Gehackt

Het is oorlog maar niemand die het ziet. Dat is de titel van het boek van onderzoeksjournalist Huib Modderkolk over de schaduwkanten van het internet en voortschrijdende digitalisering. Het boek geeft een inkijk in operaties van veiligheidsdiensten, die veelal via digitale kwetsbaarheden infiltreren in netwerken van overheden en bedrijven. De verhalen zijn spannend en toegankelijk beschreven. Vertellingen over hackers en cybercriminelen geven internetcriminaliteit een gezicht.

Ik werd geraakt door het verhaal van hacker Edwin Robbe uit Rotterdam. Als zeventienjarige lukt het Edwin om diep door te dringen in het netwerk van KPN. Hij pronkt daarmee in hackerskringen en loopt uiteindelijk tegen de lamp. De politie komt hem op het spoor en betrapt Edwin op heterdaad achter zijn computer. De ouders zijn tot dan toe nog onwetend van de werkelijke computeractiviteiten van hun zoon en worden volledig verrast door zijn arrestatie in hun huis. ‘Waar de computer voor zijn ouders puur een gebruiksartikel is, is het voor Edwin de toegangspoort naar avontuur, begrip en vooral erkenning’, schrijft Modderkolk. Voor ouders van computerverslaafde jeugd is het verhaal van de jonge hacker een waarschuwing.

Edwin Robbe had geen kwade bedoelingen en betaalde toch een hoge prijs voor zijn avontuur in de digitale wereld. Echte cybercriminelen opereren vanuit het buitenland en zijn ongrijpbaar. Afgelopen jaar wisten ze toe te slaan bij een toenemend aantal bedrijven en overheidsinstellingen. Door het massale thuiswerken verschoof de aandacht van cybercriminelen naar thuiswerkomgevingen. Via phishingmails of door gebruik te maken van kwetsbaarheden in de IT-systemen proberen ze de inloggegevens van medewerkers te stelen om zichzelf toegang tot het bedrijfsnetwerk te verschaffen. Daarna zetten ze gijzelsoftware in die bestanden en systemen versleutelt en beloven deze vrij te geven als het slachtoffer een bedrag overmaakt.

Organisaties moeten hun medewerkers digitaal weerbaar maken. Door het testen van klikgedrag en training worden medewerkers geleerd de gevaren via mail en sociale media te herkennen. Regelmatig ontvang ik gesimuleerde phishingmail in mijn mailbox. Die moet ik vervolgens rapporteren als phishingmail, waarna ik een berichtje ontvang met een bedankje voor mijn alertheid. Meestal zie je alleen aan het emailadres al dat het bericht niet deugt, maar toch ging ik laatst in de fout. Ik wilde me aanmelden voor een Zoom-vergadering. Normaal ontvang ik direct daarna een bevestiging per mail dat ik ben toegelaten. Dit keer lukt het aanmelden niet, maar ik ontving wel een mail met de ‘correcte’ link. Ik klikte daarop en bleek gezakt voor de phishingtest. Binnen een week moest ik een training inhalen over spearphishing. Dit is een aanval gericht op een persoon, waarbij gebruik wordt gemaakt van gerichte en persoonlijke informatie. Spearphishing is veel effectiever is dan een grootschalige phishingaanval. Naar schatting openen slachtoffers 30 procent van de spearphishingmails, vergeleken met minder dan 3 procent van de gebruikelijke phishingmails.

Cybercriminelen gaan steeds gerichter te werk. Zij onderzoeken hun doelwit en sturen dan bijvoorbeeld namens een collega een mail met een kwaadaardige link of bestand. In toenemende mate worden we niet direct door cybercriminelen geraakt, maar via onze leveranciers. Afgelopen zomer ging de Garmin-dienst Connect meerdere dagen offline, als gevolg van serveronderhoud volgens de sporthorlogemaker. Later werd bekend dat het bedrijf was getroffen door een digitale gijzeling en 10 miljoen dollar had betaald om de gijzeling te beëindigen. Het is niet duidelijk of cybercriminelen daarbij ook gebruikersgegevens hebben gestolen. Via website haveibeenpwned kun je eenvoudig controleren of jouw gegevens zijn gelekt. Het gaat daarbij bijvoorbeeld om datalekken bij Adobe (153 miljoen accountgegevens) in oktober 2013, LinkedIn (164 miljoen e-mailadressen en wachtwoorden) in mei 2016 en MyFitnessPal (144 miljoen e-mailadressen en wachtwoorden) in februari 2018. Het is dus essentieel om voor iedere onlinedienst een uniek en sterk wachtwoord te gebruiken.

