Gaat er tijdens verkiezingen in Europa ook worden gehackt?

Cyberaanvallen in EU Met veel belangrijke verkiezingen in aantocht is de EU bang dat in 2017 hier ook hacks gaan plaatsvinden. In Italië en Montenegro weten ze dat al. „We zijn naïef in Europa.”

Als het gaat om cyberaanvallen en vanuit het Kremlin geïnspireerde desinformatie, voert de Europese Unie een achterhoedegevecht. Daarover is Eurocommissaris Andrus Ansip (Digitale Markt) heel eerlijk. „We kunnen veel meer doen”, zei hij dinsdag tijdens een persconferentie.

„In de VS is 80 procent van de financiering voor onderzoek naar internetveiligheid afkomstig uit militaire fondsen. Bij ons ligt dat rond de 20 procent.”

Een EU-functionaris zegt het nog minder onomwonden: „We zijn naïef in Europa. We nemen de informatie-oorlog niet serieus genoeg, terwijl het uiteindelijk toch een kwestie van nationale veiligheid is.”

Nu zeker is dat Rusland de Amerikaanse verkiezingen probeerde te beïnvloeden, onder meer met hacks van servers van politieke partijen, gaan ook in de EU alarmbellen af. Met belangrijke verkiezingen in Duitsland, Frankrijk en Nederland en populisten die zo’n beetje overal aan de stoelpoten zagen van een al sterk verzwakte EU, is de angst voor Russische beïnvloeding groter dan ooit.

Maandag meldde de Financial Times dat de Europese Commissie, waar dagelijks met staats- en bedrijfsgevoelige informatie wordt gewerkt, in 2016 110 cyberaanvallen ondervond – een forse stijging. Het Europees Parlement werd woensdag gebriefd over de aanval en kreeg te horen dat de belangrijkste EU-instellingen er komend jaar in totaal vijftig veiligheidsexperts bij krijgen.

„Dat zal de wereld niet veranderen”, zegt de Duitse christendemocraat Andreas Schwab, die namens het Europees Parlement het dossier volgt. „Maar het laat wel zien dat er bij alle instellingen een groeiend besef is van het probleem.”

Heftigere aanvallen bij de NAVO

Bij militair bondgenootschap NAVO werd geen stijging waargenomen, maar constateren ze wel bezorgd dat de ruim driehonderd cyberaanvallen in 2016 heftiger en complexer waren dan voorheen. Rusland? Daar laten de instellingen zich niet over uit. „Het is ook moeilijk te zeggen”, zegt Schwab. „Maar het is geen geheim dat de Russen erg actief zijn.” De EU-functionaris zegt het zo: „Als het praat en loopt als een eend, dan is het een eend.”

Volgens Eurocommissaris Julian King (Veiligheidsunie) heeft de helft van alle bedrijven in EU-lidstaten al eens te maken gehad met „een succesvolle ransomware attack” waarbij ict-systemen door criminelen van buitenaf op slot worden gezet, en vervolgens ‘losgeld’ wordt geëist. Maar King uitte onlangs in een toespraak vooral zijn zorgen over politiek geïnspireerde aanvallen, die gericht zijn „op het manipuleren van de publieke opinie” en op het „destabiliseren en ondermijnen” van campagnes. „We kunnen gerust stellen dat ook in 2017 zulke aanvallen gebruikt gaan worden in pogingen om de verkiezingen in Europa te beïnvloeden.” Ook Europarlementariër Schwab ziet dit als „het grote gevaar”.

Het verwijt dat de EU zélf propaganda bedrijft, ligt al al snel op de loer.

Montenegro bood dinsdag een voorproefje. In een rapport meldde het land doelwit te zijn geweest van Russische cyberaanvallen, met een piek tijdens de in oktober gehouden verkiezingen. De doelwitten: vitale infrastructuur en ambtenaren. Woensdag arresteerde de Italiaanse politie twee hackers, die het gemunt hadden op de emails van politieke kopstukken, onder wie Mario Draghi, de president van de Europese Centrale Bank.

De EU zit niet stil, maar het gaat langzaam, erkent Schwab. In juli vorig jaar kwam onder zijn leiding een nieuwe richtlijn tot stand die ‘essentiële’ dienstverleners – energie-, water- en transportbedrijven, banken, ziekenhuizen – dwingt om de veiligheid op te schroeven tegen criminele en politieke cyberaanvallen.

Aanleiding was onder meer een Russische hackaanval op TV5 in 2015, waarna de Franse tv-zender voor miljoenen euro’s aan apparatuur moest vervangen en financieel bijna omviel.

De nieuwe regels, die begin volgend jaar van kracht worden, gelden ook voor grote internetbedrijven, met zoekmachines en clouddiensten. Het gaat om minimale eisen, benadrukt Schwab. „Het staat lidstaten vrij om strenger te zijn.” In 2016 lanceerde de Commissie ook een fonds (1,8 miljard euro) om het onderzoek naar internetveiligheid te vergroten. „We beginnen niet vanaf nul”, aldus Eurocommissaris Ansip.

Maar op één vlak schiet de EU-strategie ronduit tekort: in de strijd tegen Russische desinformatie. Eind 2015 werd weliswaar de ‘East StratCom Task Force’ opgericht, die in een wekelijkse nieuwsbrief (ook in het Russisch) de zin van de onzin scheidt. Maar daar werken elf mensen, die zwaar leunen op vrijwillige factcheckers in EU-landen. Een poging van het Europarlement om de groep fors uit te breiden en van financiële middelen te voorzien, strandde eind vorig jaar.

Een forse toename van broodje-aapverhalen duidt er vaak op dat er iets op handen is. Zo ging aan de oplaaiende oorlog in Oekraïne vorig jaar een Russische propagandacampagne vooraf. Het in kaart brengen van desinformatie geldt daarom als extreem nuttig. Maar het tegengaan daarvan ligt tegelijk gevoelig, omdat het verwijt dat de EU zélf propaganda bedrijft, al snel op de loer ligt. „Fakenieuws is slecht maar het oprichten van een Ministerie van Waarheid is óók slecht”, zegt Ansip, in een verwijzing naar 1984 van George Orwell.

Zeker waar is dat de EU op het punt staat om te ontdekken hoe groot het fenomeen echt is. Duitse veiligheidsdiensten zien nu al veel meer nepverhalen en hacks voorbij komen, en de verkiezingen zijn pas in het najaar.