Digitalisering brengt ons vele voordelen, maar het maakt de samenleving ook kwetsbaar door het risico op cybercriminaliteit. Hackers kunnen onze vitale infrastructuur immobiliseren en overnemen, stellen onderzoekers van de Universiteit Twente in opdracht van het Ministerie van Justitie en Veiligheid (2019). Dat blijft niet bij een hypothetische situatie. In 2010 saboteerde een cyberwapen het nucleaire programma van Iran en in 2015 werd de controle van een elektriciteitscentrale in Oekraïne overgenomen. Hoe reëel zijn die risico’s in Nederland? En welke stappen moeten worden genomen om onze onmisbare infrastructuur beter te beschermen tegen hacks?
Hoe wordt infrastructuur gehackt?
Een deel van de vitale systemen wordt op afstand bestuurd en is daarom verbonden met het internet. Deze connectie maakt de infrastructuur zeer kwetsbaar; het is daarmee immers voor iedereen toegankelijk via het openbare internet. Hoewel de meeste mensen daar niets mee kunnen (het is namelijk niet gemakkelijk te vinden en bovendien niet zichtbaar welke infrastructuur het precies betreft), vergemakkelijkt dit de infiltratie voor hackers. Uit het rapport van de Universiteit Twente blijkt dat ruim 1000 Nederlandse apparaten door de internetverbinding opgespoord konden worden.
Bij de hack op de energiecentrale Prykarpattya Oblenergo in Oekraïne werd gebruik gemaakt van een zogenaamde APT-aanval. Dit staat voor Advanced Persistent Threat en is erop gericht om malware te installeren door werknemers te targeten. Zo worden er phishing mails gestuurd naar medewerkers met speciale interesses, die van tevoren zijn vastgesteld door de hackers. Nadat de werknemer het bijgevoegde document opent, kunnen de hackers de werknemer bespioneren en zijn bezigheden registreren. Er wordt dan door de aanvallers specifiek gezocht naar wachtwoorden van systeembeheerders en ingenieurs, waarmee het gehele systeem kan worden overgenomen. De succesvolle hack op de energiecentrale in Oekraïne resulteerde in 103 steden zonder elektriciteit en nog eens 186 steden die gedeeltelijk in het donker zaten. Bovendien was de klantenservice van de centrale gehackt en konden de burgers urenlang geen contact opnemen. Later bleek dat het gebruikte programma, BlackEnergy3, van Russische afkomst was, zo rapporteerde CNN.
Maar ook systemen die compleet losstaan van het internet lopen het risico op hacks. In een eerder verschenen artikel schreven we al hoe één enkel gecompromitteerd apparaat malware kan introduceren in een geheel systeem. Dit gebeurde ook in Iran, waar in 2010 werd ontdekt dat een computervirus zich al maandenlang verspreidde binnen een zeer belangrijke nucleaire organisatie. Het virus Stuxnet werd als cyberwapen ingezet om bijna 1000 centrifuges te vernielen, zodat het Iraanse kernprogramma werd gesaboteerd. De verspreiding van het virus werd gerealiseerd met behulp van USB-sticks. De hackers richtten zich op een aantal bedrijven en organisaties die in nauw contact stonden met de nucleaire organisatie, waardoor het net zich sloot.
Stuxnet maakte gebruik van onbekende lekken in Windows-software, zogenaamde zero-day exploits. Hierdoor konden de aanvallers ongezien en onopgemerkt hele systemen overnemen, zodra het virus terechtgekomen was op de computers die een cruciale rol speelden in het aansturen van de infrastructuur. Bovendien kon de Stuxnet-worm waarden vervalsen en daarmee doen lijken alsof er niets aan de hand was. Hierdoor werd het virus niet eerder opgemerkt en kon er schade worden aangericht. In 2010 beweerde Edward Snowden dat de CIA en Israël het virus hebben ingezet om het kernprogramma van Iran te vertragen.
Toch is de schade nog relatief beperkt gebleven. Dit bleek vooral toen bekend werd dat het virus geïnfiltreerd was in energiecentrales, verkeersregelcentrales en andere grote systemen in de gehele wereld. Zo’n virus kan grote, onomkeerbare schade aanrichten door bijvoorbeeld een stroomstoring te veroorzaken. Er kunnen dan geen treinen rijden, operaties in ziekenhuizen moeten worden uitgesteld en ook stoplichten stoppen met werken. Dit zorgt voor vervelende, maar vooral gevaarlijke situaties. Dat gevaar doet zich ook voor bij gehackte stuwdammen, treinwissels en de luchtverkeersleiding op vliegvelden.
