Wat als het internet uitvalt?

We denken dat internet flexibel genoeg is om iedere aanval te weerstaan. Maar wat als het tóch uitvalt?

Zwart, zwart, zwart, zwart, zwart. Een voor een krijgen alle monitors in de kantoortuin zwarte schermen. Er verschijnen rode letters op. IT-medewerkers lopen door de gangen, schreeuwend naar collega’s. „Trek nú die kabel eruit!” Elke minuut extra online betekent tientallen nieuwe besmette pc’s, tientallen nieuwe medewerkers die niet bij bestanden kunnen en hun werk niet kunnen doen.

De verwarring is groot. Wat moeten we op ons werk dóén zonder computer? Er ontstaan rijen naar de uitgang, waar medewerkers over de toegangspoortjes heen moeten klimmen – ook de pasjes werken niet meer. Het tafereel speelt zich af op tientallen plaatsen tegelijk. Bedrijven in heel Nederland blijken getroffen.

We dachten dat het niet eens kon. Dat internet uitgevonden was als techniek om zelfs na een kernbom te blijven functioneren. Gerichte verstoring: ja. Totale verstoring: nee.

Er is altijd wel een andere zendmast beschikbaar, dachten we, een ander datacenter bereikbaar. Internet vindt altijd wel een omweg via de tientallen bekende en geheime hoofdkabels die Nederland door de zee en over land binnenkomen. Maar als een cruciale router eruit knalt is er niet zomaar capaciteit beschikbaar op een andere, blijkt nu.

De angst voor plunderingen hangt in de lucht, sommige supermarkten gaan uit voorzorg dicht

Er treden vernietigende ‘cascade-effecten’ op: onvoorspelbare kettingreacties. Het is schrikbarend hoe gauw telefoonnetwerken overbelast raken als veel mensen tegelijk niet kunnen internetten en dus gaan bellen. Als één netwerk eruit ligt, heeft dat vrijwel direct effect op andere netwerken die op internet zijn aangesloten. Een goedgemikte cyberaanval veroorzaakt zo een waterval van problemen.

Vergelijk het met een supermarkt waar plotseling nog maar één kassa werkt op een drukke zaterdagmiddag. Alles loopt vast, mensen gaan ruzie maken, caissières raken gestrest, waardoor alles nog meer in de soep loopt en uiteindelijk het hele systeem faalt.

Als we iets beter op de voortekenen hadden gelet was de ellende misschien te voorkomen geweest, of in elk geval minder ontwrichtend geweest dan nu. Dan was allang duidelijk geweest dat kwaadwillenden niet het héle internet hoeven uit te schakelen om Nederland te ontregelen. Niemand kan het complete internet uitzetten. Een land digitaal volledig laten ontsporen, dat is blijkbaar in een oogwenk gebeurd.

Schipholtunnel dicht

Een verkeersleidingpost van ProRail is onder de getroffen bedrijven. Alle treinen in de omgeving van Amsterdam komen stil te staan. De Schipholtunnel moet dicht. Rondom de luchthaven ontstaan files, mensen lopen met hun koffers over de vluchtstrook en door de bermen om hun vlucht te halen – als die al kan vertrekken, dat hangt maar net van de maatschappij af. Sommige ziekenhuizen melden zulke heftige computerproblemen dat ze geen nieuwe patiënten meer kunnen opnemen. Sommige operaties moeten worden uitgesteld.

Op de zwarte schermen bij de getroffen bedrijven staat in krom Engels de boodschap dat alle bestanden zijn gekaapt. Voor 1 bitcoin kun je ze weer vrij krijgen, staat er. Maar al snel blijkt dat deze losgeldbetalingen niks uithalen. Dit is geen gewone gijzelsoftware.

De ICT Response Board komt halsoverkop bij elkaar. In dat noodteam, in 2011 opgericht om dit soort situaties de baas te kunnen, zitten vertegenwoordigers van banken, telecombedrijven, waterleidingbedrijven en energiemaatschappijen, samen met de ministers van Economische Zaken en Veiligheid. Al snel wordt geschakeld naar de allerhoogste beslissers, dit is Chefsache.

Lees meer over cyberaanvallen met gijzelsoftware Petya, vorig jaar: Vernielzuchtig cyberwapen, mede dankzij de NSA

In het noodplan staan keurige diagrammen over de volgorde van besluitvorming. Maar wat de verantwoordelijken precies moeten doen om de aanval te keren is verrassend onduidelijk. Dáár is te weinig mee geoefend, waarschuwden experts al langer. En terwijl Nederland nog een antwoord probeert te vinden op de eerste aanval, wordt duidelijk dat die nog maar het begin is.

Zombienetwerken

Vrijwel tegelijk met de zwarteschermen-aanval is een eerste golf van DDoS-aanvallen begonnen. De laatste jaren hebben zombienetwerken, zogeheten botnets, wereldwijd honderdduizenden slecht beveiligde slimme televisies, mediaspelers en connected babyfoons gekaapt. Het internet of things is notoir slecht beveiligd, daar zijn we echt wel voor gewaarschuwd. Door de vele onbeveiligde achterdeurtjes kunnen aanvallers de bandbreedte van al die slimme apparaten stelen om aanvallen mee uit te voeren. De botnets gebruiken nu al die gebundelde internetkracht tegelijk om belangrijke delen van het Nederlandse netwerk, nieuwssites, banken, te overspoelen met verkeer – zodat die onbereikbaar worden.

Alsof je brievenbussen in één klap helemaal volpropt met lege enveloppen zodat ook de normale brieven er niet meer bij passen. Belangrijke sites en diensten zullen dagenlang niet of nauwelijks bereikbaar zijn.

