Al jaren waarschuwen bezorgde cyberwaakhonden en ICT-experts voor de gevaren van maatschappij-ontwrichtende hacks op vitale infrastructuur. Maar in de praktijk komen dit soort cyberaanvallen weinig voor. "Hackers zijn nu niet uit op ontwrichting."
Het was het eerste wat bij sommigen naar boven kwam toen een ICT-fout bij de NS begin deze maand het volledige treinverkeer platlegde: dit was het werk van hackers. Er bleken echter geen kwaadwillenden achter de spoorchaos te zitten. Het back-upsysteem van de NS zelf faalde.
Andere afslag
Zeker met de oorlog in Oekraïne lijkt het cybergevaar dichterbij dan ooit. Pro-Russische hackers zouden het hebben gemunt op 'onvriendelijke landen' zoals Nederland. Maar hoe waarschijnlijk is het dat hackers daadwerkelijk vitale infrastructuren als het water- en elektriciteitsnet, de ziekenhuiszorg of het treinverkeer platleggen?
"Er is zeker reden om aan te nemen dat meer ontwrichtende hacks voor kunnen komen", zegt ICT-expert Danny Mekić. "Maar kwaadwillende hackers hebben vaak niet het doel om samenlevingen plat te leggen. Die nemen nu een andere afslag."
Geld of data
Hij wijst erop dat het hackers over het algemeen om twee dingen gaat: geld of data. "Hackers die vanuit staten opereren zijn vaak uit op data voor de inlichtingendiensten, criminelen zijn uit op geld." Omdat die eerste groep zoveel mogelijk informatie wil verzamelen, houden ze zich juist erg stil. "Ze willen geen sporen achterlaten."
Criminele groeperingen willen daarentegen op een zo effectief mogelijke manier geld aftroggelen van slachtoffers. "Een vitaal systeem platleggen past niet bij dat doel. Dat kost veel tijd. Aanvallers weten bovendien dat de pakkans groot is. Als zij moedwillig het hele openbaar vervoer platleggen, springen daar direct de allerbeste specialisten van de opsporingsdiensten op."
Lager hangend fruit
Daarom zijn cyberaanvallen vaak gericht op organisaties die hun digitale veiligheid niet op orde hebben, legt hij uit. "Hackers kiezen het lager hangende fruit uit als slachtoffer."
De ICT-expert noemt als voorbeeld een recente hack bij een ICT-dienstverlener begin april. 8 woningcorporaties maakten gebruik van de diensten van die ene leverancier. Daardoor konden de aanvallers via één hack bij al die organisaties naar binnen dringen. Zo zijn gevoelige bank- en identiteitsgegevens van duizenden Nederlanders gestolen en uiteindelijk online gezet.
'Te veel in paniek'
Directeur Dave Maasland van cyberveiligheidsbedrijf ESET Nederland houdt zich al jaren bezig met cyberaanvallen op computersystemen. Hij vindt dat men 'te veel in paniek is' om cyberaanvallen op vitale infrastructuur.
Alhoewel dit soort aanvallen op cruciale organisaties niet onmogelijk zijn, kost het jaren werk. Maasland: "Dat biedt die organisaties de tijd om zichzelf nog meer te wapenen tegen hackers."
Kaartenhuis
Toch wil dat allerminst zeggen dat het gevaar op ontwrichtende gevolgen van cyberaanvallen is geweken. "Rond die meest cruciale organisaties zit een hele laag van bedrijven die nauwelijks volwassen is op het gebied van digitale veiligheid."
Volgens Maasland is een scenario dat door een hack of storing de hele leveranciersketen als een kaartenhuis in elkaar stort dreigender dan ooit. "Dat komt dan niet omdat de meest cruciale organisaties worden geraakt, maar door de hoeveelheid bedrijven die wordt getroffen."
Miljarden euro's schade
Zo'n situatie is al eens voorgekomen. In 2017 belandde de gijzelsoftware NotPetya via Oekraïne op allerlei systemen over de hele wereld. Het leidde er onder meer toe dat het werk in de Rotterdamse haven stil kwam te liggen. Ook honderden andere organisaties werden getroffen. De schade liep wereldwijd in de miljarden euro's.
