Er zitten grote gaten in onze digitale dijken

Nasleep cyberaanval

Nederland kwam goed weg bij aanval met gijzelsoftware WannaCry. Toch maken experts zich grote zorgen over veiligheid.

Als ze de cyberveiligheid in Nederland een rapportcijfer moest geven, zou Lokke Moerel niet hoger uitkomen dan een 3. De hoogleraar ICT-recht aan Tilburg University en lid van overheidsadviesorgaan Cyber Security Raad heeft grote zorgen. „De vitale infrastructuur van veel overheden en bedrijven is één groot spaghetti-systeem: ondoorgrondelijk en heel moeilijk te beveiligen. Politieke partijen lijken ook nog eens geen idéé te hebben.”

De andere aanwezigen bij een symposium over cyberveiligheid van debatforum Atlantische Commissie zijn net zo ongerust. „Ik kom ook niet hoger dan een drie”, zegt Pieter Cobelens, de voormalig directeur van de Militaire Inlichtingen en Veiligheidsdienst (MIVD). „En het vervelende: een oorlog win je, of verlies je. We zijn deze oorlog nu aan het verliezen.”

Herna Verhagen, bestuursvoorzitter van PostNL en auteur van een groot rapport over cyberveiligheid komt op „een 5” uit. Nationaal Coördinator Terrorismebestrijding en veiligheid Dick Schoof is nog het meest optimistisch. „Een 6 min. Maar criminelen en vijandige overheden ontwikkelen zich sneller dan wij, dus als we niet oppassen is het binnenkort een 5.”

Met mazzel weggekomen

Het pessimisme is opmerkelijk nadat Nederland afgelopen week goeddeels ontsnapte aan de wereldwijde aanval met gijzelsoftware WannaCry, volgens veel deskundigen een van de grootste cyberaanvallen ooit. Honderdduizenden computersystemen in zeker 150 landen werden gekaapt in ruil voor losgeld waardoor ziekenhuizen, productieprocessen bij fabrieken en overheidsdiensten stil kwamen te liggen. In Nederland werd (voorzover bekend) alleen parkeerbedrijf Q-Park getroffen. Schoof: „Het is inderdaad merkwaardig dat WannaCry aan Nederland voorbij ging. We zijn nog aan het uitzoeken hoe dat kan. Het lijkt erop dat we simpelweg geluk hebben gehad.”

Ervan uitgaan dat Nederland de volgende keer weer met mazzel wegkomt, lijkt niet bepaald verstandig. Vooral gezien het feit dat gijzelsoftware als WannaCry slechts één van de vele dreigingen is op cybergebied. Hoogleraar Moerel, die als advocaat bij het Berlijnse kantoor Morrison & Förster ook veel internationale bedrijven adviseert, waarschuwt voor zogeheten stepping stone-aanvallen. „Dan leiden criminelen de boel af met bijvoorbeeld gijzelsoftware op het ene systeem als afleidingsmanoeuvre, waarna de hele beveiliging van een bedrijf bezig is om die aanval af te wenden. Vervolgens hacken de criminelen elders in het bedrijf ongemerkt systemen met belangrijke patenten.”

Dick Schoof is bezorgd over cyberspionage door landen als China en Rusland: „Bijvoorbeeld gericht op de kroonjuwelen van Nederlandse hightech-bedrijven. Als ze cruciale technische kennis weten te stelen, ondermijnen ze het verdienmodel van Nederland, en daarmee de samenleving.”

Schoof wijst verder op het grote gevaar van internet of things. Omdat veel huishoudelijke apparaten met een internetverbinding slecht beveiligd zijn, kunnen die worden gekaapt voor hun rekenkracht en bandbreedte. „Die kunnen worden gebruikt voor aanvallen die belangrijke servers platleggen. Met grote ontwrichting tot gevolg.”

Auto’s zonder remmen verkopen

Moerel beaamt dat: „Leveranciers van internet of things-apparaten doen vaak alsof ze knettergek zijn, ze regelen de veiligheid niet goed. Het is alsof ze auto’s zonder remmen verkopen en vervolgens zeggen dat het andermans probleem is. Fabrikanten moeten aangesproken worden op hun verantwoordelijkheid.”

De dreiging komt kortom uit allerlei hoeken, en de oplossingen zijn zeer uiteenlopend en vaak complex. Hoe voorkomen we al die aanvallen? De NCTV liet een onderzoek uitvoeren naar die vraag dat toevallig ook deze week werd gepresenteerd. De conclusie van dat rapport was dat Nederland, ondanks stappen de goede kant op, nog lang niet ‘cyber ready’ is. Overigens is geen enkel land dat nog volgens de onderzoekers. De belangrijkste verbeterpunten volgens dat rapport: er moet in Nederland meer overheidsgeld komen voor digitale veiligheid, en de informatiedeling tussen bedrijven en overheden moet beter. Vooral kleinere bedrijven worden nu vaak uitgesloten van cruciale informatie.

‘Pak de ander voordat hij jou pakt’

Dick Schoof en Herna Verhagen beamen dat en stellen nog een andere maatregel voor: iedereen moet voortaan zeker 10 procent van zijn IT-budget aan veiligheid gaan besteden. „Als je een computer koopt van 500 euro, moet je minimaal 50 euro aan anti-virusproducten kopen, dat geldt voor burgers, bedrijven en overheden”, zegt Verhagen.

Lees ook dit opiniestuk van essayist Evgeny Morozov:
Cyberaanvallen: een gouden kans voor techreuzen om hun rijk te vergroten

Volgens oud-MIVD-baas Cobelens moet Nederland ook veel meer werken aan afschrikking en ‘offensieve cybercapaciteiten’. „Als je als land hard kunt slaan, denken ze voortaan wel drie keer na. Pak de ander voordat hij jou pakt. Als je het licht uitzet in de badkamer van Poetin, wil ik nog wel zien of de Russen zich blijven gedragen als ze nu doen.” Schoof waarschuwt wel: „Je weet nooit hoe hard iemand terugslaat als je zelf de eerste klap uitdeelt. Dat kan wel eens veel harder aankomen dan je aankunt.”

Een ander voorstel komt van Lokke Moerel. „Ik vind het echt heel irritant om te zeggen, maar vorige week heeft Donald Trump iets slims gedaan. Hij heef een executive order cyber security getekend, waar heel zinnige dingen in staan. Dat zouden we grotendeels kunnen overnemen.” In die executive order staan onder meer plannen voor betere informatiedeling, en het fatsoenlijk beveiligen van vitale sectoren zoals de elektriciteitsvoorziening. Er is een harde deadline aan gekoppeld van 90 dagen. „Terecht: haast is echt geboden,” zegt Moerel. „Nederland moet hoe dan ook hard aan de bak.”