Computerbeveiligers spelen in op onrust na cyberaanval

Bedrijven die hun geld verdienen met cybersecurity spelen handig in op de storingen bij de banken. Maar overdrijven ze de risico’s niet?

A man types on a computer keyboard in Warsaw in this February 28, 2013 illustration file picture. One of the largest ever cyber attacks is slowing global internet services after an organisation blocking "spam" content became a target, with some experts saying the disruption could get worse. To match INTERNET-ATTACK/ REUTERS/Kacper Pempel/Files (POLAND - Tags: BUSINESS SCIENCE TECHNOLOGY) REUTERS

Je kunt er de klok op gelijk zetten. Zodra een cyberaanval het internetbankieren verstoort, regent het angstaanjagende rapporten van IT-bedrijven en adviesbureaus.

Een greep uit het recente aanbod: de Data Breach Investigation (Verizon), het Internet Security Threat Report (Symantec) en het Security Intelligence Report (Microsoft). Deloitte stuurt ‘cybergeneraal’ Dick Berlijn op pad om te vertellen over DDoS-aanvallen, een opleidingsinstituut voor ethische hackers verstuurt een persbericht over „toenemende risico’s van cybercriminaliteit.”

Anti-virusbedrijven werken net als verzekeringsmaatschappijen. Ze verkopen producten aan mensen die ergens bang voor zijn. Daarbij maken ze dankbaar gebruik van een reeks incidenten op internet die de kwetsbaarheid van de Nederlandse IT-infrastructuur lijkt aan te tonen.

De publieke onrust wordt versterkt door het wetsvoorstel dat minister Opstelten (Veiligheid en Justitie, VVD) deze week aankondigde. Hij wil de politie in staat stellen ‘terug te hacken’ bij cybercriminelen. Maar de overheid trekt online veiligheid te veel in de hoek van de misdaadbestrijding, vinden verschillende experts. We moeten eerst maar eens leren onszelf goed te beschermen.

Opstelten heeft de wind mee voor zijn voorstel. Want behalve de verstoringen bij het internetbankieren zijn er meer gebeurtenissen die vragen over computerbeveiliging oproepen. Vorige week werd een Nederlandse verdachte aangehouden in verband met een DDoS-aanval op spambestrijder SpamHaus. Een aanval die het internet deed wankelen – dat was althans het beeld dat beveiligingsbedrijf Cloudflare naar buiten bracht.

Deze onheilstijdingen worden gretig opgepikt. Afgelopen zondag nog liet KRO’s Brandpunt een Israëlisch beveiligingsbedrijf aan het woord over de „beroerde” beveiligingssituatie in Nederland. We zouden de cyberbudgetten moeten vertienvoudigen en het makkelijker moeten maken om internet af te luisteren. Anders zou ons spaargeld niet veilig zijn. Zulke verhalen dragen bij aan de huidige „cyberhype”, zegt Gerben Klein Baltink, de secretaris van de Nationale Cyber Security Raad, een strategische adviesraad die ingesteld is door minister Opstelten van Veiligheid en Justitie.

Klein Baltink: „Bij veiligheidsincidenten wordt vaak snel gereageerd in de media, met name door partijen met een commercieel belang. Zo ontstaat er onbedoeld een hype, terwijl de achterliggende problematiek uit beeld verdwijnt. Je kunt het securitybedrijven niet kwalijk nemen dat ze nu hun moment pakken, waarbij ze vaak zeer wetenschappelijk uitziende rapporten aandragen. Maar je moet die hype wel met een korreltje zout nemen. Zeker als dergelijke rapporten geschreven zijn door diegene die ook de oplossing verkoopt voor het beschreven probleem.”

Joost Poort en Axel Arnbak, onderzoekers bij het Instituut voor Informatierecht, plaatsen ook vraagtekens bij de rapportages uit de beveiligingsbranche. „Er is geen enkele wetenschappelijke onderbouwing voor de schadebedragen door cybercriminaliteit. Ze verwijzen naar andere rapporten, die weer naar andere rapporten verwijzen. Uiteindelijk is de oorspronkelijke bron onvindbaar.”

De schadebedragen die genoemd werden door de webwinkeliers (hun klanten konden door de iDeal-storingen een tijdje niet afrekenen) zijn een slag in de lucht, zegt Joost Poort. „Iemand roept een bedrag en dat wordt overal overgenomen.”

„Tijdens publicitaire brandjes als deze kan iedereen een mening roepen”, zegt een ingevoerde in de computerbeveiligingswereld.

Een DDoS-aanval (Destributed Denial of Service, de server wordt bestookt met webverkeer) op banken is dagelijkse kost. Maar omdat ING net een andere fout met de verwerking van betalingen had gemaakt, gingen bij de recente storingen alle alarmbellen af. Deze extra belangstelling riep weer nieuwe aanvallen op: veel DDoS-acties zijn te herleiden tot handige jongens die indruk willen maken op hun vrienden door ‘eventjes een bank plat te leggen’. Hoe meer aandacht, des te meer lol. Dus na de banken volgden DDoS-beschietingen op DigiD en KLM.