De informatievoorziening stokt. Sites van publieke omroepen, Google, Facebook, WhatsApp zijn vrijwel onbereikbaar. De Engelse krant The Guardian zet een liveblog op in het Nederlands maar na enkele uren wordt ook dat voor grote groepen mensen slecht bereikbaar, misschien door de massale toestroom, misschien door een nieuwe aanvalsgolf. Het helpt niet dat de meeste kabelaars het analoge tv-signaal in 2018 hebben afgeschaft.

Bij in allerijl belegde buurtavonden in sommige steden zitten naast bezorgde experts en bestuurders ook mensen die het eigenlijk wel fijn vinden, even geen internet. Mensen komen weer bij elkaar, kijken weer eens op van hun schermpjes, klinkt het optimistisch.

Nou, na twee volle dagen van cyberaanvallen komen mensen bepaald niet dichter bij elkaar. Ze weten niet wat er aan de hand is, beginnen zich zorgen te maken over hoe lang dit nog gaat duren. Banken, communicatiesystemen en overheidssites zijn nog altijd sporadisch in de lucht. Het is een kat-en-muisspel. Steeds als belangrijke internetdiensten nieuwe omwegen benutten, weten de onbekende daders die op een of andere manier weer te vinden.

Briefjes met ‘Geen pin’

Het meest penibel is de onbereikbaarheid van grote banken. Belangrijke servers van ING, Rabo én ABN zijn beurtelings uit de lucht. Het elektronische betalingsverkeer komt grotendeels stil te liggen. Er staan rijen voor de pinautomaten maar ook die functioneren het grootste deel van de tijd niet. Vrijwel niemand heeft genoeg cash in huis voor de boodschappen. Pijnlijk blijkt hoe afhankelijk we zijn geworden van digitaal geld.

Supermarkten hangen briefjes op met ‘Geen pin’. Mensen kunnen geen eten kopen, worden bang, voedselbanken raken overvraagd. De angst voor plunderingen hangt in de lucht, sommige supermarkten gaan uit voorzorg dicht.

De waarheid is dat we het niet weten, en dat we het waarschijnlijk nooit helemaal zullen weten

Na drie dagen zijn er eindelijk voldoende omwegen en nieuwe servers gevonden door de gezamenlijke verdedigingsacties van banken, providers en de ICT Response Board. Stuk voor stuk komen belangrijke diensten weer online. Maar omdat het internet nog instabiel is, zullen storingen van websites en pinautomaten nog weken aan de orde van de dag zijn. Bedrijven, overheden en ziekenhuizen zullen nog maanden bezig zijn met herstelwerkzaamheden.

Het moet wel een staat zijn

Wie de daders zijn? Natuurlijk wijzen de vingers vanaf het eerste moment naar Rusland, en naar Iran, China en Noord-Korea. Zij hebben eerder agressie getoond in cyberspace. Maar is dat niet te makkelijk? De landen ontkennen in alle toonaarden.

Er circuleren veel meer theorieën. En nu internet na dagen van aanvallen weer grotendeels werkt lijkt het wel alsof iedereen nog dieper in zijn filterbubbel zit dan voorheen. Sommigen geloven heilig dat het IS was. Of was het Anonymous, het internationaal collectief van activisten en ‘hacktivisten’ dat al ‘oefent’ sinds 2003?

Alternatieve theorieën zijn er te over; gedacht wordt aan Israël, de CIA of een inside job door ING-medewerkers. Gezien de omvang en de technische verfijndheid van de aanval moet er haast wel een staat bij betrokken zijn, misschien wel meerdere staten. Eigenaren van botnets verkopen hun diensten aan de hoogste bieder. Deze aanvallen moeten vele miljoenen hebben gekost, zo niet meer. De doelen zijn zo tactisch uitgekozen dat de daders zeer vertrouwelijke kennis moeten hebben gehad over de banksystemen en de verdedigingsacties van providers. Dit kunnen geen gewone internetcriminelen zijn.

Waarom is juist Nederland getroffen? En waarom een aanval op internet en niet een potentieel nog ontwrichtender (en misschien wel simpeler uit te voeren) aanval op de stroomvoorziening? Was het vanwege onze geavanceerde digitale infrastructuur, onze cruciale positie in de logistieke keten van West-Europa, of vanwege iets in het MH17-dossier?

Lees ook: NCTV: Nederland is digitaal kwetsbaar

De waarheid is dat we het niet weten, en dat we het waarschijnlijk nooit helemaal zullen weten. Al hebben de aanvallen wel degelijk de signatuur van Russische hackersgroepen.

‘Cyber-Pearl Harbor’

De rust op straat is teruggekeerd. Maar de politieke crisis over deze aanval is pas net begonnen. Hierop kon je op wachten als je het digitaal beïnvloeden van verkiezingen onbestraft laat, zeggen experts.

En het Nederlandse leger was tenslotte in 2017 begonnen ook ‘offensieve cybercapaciteit’ te ontwikkelen, wat andere landen als een bedreiging kunnen hebben ervaren. Er was al jaren geen vertrouwen meer tussen landen, er waren volop spanningen, escalerende digitale aanvallen over en weer. Een giftige cocktail in een domein zonder internationale spelregels voor oorlogsvoering.

Nou, dit is het resultaat. Een ‘cyber-Pearl Harbor’, voorspelden doemdenkers al jaren. Wisten wij veel dat dat in onze eigen achtertuin zou gebeuren.

Illustratie
Eric Smilde/Artbox

    • Wouter van Noort