‘In 2018 werden volgens beveiligingsbedrijf Symantec 3,3 miljoen Nederlanders slachtoffer van cybercriminaliteit. De zwakke plekken waar criminelen toeslaan, ontstaan vaak door gemakzucht.’ concludeert Modderkolk in zijn boek.

Apocalyps of ondergang van internet

Aplocalyps 61

Hackers, die het netwerk van de Amerikaanse overheidsdiensten wisten te kraken, blijken de gegevens van minstens 21,5 miljoen mensen te hebben gestolen. In Duitsland moeten mogelijk 20.000 computers worden vervangen na een cyberaanval op het Duitse parlement. Afgelopen maanden werden ook Sony en het Franse tv-station TV5 geteisterd door cyberaanvallen. Deze maand werd Hacking Team, een Italiaans bedrijf dat hack-software ontwikkelt voor onder meer overheden, zelf gehackt. Het hacken van complete bedrijfsnetwerken is kinderspel en de pakkans is minder dan 0,001 procent. Dit brengt bij mij een visioen naar boven van het doemscenario, waarvan ik hoop dat het nooit werkelijkheid zal worden.

Triomfantelijk macht
Wij genieten van onze vrijheid, de grootst mogelijke vrijheid. Er zijn geen grenzen meer. Het internet maakt het mogelijk dat wij op ieder moment, vanaf iedere plek, met ieder communicatiemiddel direct kunnen communiceren. Wij kunnen videoverbindingen leggen met mensen over de hele wereld en met elkaar spreken alsof we bij elkaar in de huiskamer zitten. Bedrijven en overheden verplaatsen hun rekencentra naar de Cloud. Daardoor kunnen zij flexibel inspelen op een veranderende behoefte en kosten verlagen. Dingen en installaties worden automatisch herkend en aangestuurd via het web. Technologie zorgt voor innovatie.

Aardse kracht
Met de groei van het internet neemt ook de kwetsbaarheid van het web toe. Er ontstaan spanningen over het beheer van de Cloud. Bedrijven leiden schade door storingen en onrechtmatig gebruik van data. Overheden maken onderling afspraken en proberen de gaten te dichten in hun regelgeving. Criminelen hebben vrij spel op het internet. Zij leggen vitale netwerken plat en verschaffen zich toegang tot vitale bedrijfsgegevens. Bedrijven en overheden worden daarmee onder druk gezet. Bankrekeningen van particulieren worden geplunderd. Opsporingsdiensten speuren op het web naar de daders. Deze slaan terug met aanvallen op banken en overheid. Het is oorlog op het internet. De daders zijn moeilijk te traceren. Iedere poging tot opsporing en verdediging lokt weer een nieuwe onverwachte aanval uit.

Armoede
Overheid en bedrijven verscherpen de verdedigingslinies tegen de cyberaanvallen. Het aantal aanvallen op het web stijgt dramatisch. Banken kunnen gedupeerde rekeninghouders niet meer vergoeden. Bedrijven die zich niet kunnen wapenen gaan failliet. De pakkans voor criminele groeperingen daalt. De sterkste bedrijven profiteren van het omvallen van hun concurrenten en gaan een verbond aan met criminele groeperingen. De werkeloosheid stijgt sterk. En de beurzen kelderen.

Slachtoffers
De overheid staat machteloos. Het bevolkingsregister wordt gestolen. De identiteit van burgers ligt op straat. Criminelen voeren hun aanvallen uit in naam van onschuldige burgers. Energiecentrales worden aangevallen. Er wordt ingebroken in besturingssystemen van de waterkeringen. De infrastructuur raakt ontwricht. Een deel van het land loopt onder water. Mensen komen om van de kou en verdrinken.

