Hoe hou je Russische hackers buiten?

hacken staatsgeheimen

Russische hackers hebben het gemunt op Nederland. Goede beveiliging moet de aanvallen afslaan. En de AIVD kan terughacken.

Wat al een tijdje in de lucht hing is de afgelopen dagen officieel bevestigd: Russische hackers die nauwe banden hebben met het Kremlin proberen in te breken bij de Nederlandse overheid. Ze waren uit op „verslagen uit de boezem van de regering”, zei het hoofd van inlichtingendienst AIVD, Rob Bertholee, vrijdag in EenVandaag.

Het afgelopen half jaar zijn er volgens Bertholee honderden aanvallen van Russische, Chinese en Iraanse hackers geweest op Nederlandse bedrijven en de overheid – hij maakte geen onderscheid tussen deze doelwitten. Zaterdag meldde de Volkskrant dat de aanvallen waren gericht tegen ministeries, waaronder dat van Algemene Zaken.

Wat kan Nederland doen om zichzelf te beschermen? Heeft het bijvoorbeeld zin om terug te hacken?

Systemen niet op orde

Want de Russische inbraakpogingen zijn, voor zover bekendgemaakt, weliswaar mislukt, er is geen reden aan te nemen dat ze zijn opgehouden. De hackersgroepen APT28 en APT29 – bijgenaamd Fancy Bear en Cozy Bear – worden ook verantwoordelijk gehouden voor de inbraak bij de Democratische Partij in de VS. En vorige week meldden Noorwegen en Polen dat ook zij het doelwit van deze Russen zijn geweest.

Het klinkt misschien als een open deur, maar de eigen digitale systemen goed beveiligen is de belangrijkste maatregel, zegt de Nijmeegse hoogleraar computerbeveiliging Bart Jacobs. „Ik denk niet dat de systemen van de overheid echt op orde zijn. Dat ligt grotendeels buiten henzelf. De Microsofts van deze wereld leveren nu eenmaal software waar veel fouten in zitten, en zijn daar juridisch niet hard genoeg op aangepakt. Daar zit een groot probleem.”

Die beveiliging bestaat ook uit voorlichting: zorgen dat medewerkers niet op links in mailtjes klikken, de zogeheten spear fishing-mails, die zo echt lijken dat mensen hun inloggegevens achterlaten. Jacobs: „Ik weet zeker dat hoge ambtenaren erop getraind worden die te herkennen.”

Toch zullen er altijd medewerkers voor de bijl gaan, denkt ook Michel van Eeten, hoogleraar internetveiligheid in Delft. „Laatst vertelde iemand van een beveiligingsbedrijf me dat zelfs binnen hun eigen bedrijf 20 procent van de medewerkers er nog in trapte.”

Voor de gevoelige periode rond de verkiezingen kan de regering ervoor kiezen om de belangrijkste gegevens, zoals de verslagen uit de ministerraad, scherper af te grendelen en goed in de gaten te houden wie er wel bij komt.

Verslagen uit de ministerraad

Om dat structureel te doen ontbreekt waarschijnlijk de mankracht, zegt Van Eeten. „Maar vergeet niet dat hackers opportunistisch zijn. Ze lossen een schot hagel, en als het bij de ministerraad niet lukt, gaan ze door naar het volgende doelwit.”

Politieke partijen zijn kwetsbaarder denkt hij. Minder geavanceerde systemen, weinig professionele beveiligers, veel vrijwilligers. „Mijn tip: ga te werk als de maffia. Zorg ervoor dat je alle informatie wegdoet die tegen je gebruikt kan worden. Mensen bewaren hun e-mails vaak jarenlang, en er is altijd wel iets pijnlijks in te vinden, zoals bleek bij de Democraten in de Verenigde Staten. Als je die mails wilt houden, schrijf ze dan weg op een harde schijf en leg die in een kast.”

Als je die mails wilt houden, schrijf ze dan weg op een harde schijf en leg die in een kast

Het is belangrijk om het verkeer op overheidsnetwerken goed in de gaten te houden, zegt hoogleraar Jacobs. „Dat doen de Nederlandse veiligheidsdiensten al. Ze zoeken naar patronen in aanvallen, zogeheten signatures.” Bevriende diensten wisselen die uit. „Je kunt erop rekenen dat de Amerikanen dat gedaan hebben na de inbraak bij de Democraten.”

Westerse diensten, ook de Nederlandse, zijn intussen ongetwijfeld bezig om Fancy Bear en Cozy Bear terug te hacken, denkt Jacobs. „Niet direct om ze uit te schakelen, want dat zal niet makkelijk gaan, maar om informatie in te winnen: wat doen ze precies, en hoe kunnen we die gegevens gebruiken om onszelf te verdedigen?”

De Russische beren doen weinig moeite om te verbergen wie ze zijn. Dat vinden ze niet nodig, denkt Van Eeten. „Ze laten alleen technische informatie achter, geen persoonsgegevens. En ze weten dat ze in Rusland toch niet vervolgd worden. Het zou ook omslachtig zijn om te moeten zorgen dat geen twee aanvallen op elkaar lijken, of een hack zo uit te voeren dat het lijkt of China het gedaan heeft. Waarschijnlijk vindt Poetin dit juist wel mooi machtsvertoon. Al kan die arrogantie uiteindelijk een miscalculatie blijken.”