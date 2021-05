In plaats van wc-rollen te hamsteren, snelden Amerikanen zich de afgelopen week naar tankstations om benzine in te slaan. ‘Doe geen benzine in plastic zakken’, waarschuwde de Amerikaanse Commissie voor Productveiligheid nog. Filmpjes van mensen die druipende tasjes met gele brandstof probeerden mee te nemen, leidden op sociale media vooral tot hilariteit.

De aanleiding voor dit gehamster was minder lollig. Afgelopen week kwam het pijpleidingennetwerk Colonial Pipeline, dat bijna de helft van de Amerikaanse oostkust van brandstof voorziet, plat te liggen. Het gevolg: lange rijen mensen die voor de zekerheid hun tank vol willen gooien, plus nog wat extra jerrycans. Net zoals er onlangs na een gijzelsoftwareaanval op een transportbedrijf voor Nederlandse supermarkten geen kaas meer in de schappen lag, stopte ditmaal in het oosten van de Verenigde Staten de bevoorrading van een groot deel van de tankstations.

Criminelen slagen er steeds vaker in om via kleine gaatjes en kwetsbaarheden binnen te dringen in softwaresystemen. Universiteiten, ziekenhuizen en gemeenten werden al eerder de dupe. Universiteit Maastricht betaalde eind 2019 tonnen aan hackers die onderzoeksgegevens van medewerkers en studenten vastzetten en pas weer vrij wilden geven na betaling van losgeld in bitcoin. En toen de Nederlandse organisatie voor wetenschappelijk onderzoek NWO afgelopen februari na een cyberaanval weigerde losgeld te betalen, lekten de daders interne documenten om de druk op te voeren.

In Finland dreigden hackers de persoonlijke patiëntendossiers van mensen die psychiatrische hulp hadden gekregen online te zetten. Ditmaal richtten ze zich op de tienduizenden getroffen patiënten zelf, in de hoop dat publicatie van hun dossiers over zelfmoordpogingen, drugsgebruik, of angstaanvallen hen snel tot betaling zou aanzetten.

Patiëntendossiers, belastingdatabanken of betalingssystemen: ze zijn alle gedigitaliseerd zonder dat het helder is of de ingekochte technologie wel voldoet aan de hoogste veiligheidsstandaard. Blind erop vertrouwen dat softwarebedrijven voor voldoende bescherming zorgen, werkt hier niet. Zeker niet als klanten, zoals ziekenhuizen, dure software-updates niet kunnen betalen.

In verouderde softwaresystemen komen vaak nog fouten voor die criminelen kunnen uitbuiten; in de vernieuwde versies zijn die al verholpen. Voor inkopers of gebruikers van software zijn dit soort complexe systemen niet te doorgronden. En doordat ICT-bedrijven maar beperkt publiekelijk informatie delen over gehackte producten, blijven de risico’s bestaan en worden beschermingsmaatregelen niet genomen.

Hoe groot de risico’s van kwetsbare software zijn, is geen verrassing. Als mogelijk rampzalig resultaat van een cyberaanval door criminelen of een vijandige staat is al vaker het raken van kritieke infrastructuur genoemd.

Na de aanval op Colonial Pipeline stelde de regering-Biden direct een decreet op, met een lange lijst maatregelen die digitale systemen beter moeten beschermen. Opvallend is dat bedrijven aan strengere eisen moeten voldoen, terwijl die in de VS tot nog toe veel ruimte kregen om naar eigen inzicht te handelen. Er komen standaardcontracten met voorwaarden voor bedrijven die software leveren. Op ‘slimme’ apparaten komen etiketten die een indicatie geven van de digitale veiligheid of juist de risico’s ervan. Bedrijven worden verplicht informatie over dreigingen en aanvallen te melden aan de overheid. Hopelijk zorgt dit alles voor meer digitale veiligheid.

Nu kun je nog lachen om mensen die in paniek een tasje benzine komen halen. Maar misschien zijn de gevolgen van de volgende cyberaanval wel fataal.

Marietje Schaake schrijft om de week op deze plek een column over technologie, beleid en economie.