Om digitale ontwrichting te voorkomen, is meer inzet van bedrijven en dwingend optreden van overheden nodig. De aanval met ransomware bij Colonial Pipeline toont de grote kwetsbaarheid van de samenleving.
Toevoer olie, benzine, diesel en kerosine
Russische hackers slaagden er eerder deze maand in om een week lang een groot deel van de toevoer van olie, benzine, diesel en kerosine aan de oostkust van de Verenigde Staten lam te leggen. Ze gijzelden Colonial Pipeline, dat ongeveer 45 procent van het olietransport in dit deel van de VS verzorgt. Veel vitaler kan een infrastructuur niet worden: de afhankelijkheid van brandstof is enorm. Aan de oostkust van de VS werd zelfs een regionale noodtoestand uitgeroepen.
Belgisch ministerie
Ook dichter bij huis zijn de laatste tijd regelmatig incidenten, soms met minder zichtbare maar evengoed schadelijke gevolgen. Zo is volgens Belgische media het federale ministerie van Binnenlandse Zaken twee jaar lang gehackt geweest, waarschijnlijk door China.
Veel mensen nemen de berichten voor kennisgeving aan. Maar de vraag die gesteld moet worden is: valt tegen dit soort incidenten iets te beginnen? Het antwoord is bevestigend. Er zijn oplossingen voorhanden die het hackers in ieder geval moeilijker kunnen maken. Maar op dit moment gebeurt dat structureel nog te weinig.
Veiligheid voedsel en auto’s wel bewaakt
Te vaak ligt de nadruk op de eindgebruiker, groot of klein, die zich beter zou moeten beveiligen. Maar die kan niets uitrichten tegen onveilig verkochte producten of diensten. De oorzaak en daarmee de oplossing van het probleem is complexer. Ook bedrijven en overheden moeten verantwoordelijkheid nemen.
Het internet verbindt vrijwel alles. Dit netwerk van netwerken bestaat en functioneert dankzij door internettechnici goedgekeurde protocollen, zogenoemde ‘internet-standaarden’. Maar deze internet-standaarden zijn al rond 1980 gemaakt – en in beginsel onveilig, zoals Vint Cerf , een van de geestelijk vaders van het internet erkende.
Websites maar ook steeds meer ‘internet of things’ apparaten (IoT), apps en software komen veelal onveilig ontworpen op de markt. Voor auto’s, vliegtuigen of voedsel zou zoiets ondenkbaar zijn. Hackers zoeken naar die kwetsbaarheid. Eén zwakke plek is voldoende om een immens bedrijf als Colonial Pipeline binnen te dringen en, zoals deze maand bleek, op de knieën te krijgen.
Wetgeving of stimulering
Internet-standaarden zijn inmiddels verbeterd en voor bijvoorbeeld websites zijn best practices opgesteld. Maar toepassing blijft vrijwillig en daar zucht de hele digitale infrastructuur onder. Wetgeving of actieve stimulering is nodig.
Dat zou kunnen beginnen bij het wereldwijd aansporen of verplichten van overheden en grote bedrijven om veilig materiaal in te kopen. Zo wordt de vraag naar veilige ICT, IoT en diensten gestimuleerd en groeit de markt. De Nederlandse overheid heeft dit beleid nu al.
Meer transparantie en inzicht in bestaande kwetsbaarheden kan tot druk, dus verbeteringen, leiden. Hier ligt een rol voor minder voor de hand liggende partijen. Hackers, zoals die van Colonial Pipeline, testen systemen 24 uur per dag op zoek naar die ene zwakheid. Waarom doet de maatschappij niet hetzelfde? Stimuleer ‘goede’ hackers meer nog dan nu al gebeurt om wereldwijd 24/7 op zoek te gaan naar zwakheden in voor de samenleving belangrijke systemen.
Media en bonden ook
Consumentenbonden zouden producten structureel op digitale veiligheid kunnen testen: rode vinkjes leiden dan tot vragen bij verkopers en fabrikanten. Media hebben ook een rol. Laat zien hoe veilig de ICT is van een auto die in het tv-programma Top Gear of in een krant getest wordt. Met permanente melden van kwetsbaarheden in producten en diensten leidt tot inzicht en dwang tot verbetering. Breng bovendien kinderen vroeg digitale veiligheid bij.