De banken schrokken niet van de aanvallen, maar wel van de publiciteit. Ze klopten aan bij minister Opstelten voor overleg en drongen aan op vervolging van de daders.

Van paniek was geen sprake, zegt René Steenvoorden, verantwoordelijk voor de ICT bij de Rabobank. Hij zit als voorzitter van CIO Platform Nederland in de Cyber Security Raad. „Als het gaat om veiligheid werken de ICT-afdelingen van de banken goed samen. Er is geen concurrentie op dat gebied, we weten dat een veiligheidsprobleem van één bank gevolgen heeft voor de hele sector.”

Rabobank sloeg zelf binnen een half uur de eerste DDoS-aanvallen af. ING en SNS hadden meer tijd en hulp nodig. De belangrijkste les van deze reeks cyberaanvallen is dat iDeal niet meer zo makkelijk uit mag vallen zodra één bank onder vuur ligt. Er wordt samen met beheerder Atos Origin en Currence gewerkt aan een stabieler systeem.

Ook zoeken de banken naar een oplossing om hun onderlinge infrastructuur beter af te schermen tegen DDoS-aanvallen uit het buitenland. Ze onderzoeken de optie om een apart onderling netwerk van banken aan te leggen op de Amsterdams Internet Exchange. Zo zouden DDoS-aanvallen uit het buitenland vitale Nederlandse infrastructuur niet langer kunnen dwarsbomen.

Dat lost nog niet het probleem op van de Nederlandse computers die met kwaadaardige software besmet raken en onderdeel zijn van een botnet. Botnets, de netwerken van geïnfecteerde pc’s die onder meer DDoS-aanvallen uitvoeren en spam versturen, zijn immers ook actief in Nederland zelf.

Joost Poort en Axel Arnbak vinden dat de overheid pc-gebruikers hulp zou kunnen bieden met een soort rijksvaccinatieprogramma voor computers. „Consumenten moeten bij de aanschaf van nieuwe computers gewezen worden op de diverse gratis virusscanners. Net als dat nu gebeurt voor internetbrowsers.”

Op een nieuwe computer staat vaak een virusscanner die na drie maanden afloopt. Veel pc-gebruikers betalen niet voor een update, waarmee ze hun systeem kwetsbaar maken voor malware, kwaadaardige software.

Ook softwarebedrijven moeten hun verantwoordelijkheid nemen. Microsoft maakte afgelopen week bekend dat het volgend jaar stopt met veiligheidsupdates van Windows XP, een oud besturingssysteem dat nog altijd zo’n 30 procent marktaandeel heeft. Microsoft zou verplicht moeten zijn zo’n wijdverspreid besturingssysteem veilig te houden, vinden de onderzoekers.

Poort en Arnbak vergelijken de vaccinatie van computers met de oproep die jonge ouders krijgen van het consultatiebureau, als hun baby inentingen moet krijgen. „Binnen de wetenschap wordt al jarenlang nagedacht over de vergelijking tussen internetveiligheid en publieke gezondheid. Maar die visie is nauwelijks doorgedrongen tot het overheidsbeleid, waar criminaliteitsbestrijding de boventoon voert.”

Oftewel: liever de schade beperken door betere verdediging, dan harder terugslaan tegen cybercriminelen.

Het wetsvoorstel dat Ivo Opstelten afgelopen week indiende pleit juist voor meer politiemacht op internet. De minister wil opsporingsambtenaren onder meer laten ‘terughacken’ om de computers plat te leggen die botnets besturen. Ook moet de politie makkelijker kinderporno van beveiligde servers kunnen verwijderen en Skypegesprekken af kunnen luisteren van verdachten.

De timing van Opstelten is handig, meeliftend op de huidige cyberhype. Maar veel experts, ook binnen de Cyber Security Raad, hebben ernstige twijfels of het middel niet erger is dan de kwaal. Het is soms onmogelijk vast te stellen of een verdachte server in Nederland of in het buitenland staat. Zo geef je buitenlandse mogendheden ook een argument om op Nederlandse computers in te breken. En moet een virusscanner die nu je pc beschermt, straks wel de malware van de politie doorlaten?

Eerder zei hoogleraar Bart Jacobs, lid van de Cyber Security Raad, in deze krant al dat de politie kinderporno als excuus gebruikt om meer te kunnen ‘tappen’. Het wetsvoorstel is niet voor advies voorgelegd aan de Cyber Security Raad, maar vermoedelijk volgt dat advies alsnog ongevraagd.

Zoals een van de veiligheidsexperts in overheidskringen het verwoordt: „De overheid vervult haar taak gebrekkig als zij moet grijpen naar meer bevoegdheden.”