbureau. Het doel was niet om wachtwoorden te achterhalen, maar om de broncode van de zoekmachine in handen te krijgen. Het ontvreemden van intellectueel eigendom dus. Wie Google kan nabouwen, versterkt zijn economische macht. Dit is de drijfveer achter duizenden inbraakpogingen bij westerse firma’s, meent Brenner. “Gewone bedrijven liggen onder vuur van natiestaten.”

Het verbaast de veteraan dat het publiek hier zo kalm op reageert. Nog geen 10 jaar geleden werd het Pentagon gehackt, memoreert hij. China confisqueerde 20 terabytes aan informatie. Stel dat dit een fysieke diefstal was, dan had je een konvooi vrachtwagens nodig om de paparassen te vervoeren. De meeste hacks blijven volgens hem onbekend. Vooral omdat slachtoffers niet graag toegeven dat hun beveiliging niet in orde was. Mogelijk speelde dit ook bij certificaatverstrekker Diginotar: het bedrijf hield lang stil dat haar klant, de Nederlandse overheid, gevaar liep.

Koppel operationele systemen niet aan internet
Maar het echte gevaar zit hem volgens Brenner in het verstoren van operationele systemen. Hij laakt de beheerders van het Noord-Amerikaanse elektriciteitsnetwerk. Die proberen in rap tempo het systeem aan te sluiten op internet. Een operationele efficiëntieslag, geeft Brenner toe. Maar ook een handreiking aan hackers. “Als zij het netwerk uitschakelen, stopt het land.” Datzelfde risico ziet hij bij andere systemen: het wegenverkeersnet, de luchtverkeerscontrole, het waterbeheer. Op computers van Al Qaeda is al gedetailleerde informatie over dat soort systemen gevonden, weet hij. En elektriciteitsnetwerken van Australië en het Verenigd Koninkrijk zijn al meerdere keren aangevallen. Tot nu toe zonder grote gevolgen.

Slechte elektronische beveiliging heeft operationele consequenties, luidt het mantra van Brenner. Volledige bescherming is volgens hem onhaalbaar. En op de overheid kun je niet rekenen, omdat 85 procent van de Amerikaanse IT-infrastructuur in private handen is. Wel heeft hij een advies aan bedrijven en overheden: sluit niet alles aan op internet. Vooral operationele diensten en intellectuele eigendommen kunnen beter geïsoleerd blijven. Bestuurders zouden daarom niet alleen het ontwerp van de beveiliging moeten controleren, maar ook de manier waarop systemen geïmplementeerd en gekoppeld zijn. De zwakste schakel is niet de chip, besluit Brenner. Dat is de mens.

Eerder in deze serie:
Computer versloeg Kasparov met schaken. Volgende uitdaging: chefkok Jamie Oliver
‘Defensie moet elektronische wapens maken’