:format(webp)/s3/static.nrc.nl/bvhw/wp-content/blogs.dir/114/files/2021/02/schaake-marietje-2020-05-b.png)
Nieuws over cyberaanvallen is zelden openbaar en bereikt ons meestal via softwarebedrijven. Zo bracht cyberveiligheidsbedrijf FireEye de SolarWinds-hack aan het licht, deed Crowdstrike dit met Russische pogingen tot interventie in de Amerikaanse verkiezingen in 2016, en meldde Microsoft afgelopen week opnieuw aanvallen vanuit Rusland. De groep Nobellium zou al sinds mei in de VS en de EU overheden, denktanks en bedrijven aanvallen.
Hoewel Microsoft naar Rusland wijst, is de vraag óók wat hierbij de verantwoordelijkheid van het miljardenbedrijf zelf is. Mede omdat Microsoft producten en diensten aan overheidspartijen levert, maakte het bedrijf de afgelopen drie maanden 17,2 miljard dollar winst: 24 procent meer dan het kwartaal daarvoor. Terwijl die winst toen ook al een record was – vooral de cloudcomputingdiensten groeien.
Het Witte Huis stelde eerder dit jaar dat cruciale infrastructuur beter moet worden beschermd door over te stappen op clouddiensten. De federale overheid kondigde zelf ook aan „de beweging naar veilige clouddiensten te versnellen”. Zelfs het Pentagon en veiligheidsdienst CIA sluiten nu miljardencontracten met bedrijven om naar de cloud te verhuizen.
De maatschappij heeft blind vertrouwen in de veiligheid van clouddiensten, maar laten die nu nét het jongste doelwit van Rusland zijn. Volgens Microsoft zijn er al 23.000 pogingen tot cyberaanvallen gedaan, waarvan een klein aantal met succes. Meer openheid gaf het techbedrijf niet. Dat is natuurlijk onwenselijk – zeker nu afgelopen week documenten van Facebook-klokkenluider Frances Haugen duidelijk maakten dat onwelgevallige informatie niet eeuwig binnenskamers blijft. Microsoft zei eerder dat het 20.500 gerichte aanvallen van staten of daaraan gelieerde groepen had gedetecteerd. Dat kan erop duiden dat de meest recente aanval vanuit Rusland er een van een gigantische omvang is.
Een Amerikaanse overheidsfunctionaris zei in The New York Times dat de Russische hacks routinematig inlichtingenwerk zijn. Als ze slagen, zou volgens deze ambtenaar de schuld bij Microsoft en andere cloudaanbieders liggen.
Dat Rusland zich bezighoudt met spionage en ondermijning van democratische landen is bekend. Misschien is dat wel nooit anders geweest. De vraag is waarom het zo moeilijk is om de Russische cyberaanvallen tegen te gaan. Waarom kan Microsoft met zijn miljardenwinsten geen veiligere software ontwikkelen? Edward Snowden, klokkenluider over de Amerikaanse spionagedienst NSA, zei eerder: „Het grootste gevaar voor de nationale veiligheid zijn de bedrijven die claimen deze te beschermen.”
In plaats van grote bedrijven naar de cloud te dirigeren, zou de Amerikaanse overheid aan softwarebedrijven beter strengere eisen kunnen stellen op het gebied van verantwoordelijkheid, aansprakelijkheid en veiligheid. Ook is het absurd dat spionagepogingen nog altijd niet strafbaar zijn. Dit betekent dat binnendringen in tienduizenden IT-systemen door een vijandige mogendheid zonder gevolgen blijft.
Toen de presidenten Biden en Poetin elkaar in juni ontmoetten, stelde de eerste dat kritieke infrastructuur off limits moet zijn voor cyberaanvallen. Kennelijk heeft Biden – voorspelbaar – het Kremlin niet overtuigd.
We zullen blijven lezen over nieuwe cyberaanvallen als de consequenties niet groter worden voor staten die ze inzetten voor spionage of ondermijning, of voor bedrijven die onvoldoende doen om die aanvallen tegen te houden. Amerikaanse bedrijven wijzen de vinger liever naar het Oosten dan dat ze de hand in eigen boezem steken.
Marietje Schaake schrijft om de week op deze plek een column over technologie, beleid en economie.