Computers nog altijd wagenwijd open voor kwaadwillenden

De computernetwerken van de Luchtverkeersleiding, de rijksoverheid, bedrijven als Shell en KLM, banken, verzekeraars en zorginstanties waren maandenlang zeer kwetsbaar voor aanvallen, bleek enkele maanden geleden. Het ging om een softwarelek dat al in april was ­gedicht, maar veel partijen hadden de benodigde update niet uitgevoerd. Dat lieten ze na, hoewel het Nationaal Cyber Security Centrum, dat de digitale infrastructuur in Nederland bewaakt, de dringendst mogelijke waarschuwing had afgegeven.

Het was aanleiding voor CDA-minister van Justitie en Veiligheid Ferdinand Grapperhaus om forse maatregelen aan te kondigen: hij wil boetes opleggen of zelfs de computerbeveiliging van bedrijven overnemen als die te wensen overlaat. Daarbij liet hij zich inspireren door het Verenigd Koninkrijk, waar bedrijven boetes kunnen krijgen die oplopen tot 17 miljoen pond (bijna 20 miljoen euro).

Onduidelijk bleef of het laatste lek ook werkelijk tot digitale inbraken heeft geleid. Dat het goed mis kan gaan bleek in 2017, toen de geheel automatische containerterminals van APM, paradepaardje van de Rotterdamse ­haven, twee weken plat lagen. Gijzel­software met de naam NotPetya had alle computers op zwart gezet, terwijl een dergelijk scenario tot dan toe voor onmogelijk werd gehouden. Het geeft aan hoe onverwacht en ingrijpend een computeraanval kan zijn.

Traditionele bedrijven lopen steeds meer risico’s

‘Er is sprake van een digitale transformatie,’ zegt Bert Stam (56), verkoopdirecteur Noord-Europa van Rackspace, dat met dertig datacentra wereldwijd cloudruimte aanbiedt en beveiligt. ‘Traditionele bedrijven gaan steeds verder met het aanbieden van onlinediensten, maar ze beseffen vaak niet welke risico’s ze lopen. Ze gaan niet doordacht met hun computers om en houden zich niet aan de procedures rond updaten. Mede daardoor ontstaan beveiligingslekken. Het is zaak om continu te controleren of er geen achterdeurtje openstaat.’

Daarbij is het denken over computeraanvallen veranderd. ‘Iedereen beseft nu dat computerbeveiliging niet waterdicht te krijgen is. Voorheen werd er alles aan gedaan om digitale inbraken te voorkomen. Nu wordt er vanuit gegaan dat het gebeurt, maar probeert men de impact zo klein mogelijk te houden.’

Problemen veel groter dan bekend

Volgens security-architect Peter Rietveld (55) van Traxion – het bedrijf dat al een aantal jaren zorgdraagt voor de ­digitale beveiliging van supermarktketen Ahold Delhaize – zijn de problemen veel groter dan bekend. ‘Een softwarelek als waar Grapperhaus zich druk om maakte, kan elke dag wel worden gemeld,’ zegt hij. ‘De moeilijke boodschap is namelijk dat je in Nederland honderdduizenden computersystemen hebt die elk weer uit duizenden onderdelen bestaan, en elk van die onderdelen kan een kwetsbaarheid bevatten.’

De industrie heeft een standaard voor kwetsbaarheden, het Common Vulnerability Scoring System. De scores gaan van 0 (ongevaarlijk) tot 10 (het meest kritiek). ‘Zelfs in de categorie 10 komen er dagelijks nieuwe gaten bij. In de praktijk is het zo dat een groot bedrijf per netwerk misschien wel vijf of zes van die kritieke gaten heeft, die elk wellicht op honderden of duizenden plekken zitten. Die kunnen heel simpel, zonder veel voorbereiding, tot een succesvolle aanval leiden.’

Toch gebeurt dat zelden, zegt Rietveld. ‘En daar is een reden voor. Ik kan als hacker een gat zoeken in de digitale infrastructuur van een bedrijf en dan kan ik een server kraken. Maar hoe ik bij de informatie kom die ik wil hebben, dat weet ik niet. Ik weet bijvoorbeeld niet waar de wachtwoorden van de directie staan. Je bent binnen, maar je bent eigenlijk nog nergens.

‘Ga maar na, als je als medewerker van een bedrijf op het interne netwerk zoekt naar een document dat je niet zelf hebt geschreven, duurt het al heel lang om dat te vinden. Bovendien: als hacker heb je geen zoeksysteem. Wat veel makkelijker is, en daarom ook het meest voorkomt, is rechtstreeks een phishingmail sturen naar de directeur.’

