17 feb. 1999
2 minuten
Vergeet de klassieke terroristische aanslag. De nieuwste aanvallen komen van hackers en richten zich op elektriciteitscentrales, ziekenhuizen, bruggen, sluizen en kernreactoren. Behandel vitale infrastructuren daarom niet op dezelfde manier als het netwerk van bijvoorbeeld een winkel, maar verbind deze aan een veilig circuit waar hackers niet bij kunnen. Dat is één van de belangrijkste aanbevelingen uit het rapport Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands.
De laatste jaren is tijdens alle grote wereldwijde conferenties voor digitale beveiliging vaak dezelfde boodschap te horen. "We hebben heel veel geld besteed aan onze digitale weerbaarheid, maar het heeft onvoldoende gewerkt. We winnen niet", zei Alex Dewdney, binnen de Britse inlichtingendienst verantwoordelijk voor de digitale veiligheid recent nog.
Hackers
Zijn deze zorgen reëel? Kunnen hackers inderdaad ziekenhuizen en elektriciteitscentrales platleggen? "Jazeker", zegt Aiko Pras, hoogleraar internetveiligheid aan de Universiteit Twente. "Er zijn de laatste jaren soortgelijke voorbeelden. Denk aan het incident in Oekraïne. Het oosten van dat land werd getroffen door een stroomstoring die honderdduizenden mensen trof. Uit onderzoek bleek dat dat het werk was van hackers, mogelijk uit Rusland."
Pras en zijn collega’s onderzochten eerst hoeveel van dat soort vitale systemen in Nederland zijn te vinden door ‘de hobbyist’. "Dat zijn er zo’n duizend. Vervolgens keken we hoeveel daarvan er ook daadwerkelijk kwetsbaar zijn. Dus: welke versies van bepaalde software draaien ze en kan je ze hacken. Zestig vitale systemen kennen meerdere zwakke punten en zijn te hacken. Het gaat veelal om relatief kleine systemen die gebruikt worden voor besturingsdoeleinden, maar wat er precies achter zit, weten we niet."
Wat betekent dit?
Bovenstaande ontdekking kunnen volgens de onderzoekers twee dingen betekenen. "Allereerst kan je denken: dit is schokkend. Stel dat één of meerdere van die zestig besturingssystemen daadwerkelijk iets belangrijks is als een sluisdeur of elektriciteitscentrale? Het andere uiterste is dat het hier kan gaan om zestig systemen die bedoeld zijn om potentiele aanvallers te lokken, honeypots genaamd. Deze leiden af van de werkelijkheid, een valkuil voor hackers. Dit is gangbaar in de wereld van cybersecurity. We delen hoe dan ook onze bevindingen met de eigenaren van deze vitale infrastructuren."
Apart stukje internet
Pras hoopt met het rapport het politieke debat te voeden. "Volgens ons moet de overheid zeggen: elk systeem dat vitaal is, moet niet onbeveiligd aan het openbare internet gehangen worden zodat kwaadwillende, eventueel buitenlandse hackers erbij kunnen. We signaleren al een tijd dat er in Den Haag relatief weinig kennis van ICT zit. Slechts een paar mensen hebben er echt verstand van en besluitvorming gaat traag."
Hij pleit voor een ‘apart stukje internet dat losstaand te beheren is’. "Zoiets bestaat nog niet in Nederland. Alles is nu plat, met een paar verschillende aanbieders die in grote lijnen alle klanten hetzelfde behandelen. Aan zo’n gesloten netwerkstructuur gaat politieke besluitvorming vooraf en juist dat debat willen we met dit rapport aanjagen."
Anderen lazen ook
