Van cyberspionnen tot kinderlokkers

Aan alarmerende voorbeelden van cybermisdaad is geen gebrek. Iedere deskundige – en vermoedelijk ook de meeste ondeskundigen – zal aangeven dat vastlopende computers de maatschappij kunnen platleggen en dat de risico’s alleen maar groter worden. De aandacht voor cybersecurity is groot, maar de beschikbare bestrijdingsmacht beperkt. Dat werpt de vraag op: waar moeten de prioriteiten liggen?

In augustus 2012 drongen hackers die opereerden onder de naam ‘Het snijdende zwaard der gerechtigheid’ (maar waarachter de regering van Iran vermoed werd) binnen op het netwerk van de Arabische staatsoliemaatschappij Saudi Aramco. Met een virus genaamd Shamoon besmetten ze 30.000 computers, waarvan de harde schijven gewist werden. De operationele systemen van het bedrijf bleven buiten schot en dat was maar goed ook, want het herstel duurde tien dagen. Als gedurende die tijd de grootste olieproducent ter wereld had moeten stoppen met pompen, was de economische schade niet te overzien geweest.

Weinigen buiten de wereld van cybersecurity-experts zullen de zaak Shamoon kennen. In Nederland zullen meer belletjes gaan rinkelen bij de zaak van Frank R. uit Cuijk, die honderden meisjes aanzette tot webcamseks, de beelden opnam om te verspreiden en twintig meisjes ook daadwerkelijk misbruikte.

Het zijn twee uitersten op het gebied van cybermisdaad, die niet alleen de enorme reikwijdte van het verschijnsel aangeeft, maar ook aangeeft welke dilemma’s er spelen bij de bestrijding ervan. De maatschappelijke gevolgen van haperende olietoevoer zijn groter dan die van een digitale kinderlokker, maar vraag het een willekeurige burger en hij zal zeggen dat hij liever bot vangt bij de benzinepomp dan dat hij ranzige filmpjes van zijn dochter op Internet terugziet.

Strategie

Volgens generaal Keith Alexander, tot maart vorig jaar de directeur van de Amerikaanse spionagedienst NSA, was de Shamoon-zaak een belangrijk keerpunt in de internationale beleving van cybermisdaad, omdat het effect van een aanval die de productie van Saudi Aramco had platgelegd, over de hele wereld gevoeld zou zijn. Tot dan toe waren complexe aanvallen gericht op specifieke organisaties, waartoe de gevolgen beperkt zouden blijven. Het bekendste voorbeeld is Stuxnet, een virus dat zich gericht verspreidde om specifieke onderdelen van het Iraanse atoomprogramma te saboteren.

De Amerikanen zelf hadden hun wake-up call al gehad in 2008, toen de relatief simpele worm Agent.btz, die ongericht data steelt en wegsluist, het Ministerie van Defensie veertien maanden bezig hield. Het leidde tot de oprichting van het United States Cyber Command, ook onder leiding van Alexander, de cyberpoot van het Amerikaanse leger, die tot taak heeft grootschalige aanvallen op de digitale infrastructuur af te slaan, zoals het leger dat doet voor de fysieke infrastructuur.

De Nederlandse equivalent is het Defensie Cyber Commando, dat in september vorig jaar het levenslicht zag. De lancering past in de Nationale Cybersecurity Strategie 2, ‘van bewust naar bekwaam’. Nederland heeft zich voorgenomen operationele capaciteit te bouwen om niet alleen te kunnen reageren, maar ook terug te slaan. Naast het Cyber Commando bestaat overigens ook het Nationaal CyberSecurity Centrum, dat onder het ministerie van Justitie ressorteert. Beide organisaties werken nauw samen.

‘In militaire operaties zijn we steeds afhankelijker van digitale systemen zoals sensor-, wapen- en commandovoeringsystemen.’, zegt kolonel Hans Folmer, die als militair ingenieur tot taak heeft het Commando op te bouwen. ‘Dat geldt ook voor een tegenstander. Daarom moet defensie zijn eigen systemen beschermen. Het liefst wil je een aanval voorkomen, maar als dat niet lukt, moet je tenminste zorgen dat ze niet met informatie naar buiten gaan. Daarnaast moet je inlichtingen kunnen vergaren en offensief kunnen handelen, dat wil zeggen digitale systemen kunnen aanvallen, manipuleren of uitschakelen. Vanuit militair oogpunt is dat volkomen logisch.’

Protocollen

Ook op civiel gebied zijn offensieve middelen in voorbereiding. Het boegbeeld is de ‘terughackwet’, die de politie de bevoegdheid zou moeten geven om in te breken op de computers van (vermeende) hackers. Tegelijkertijd zijn de defensieve middelen echter verzwakt doordat de rechter in maart de bewaarplicht van internetproviders opschortte, omdat de mogelijkheden om criminelen te pakken niet opwogen tegen de inbreuk op de privacy van alle burgers wier gegevens een jaar bewaard zouden moeten worden.

‘Rampzalig, want met die gegevens kon je een heleboel kleine zaken oplossen’, zegt Arnoud Bruinsma, die met zijn bedrijf Business Security Management bedrijven en overheden bijstaat bij het bestrijden van cybercriminaliteit. Uiteraard ziet hij ook de grote bedreigingen, zoals cybercriminelen die met gratis apps en toolbars proberen zich een telefoon of pc binnen te wurmen met het doel bankgegevens te stelen. Maar op het niveau waar hij werkt, zijn zowel de problemen als de oplossingen vaak relatief eenvoudig.