Phishing: makkelijker dan een beveiligd computernetwerk binnendringen

Phishing is een vorm van internetfraude. Het Engelse woord phishing betekent dat wordt ‘gehengeld’ naar inlog­gegevens of andere waardevolle informatie, met behulp van een valse e-mail. Vaak wordt in een dergelijke mail gevraagd om op een link te klikken. ‘Of de hacker doet een bijlage bij de mail waarin een zogeheten exploit zit.’ Dat is kwaadaardige software die is ontworpen om te profiteren van kwetsbaarheden in computersystemen.

Rietveld: ‘Als de ontvanger van de mail de bijlage – bijvoorbeeld het cv van een goede managementkandidaat – opent, wordt het exploit geactiveerd en is de hacker binnen. Kortom, de mens verleiden, is nog altijd makkelijker dan een beveiligd computernetwerk binnendringen en stap voor stap afbreken. Een tijdje terug is Cloudflare, een van ’s werelds grootste computernetwerken, gehackt, via de privételefoon van de netwerkbeheerder. Zo gaat dat in het echt.’

‘Sociale media zijn geschikt om ­informatie te vergaren over doelwitten’

Volgens Danny O’Neill (48), verantwoordelijk voor internetveiligheid bij Rackspace Europe, Middle East & Afri­ca, bereiden aanvallers zich nauwgezet voor. ‘Sociale media zijn heel geschikt om ­informatie te vergaren over doelwitten,’ zegt hij. ‘Mensen doen op Facebook bijvoorbeeld mee aan een spelletje dat hun een filmsterrennaam geeft. Een van de vragen is wat hun tweede voornaam is, of de naam van hun huisdier. Je denkt dat dat onschuldig is, maar die antwoorden zijn soms ook de antwoorden die je geeft op veiligheidsvragen, als je een wachtwoord vergeten bent of telefonisch contact opneemt met je bank.’

Zo maken hackers hun phishingaanval op maat. Met behulp van dergelijke doelgerichte, persoonlijke aanvallen is ook de gijzelsoftware WannaCry verspreid. Daarvoor is gebruikgemaakt van achterdeurtjes in oudere Windows-systemen die niet meer werden ondersteund of waarvoor geen updates waren geïnstalleerd.’

230.000 computers gingen op zwart door WannaCry

De aanval in 2017 met WannaCry was vernietigend. Maar liefst 230.000 computers in 150 landen gingen op zwart. De slachtoffers werd gevraagd om omgerekend 250 tot 500 euro losgeld te betalen om de versleuteling van hun computers op te heffen. Tal van bedrijven werden geraakt, zoals vervoerder FedEx, spoorbedrijf Deutsche Bahn, telecommunicatiebedrijf Telefónica, LATAM ­Airlines en de Britse gezondheidsdienst National Health Service. ‘Die laatste was kwetsbaar vanwege haar verouderde systemen,’ zegt O’Neill. ‘Het probleem met overheden is vaak dat ze hun systemen niet op tijd bijwerken of moderniseren, ook al zijn ze belangrijke doelwitten.’

 ‘Het probleem met overheden is vaak dat ze hun systemen niet updaten’

De hoge boetes die de Britse overheid oplegt, hebben hun uitwerking volgens O’Neill niet gemist. ‘Het heeft ­bedrijven verantwoordelijker gemaakt. De top realiseert zich hierdoor dat het bedrijf moet investeren in de eigen digitale beveiliging. Van een boete van een half miljoen liggen ze niet wakker, van een van 20 miljoen wel.’

De maatregel die Grapperhaus voorstelt daarentegen, om bij problemen de computerbeveiliging van een bedrijf over te nemen, werkt volgens Rietveld niet. ‘Het is de instinctieve reactie van een politicus die daadkracht wil tonen. Maar de overheid kan de digitale veiligheid van Albert Heijn niet waarborgen. Dat moet het bedrijf echt zelf doen. Daarbij komt: multinationals als Ahold zijn in diverse landen gevestigd. Het merendeel van onze digitale beveiliging staat in de Verenigde Staten – moeten wij dan doen wat de Nederlandse of wat de Amerikaanse overheid zegt? En wat nu als die twee ­elkaar uitsluiten? Want dat gebeurt. Bovendien is de overheid zelf een gigantisch doelwit, en dat weet ze.’