Waar iederéén vanuit eigenbelang handelt, voelt uiteindelijk niemand zich verantwoordelijk, met verwaarlozing tot gevolg: een klassiek voorbeeld van tragedy of the commons. Normaal gesproken treedt de overheid op als ordenende instantie, maar op internet gebeurt dit onvoldoende. Dit is bevreemdend, gezien de enorme belangen en het grote aantal incidenten van de laatste jaren. Hackers zijn overal binnengedrongen, vaak onopgemerkt. Strategie, kennis en geld lekt weg.
Achterdeurtjes?
Dit leidt tot meer strategische vragen die dringend antwoord behoeven. Voor welke aanpak moet de overheid kiezen? Veilig inkopen of wetgeving en regulering? Zit de business case van sommige ICT-bedrijven een veiliger internet in de weg? Strookt het overheidsstreven naar ‘achterdeurtjes’ bij encryptie met een veilig internet? Is één internet in 2021 nog na te streven als de gevaren zo groot zijn?
Zonder duidelijke antwoorden op deze vragen, is het niet mogelijk gericht beleid op betere bescherming op te stellen noch om succesvol (economische) druk op tegenstanders te zetten. Maar het moet beter; en wel snel. Structureel inzetten op security by design is het makkelijke begin. Laat Colonial Pipeline een wake-up-call zijn.
Bron: netkwesties.nl
Wout de Natris is historicus en adviseur op het gebied van internetveiligheid. Dit artikel is een beknopte samenvatting van het IGF-rapport voor een veiliger internet dat hij met Marten Porte in 2020 schreef. Een versie van dit artikel verscheen ook in NRC Handelsblad van 27 mei 2021
Meer info over cybercrime
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
VDL Nedcar: "Medewerkers die in de productie zitten zijn naar huis of doen werkzaamheden die wel offline kunnen"
Vanwege een cyberaanval donderdag houdt industrieconcern VDL er sterk rekening mee dat er bij het bedrijf ook nog vandaag verstoringen zullen zijn. Grote delen van het bedrijf, waaronder autofabriek VDL Nedcar in Born, zullen dan plat liggen.
De drie meest voorkomende cyber-kwetsbaarheden bij het MKB
In het kader van de Europese cybersecuritymaand komt ThreadStone Cyber Security dit jaar weer met de top 3 van kwetsbaarheden binnen het MKB.
Cybercriminelen gingen afgelopen jaar 67% sneller te werk
Cybercriminelen gingen het afgelopen jaar maar liefst 67 procent sneller te werk dan in 2020. De gemiddelde breakout time, de tijd waarin cybercriminelen zich na eerste toegang kunnen bewegen in meerdere systemen, bedroeg het afgelopen jaar slechts 1 uur en 32 minuten. In 2020 lag de gemiddelde break out time nog op 4 uur en 37 minuten. Dit blijkt uit het jaarlijkse 'Threat Hunting Report' van CrowdStrike.
Het moet anders en het kan anders, overheid te traag
Nederlandse bedrijven en belangenorganisaties werken aan een eigen alarmsysteem tegen hackers. Bedrijven die een veiligheidsrisico lopen, moeten via dat systeem sneller gewaarschuwd worden dan via het huidige waarschuwingssysteem van de overheid.
Reactie minister op rapport 'Binnen zonder kloppen'
Het kabinet wil de digitale weerbaarheid van het onderwijs vergroten. In het middelbaar en hoger onderwijs zijn de afgelopen tijd belangrijke stappen gezet om dat te realiseren, maar er zijn aanvullende maatregelen nodig. De overheid wil onder meer dat alle onderwijsinstellingen aansluiting zoeken bij een Security Operations Center (SOC) en dat een onafhankelijk externe partij periodiek een audit uitvoert naar de bestaande beveiligingsmaatregelen.
Traditionele criminaliteit neemt verder af cybercriminaliteit neemt verder toe
De misdaad is in de meeste gemeenten in de eerste negen maanden van het jaar tot een historisch laag niveau gedaald. Het aantal aangiftes van online criminaliteit zit daarentegen in de lift. Deze trend is te verklaren door de coronapandemie in combinatie met de strenge coronamaatregelen.