Bruinsma waarschuwt dan ook tegen een al te formele aanpak van cybercriminaliteit: ‘Er komen vanuit de overheid allerlei regels op bedrijven en organisaties af, terwijl mijn ervaring is dat de grootste risico’s in de simpele dingen zitten. Ik heb eens een audit gedaan waar mensen weken bezig waren om allerlei vragenlijsten in te vullen, maar toen ik vroeg hoe het nu echt zat met het wachtwoord van de rootserver, moest men het antwoord schuldig blijven. Het risico van audits is dat mensen zich helemaal gaan focussen op het behalen van groene bolletjes op hun formulier, terwijl we weten dat geen audit waterdicht is. Je loopt het gevaar dat beveiliging een vorm van windowdressing wordt. De focus moet liggen op daadwerkelijk begrip van het systeem, niet het doorlopen van protocollen.’

Ook in de opsporing zou wat Bruinsma betreft de nadruk meer op operationele capaciteit kunnen liggen. Zijn ervaring is dat hij in andere landen vaak aan één telefoontje genoeg heeft om een internetfraudeur te laten oppakken, terwijl het in Nederland soms weken kan duren voor het überhaupt mogelijk is aangifte te doen. ‘Er is in Nederland teveel gelegenheid om weg te komen met cybercriminaliteit.’

Daders

Sommige vormen van cybercriminaliteit zijn nauwelijks te bestrijden, zoals DDOSen, het overbelasten van een server door hem te bombarderen met informatieverzoeken. Er zijn maar een paar organisaties in de wereld die tegen zo´n aanval van enige omvang bestand zijn en geen daarvan is in Nederland gevestigd. Wie weet waar te zoeken kan voor vijftig euro al een aanval bestellen. Hollandse pubers gebruiken het om hun school plat te leggen, maar in 2007 gebruikten Russische cyberterroristen het middel om het digitale deel van de Estse overheid vrijwel geheel uit lucht te halen.

De daders lagen op het kerkhof, zoals zo vaak. Opsporing is notoir moeilijk, laat staan bestraffen. Folmer: ‘Je moet altijd afvragen wat het doel is van een aanvaller. Statelijke actoren is het meestal te doen om inlichtingen. Criminelen zijn uit op geld. Terroristen proberen iets te ontwrichten. Die laatsten bezitten nog niet echt de capaciteit, maar proberen het wel. Zo is het Twitteraccount van persbureau AP al eens gehackt om het bericht te verspreiden dat president Obama gewond zou zijn geraakt bij twee explosies in het Witte Huis. De Dow Jones duikelde onmiddellijk. Ook dit soort op het oog eenvoudige acties hebben dus significante gevolgen in de echte wereld.’

Bruinsma vult aan: ‘De belangrijkste bron van cybercriminaliteit is nog altijd van binnenuit, voormalige werknemers die een rekening te vereffenen hebben.’ Dat geldt voor kleine zaken, maar ook het grootste digitale informatielek uit de Amerikaanse geschiedenis kwam van binnenuit, in de persoon van NSA-medewerker Edward Snowden. Daarbij vergeleken was de schade van Agent.btz minimaal.
De bottom line is, net als bij gewone criminaliteit, dat het doorgaans eenvoudiger is om de kleine krabbelaars te ontmaskeren dan de goed georganiseerde syndicaten, of die nu de maffia of een overheid achter zich hebben.

Trends

Hoewel hun professionele invalshoek volstrekt verschillend is, zijn Folmer en Bruinsma het eens over de voornaamste trends in de cybercriminaliteit. De belangrijkste observatie is dat aanvallen uit statelijke actoren en criminele organisaties steeds complexer en langdurig worden.

De tweede trend (of non-trend, afhankelijk van hoe je er tegenaan kijkt) is de achterblijvende publieke bewustwording. Gezien de complexiteit van de materie is dat niet zo verwonderlijk, maar zelfs het kiezen van krachtige wachtwoorden is menige burger al teveel. Er moet eerst een ramp gebeuren voor mensen bereid zijn hun gedrag te wijzigen – een gegeven dat overigens niet uniek is voor cyberspace.

Beide trends zullen nog wel even aanhouden. Folmer: ‘De cybercommunity staat pas aan het begin van haar ontwikkeling. Digitalisering biedt naast de kansen zoveel bedreigingen, dat die alleen zijn aan te pakken met nationale en internationale samenwerking. Er zijn nog talloze denkbare maatregelen die wachten op implementatie.’

Bruinsma durft er wel een cijfer aan te verbinden: ‘Ik denk dat pas één procent van de mogelijkheden voor misbruik van de huidige technologie daadwerkelijk ingezet wordt. De belangrijkste beperking wordt niet gevormd door de benodigde techniek – daar beschikken we wel over – maar door de menselijke factor.’

De vraag welk middelenarsenaal een land nodig heeft om zich effectief tegen cybercriminaliteit te wapenen zal voorlopig niet beantwoord worden, al was het maar omdat de technologie zich continu ontwikkelt. Aan dringende prioriteiten is geen gebrek, wel aan personeel.

De onderschatting van de risico’s van cybercrime bij gewone burgers leidt via het democratische proces onvermijdelijk ook tot een relatief lage politieke prioriteit en dus beperkte middelen om het probleem aan te pakken. De jaarlijkse schade door cybercriminaliteit in Nederland wordt geschat op een krappe negen miljard euro, meer dan die door drugshandel en auto-ongelukken bij elkaar. Dat is schokkend veel, maar je dochter kan nog altijd beter het slachtoffer worden van een digitale kinderlokker dan van een dealer of een dronken automobilist.

Eerder gepubliceerd in De Ingenieur nr 10, 2015