"Dat maakt de risico's pijnlijk duidelijk", zegt Maasland. "Digitale systemen over de hele wereld zijn enorm met elkaar verbonden. Er hoeven maar een paar schakels uit te gaan en veel essentiële organisaties als ziekenhuizen of voedselleveranciers liggen plat. Die zijn erg afhankelijk van elkaar of maken van dezelfde software en systemen gebruik."
Ontwrichtende gevolgen
Volgens Maasland zijn de risico's de afgelopen jaren alsmaar groter geworden. Er is steeds meer onderlinge afhankelijkheid, bedrijven zijn door corona verder gedigitaliseerd en de oorlog in Oekraïne zorgt voor extra dreiging. "Een digitale hartstilstand heeft ontwrichtende gevolgen: van schaarste en lege schappen tot uitgestelde operaties aan toe."
Ook Mekic is bezorgd: "Als de spanningen blijven oplopen, is het goed mogelijk dat de hackers die staten nu inzetten om stiekem data te verzamelen een ander doel meekrijgen. Dat ze zich gaan richten op vitale infrastructuren om samenlevingen te ontwrichten."
Aanval op energiecentrale verijdeld
Cyrberaanvallen op vitale infrastructuren vinden al wel degelijk plaats in Oekraïne, ook al komt daarover weinig naar buiten. Volgens Maasland waren pro-Russische hackers heel ver bij een aanval op een Oekraïense energiecentrale. "Ze waren daadwerkelijk binnen en in staat om het stroomnetwerk in het land plat te leggen."
Op het laatste moment is de aanval begin april verijdeld. "Het antwoord op de vraag of Rusland bij machte is om een digitale stoot uit te delen, weten nu: ja, dat kan het. In Nederland gebruiken we deels dezelfde apparatuur als in Oekraïne. Het is een reëele mogelijkheid dat Rusland ook hier het licht uit kan doen."
Afhankelijkheid van computersystemen
Hoe kunnen organisaties zich tegen ontwrichtende acties wapenen? Veiligheid wordt volgens Mekić steeds belangrijker naar mate de afhankelijkheid van een systeem groeit. Daarom is het belangrijk om die afhankelijkheid te minimaliseren. "Daar valt nog een hoop te winnen."
Zeker omdat een systeem 100 procent beveiligen onmogelijk is. "Je kunt nog zoveel slotjes op een systeem gooien, maar het werkt nu eenmaal zo dat als jij er bij kan, een ander dat ook kan."
Impact verkleinen
Minder afhankelijk worden van computersystemen gebeurt door de impact van een storing of hack zo klein mogelijk te maken, zegt hij. "Sla er geen waardevolle gegevens op die niet meer van belang zijn."
"Zorg er daarnaast voor dat er altijd alternatieve locaties, systemen en technieken zijn van waaruit de organisatie kan opereren."
Oude, handmatige manier
Zeker voor vitale organisaties is het van belang om werknemers voor te bereiden op situaties waarbij alle systemen voor langere tijd niet meer werken, zijn Mekić en Maasland het met elkaar eens. "Als de systemen uitvallen, moeten werknemers het op de oude, handmatige manier kunnen oplossen."
Maasland voegt daaraan toe dat er niet alleen een taak ligt bij werkgevers. "Het is een dooddoener, maar veiligheid begint bij jezelf. Zorg voor veel slotjes: automatisch updaten, tweefactorauthenticatie en sterke wachtwoorden - die je uiteraard niet opslaat in de cloud. Wie die discipline thuis opbrengt, doet dat over het algemeen ook op het werk."
Vragen? Stel ze!
Heb je nog vragen of wil je reageren? Stuur ons dan hier een berichtje in onze chat. Elke donderdag vertellen we in de Doe mee-nieuwsbrief wat we met alle reacties doen. Wil je die in je mail? Meld je dan hier aan.