Gerechtigheid
De samenleving keert zich af van de technologische vooruitgang. In ogen van velen heeft deze alleen maar tegenspoed, dood en verderf gebracht. Het verzet groeit tegen het alsmaar groter en almachtiger internet. Sommige bedrijven en burgers keren zich helemaal af van internet. Actiegroepen roepen op het web te ontmantelen en de mensen te beschermen tegen de gevaren ervan.

Aardbeving
Het internet is lange tijd met veel inspanning in de lucht gehouden. Met het opraken van de IPv4 adressen is het web met technische lapmiddelen overeind gehouden. Door een aardbeving in de Middellandse Zee breekt een vitale internetkabel. De één na de andere internetvoorziening valt uit. Als een kaartenhuis stort het wereldwijde web in elkaar. Voor de tweede keer spat de internetzeepbel uiteen. Deze keer is het definitief.

Stilte
Het alomvattende internet wordt niet opnieuw opgebouwd. De budgetten daarvoor zijn niet beschikbaar en het draagvlak ontbreekt. Bedrijven zien het internet ook niet langer als een volwaardig bedrijfsnetwerk. Er worden nog wel specifieke private netwerken opgebouwd. Maar de vrijheid van een wereldwijd omvattend netwerk is definitief voorbij.

Deltaplan digitale veiligheid

zayed

In de nacht van 1 februari 1953 beukt een harde noordwesterstorm op de Nederlandse kust. De dijken breken door en groot deel van Zeeland, West Brabant en de Zuid Hollandse eilanden overstroomt. De storm kost 1.800 mensen het leven en duizenden mensen verliezen huis en bezittingen. De dijken in het deltagebied zijn te laag en te zwak om een watersnoodramp te voorkomen. De ramp is het startsein voor de Deltawerken, een ambitieus plan om de kustlijn met 700 kilometer te verkorten. Meer dan 4,5 miljard euro wordt geïnvesteerd om een bijna volmaakte graad van fysieke veiligheid voor Nederland te bereiken.

Het is 9 november 2032. Verschillende rampen voltrekken zich over de hele wereld. Het computersysteem van de luchtverkeersleiding van het John F. Kennedy vliegveld in New York valt uit. Het luchtverkeer is direct een chaos en er zijn verschillende ongelukken met honderden slachtoffers. In Rusland kan het controlecentrum van staatsbedrijf Gazprom de afsluiters niet meer bedienen. Miljoenen kubieke meters gas ontsnapt en er ontstaan ontploffingen met duizenden slachtoffers. Op het internet worden miljoenen biometrische gegevens verspreid van Europese burgers. Medische- en bankgegevens zijn nu vrij toegankelijk voor iedereen. Overheden staan met de handen in het haar en vermoeden aanslagen van cybercriminelen. Dat doemscenario is minder onwaarschijnlijk dan het misschien lijkt. In 2001 lukte het hackers al om het controlecentrum van Gazprom binnen te dringen en naar believen pompen en afsluiters te bedienen. Via internet drongen hackers binnen bij afstandsbedieningen van stuwdammen en sluizen.

Een beveiligingsbedrijf raamt de jaarlijkse economische schade ten gevolge van cybercriminaliteit voor Nederland op 8,8 miljard euro. Die schade neemt ieder jaar verder toe. De investeringen in beveiliging groeien veel minder snel. Databestanden zijn kwetsbaar voor diefstal en vernietiging van data. Onze vitale netwerken, zoals de infrastructuur voor energie, transport en water staan bloot aan techno-aanvallen. Die kwetsbaarheid wordt vergroot door de toenemende afhankelijkheid van de netwerken onderling en ontsluiting via het internet.

Bedrijven en overheden zullen komende jaren fors moeten investeren om hun digitale kwetsbaarheid te beperken. De nadruk moet daarbij liggen op preventieve maatregelen. De handhaving is namelijk niet eenvoudig, omdat de aanvallen anoniem zijn en vanuit landen komen die wij moeilijk kunnen aanpakken. Het is zaak tijdig te investeren in digitale veiligheid en het niet te laten aankomen op rampen zoals in 1953. Zandzakken gaan ons niet helpen bij het beschermen van onze vitale infrastructuur en het voorkomen van diefstal van data. Het wordt tijd voor een grensoverschrijdend deltaplan voor het waarborgen van onze digitale veiligheid.