Het is voor hackers mogelijk de broncode aan te passen en het virus in te zetten voor andere doeleinden dan oorspronkelijk de bedoeling was. Stuxnet heeft een sleutelrol gespeeld in het ontketenen van een digitale wapenwedloop. Elektronische oorlogsvoering is daarmee niet meer weg te denken uit de huidige gedigitaliseerde samenleving.
Hoe groot is het risico op infrastructuur-hacks in Nederland?
Uit het rapport van de Universiteit Twente (2019) blijkt dat minimaal 60 apparaten die deel uitmaken van de vitale infrastructuur in Nederland eenvoudig te hacken zijn. Volgens de onderzoekers ligt de oorzaak daarvan deels bij het feit dat de vitale systemen aangesloten zijn aan het openbare internet.
Daarnaast simuleren zogenaamde Red Teams realistische aanvalsscenario’s, waarbij wordt getracht bloot te leggen in hoeverre Nederlandse systemen te hacken zijn door aanvallers. De resultaten van deze onderzoeken zijn niet publiek gemaakt, maar in de cybersecuritygemeenschap wordt volop gespeculeerd over de geslaagde hacks door deze Red Teams. Dit zou onder andere Nederlandse energiecentrales betreffen.
In 2020 concludeerde de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in het Cybersecuritybeeld Nederland (CSBN) dat er sprake is van een permanente dreiging en dat de mogelijke cyberincidenten kunnen resulteren in maatschappij-ontwrichtende schade. Bovendien werd in het rapport vastgesteld dat de dreiging voor de nationale veiligheid vooral toe te rekenen is aan statelijke actoren (d.w.z.: overheden van staten), die de intentie hebben om te bespioneren of om vitale systemen te verstoren of te vernietigen. In geopolitieke conflicten kunnen cyberrisico’s gebruikt worden om macht uit te oefenen op landen als Nederland.
Volgens de NCTV is een belangrijke risicoverhogende factor de afhankelijkheid van producten of diensten uit landen met een offensief cyberprogramma tegen Nederland. Door een beperkt aantal aanbieders van bepaalde producten is Nederland in sommige gevallen genoodzaakt om ICT-producten van mogelijk kwaadwillende staten te gebruiken.
De Algemene Rekenkamer noemt enkele specifieke voorbeelden van onvoldoende digitale beveiliging in Nederland. Zo bleek in 2019 dat vitale waterwerken in Nederland niet goed beveiligd zijn en in 2020 werd duidelijk dat de cyberveiligheid van het grenstoezicht door de Koninklijke Marechaussee op Schiphol niet voldoende is. Op Schiphol zou dit kunnen resulteren in een situatie waarin gesignaleerde criminelen onopgemerkt het Nederlandse grondgebied kunnen betreden.
Hoe voorkomen we hacks op infrastructuur?
Het is dus overduidelijk dat gehackte infrastructuur een reële dreiging vormt voor onze samenleving. Wat kunnen we doen om dergelijke hacks te voorkomen? Hoe wapenen we ons tegen kwaadwillende hackers?
Allereerst pleiten de onderzoekers van de Universiteit Twente voor bewustwordingscampagnes onder politici en medewerkers van bedrijven. Op dit moment zijn we ons niet voldoende bewust van de gevaren die op de loer liggen en dit resulteert in een lakse houding en fouten door onwetendheid. Als medewerkers zich bewust zijn van gerichte phishing en getraind zijn om dit te herkennen en te rapporteren, dan zal de kans op APT-aanvallen aanzienlijk afnemen. Het is bovendien belangrijk dat er meer bewustzijn wordt gecreëerd in de politiek. Er zal dan, zo beargumenteren de onderzoekers, meer preventief gehandeld worden. Zo kunnen politici een cruciale rol spelen in het minder afhankelijk worden van staten met een offensief cyberprogramma tegen Nederland.
Ten tweede is het nuttig om na te denken over manieren waarop de veiligheid van de burgers nog steeds gegarandeerd blijft, indien er een hack plaatsvindt. Een snellere detectie van mogelijk gevaar kan de schade beperken. Ook is het handig om systemen te bouwen waarop teruggevallen kan worden, als het werkende systeem gehackt wordt.
Tot slot moet de rol van ethische hackers niet worden onderschat. Deze hackers kunnen ingezet worden om de kwetsbaarheid van systemen vast te stellen en op die manier de veiligheid te verbeteren.
Desalniettemin blijft het realiseren van een weerbare digitale infrastructuur een uitdaging. Met bovengenoemde maatregelen kunnen we een stap in de goede richting zetten.
Bronnen: