De zegeningen van de digitale samenleving kunnen moeilijk worden overschat. Maar dat cyberstructuren door ingrepen van lieden met kwade bedoelingen de economie kunnen ontwrichten evenmin. Het digitale gevaar voor de economie wordt onderschat.

Vrijwel dagelijks kunnen we berichten in de media lezen dat er data zijn gelekt, computersystemen zijn gehackt of gegijzeld met ransomware door hackers die losgeld vragen om het gekaapte systeem en de data weer vrij te geven.

 

Veel mis in de ict-beveiliging pic.twitter.com/WembUqXIAW

— NOS Teletekst (@Teletekst) April 6, 2021

“Veel mis in Nederlandse ict-beveiliging, zelfs geen verweer tegen simpele hacks”, luidde dan ook het bericht dat de staatsomroep dinsdag publiceerde. En nee, deze keer was het eens geen nepnieuws. Het verwoordde de conclusies van de Cyber Security Raad, een adviesorgaan van het kabinet annex lobbyclub van de Nederlandse ICT-sector. Natuurlijk hielden ze ook de hand op: geeft u ons even ruim 800 miljoen euro de komende jaren, dan wordt alles beter.

Los van het gebedel om belastinggeld, hebben de ICT-experts wel gelijk. Waterdichte beveiliging is duur en vergt goedbetaalde informatici die consciëntieus hun werk uitvoeren. Kijken wij bijvoorbeeld naar sectoren waarin vertrouwelijkheid (van data) en veiligheid van processen essentieel is dan worden er kapitale bedragen tegenaan gegooid, met als resultaat dat digitale narigheid er zelden of nooit voorkomt. Denk maar eens aan het bankwezen, advocatuur, notariaat en bol.com, maar ook aan Twitter en Facebook waarvan de persoonsidentificatie van dusdanig hoog niveau is dat zelfs de cyberexperts op universiteiten in Michigan en New York niet de moeite nemen om nóg veiliger procedures te ontwikkelen en die van de social media gebruiken.

Zero trust
Digitale veiligheid – ofwel cyber security zo u wilt – begint bij zero trust. Vertrouw er niet op dat gebruikers – de zwakste schakel – geen stomme streken uithalen. Vertrouw er evenmin op dat hackers dingen niet zullen proberen door systemen die met elkaar in verbinding staan via die route te bereiken. Alles wat kritische informatie bevat moet waterdicht worden afgescheiden, waarbij toegang uitsluitend na de strengst mogelijke autorisaties en authentificaties mogelijk is. De systemen voor systeembeheer zijn uitsluitend toegankelijk voor systeembeheerders.

Toen de systemen van de Universiteit Maastricht tijdens Kerst 2019 in gijzeling werden genomen bleek inderdaad dat de meest basale beveiligingsvoorschriften niet waren nageleefd. Veiligheids-updates van belangrijke software waren achterwege gebleven, toegang voor systeembeheer was zo lek als een mandje en waarschuwingen tegen inbreuken op het systeem waren achteloos weggewuifd. Zo kon de gijzelnemer ongestoord een maandje of negen in de systemen rondneuzen, autorisaties bijeen sprokkelen en op de fatale dag het hele systeem gijzelen. De cybercrimineel werd uiteindelijk afgekocht met het handzame bedragje van 197.000 euro, in cryptovaluta natuurlijk.

Vorige maand ging het mis bij RDC, de grootste automatiseerder in de autobranche. Geen hack, maar een lek, heette het, maar feit blijft wel dat van 7,3 miljoen autobezitters NAW-gegevens, emailadressen, kentekens, telefoonnummers en geboortedata op een populair hackersforum te koop werden aangeboden. De hele database bleek uit de centrale server gekopieerd met behulp van het programma dat voor dealers en garages was bedoeld om data te exporteren en op te vragen. Voor autodieven in spe is dit vreugdevol nieuws. Zij kunnen in de data nagaan op welk adres een leuke auto staat geparkeerd en dan hun slag slaan. Voor autobezitters die dit lezen: de meest gestolen auto’s in Nederland zijn de Volkswagen Golf en Polo, Fiat 500, Toyota Rav4 en CH-R, Renault Captur en de Mazda CX-5

Hof van Twente gegijzeld
In december vorig jaar namen hackers ook de systemen van de gemeente Hof van Twente (Diepenheim, Goor, Markelo en Ambt en Stad Delden) in gijzeling. Naar verluidt eisten de aanvallers 750.000 euro losgeld, wat de gemeente vertikte te betalen. “Daarmee volgen wij de landelijke lijn”, vertelde een woordvoerder van de gemeente aan NU.nl. Volgens de algemene regels worden hackers die systemen gijzelen nooit betaald.

Gevolg was dat de ambtenaren hard moesten werken (LOL) om de gemeentelijke diensten handmatig te vervullen. De wederopbouw van het gehackte systeem zal een jaar of twee duren en ‘enkele tonnen’ kosten. Maar ja, als het wachtwoord voor het gemeentelijke netwerk ‘Welkom2020’ luidt, dan vraag je om moeilijkheden. Is het zo ingewikkeld voor een ICT-bedrijf dat de gemeente adviseert strenge veiligheidsprocedures te implementeren? Om maar eens wat te noemen: aan het eind van elke werkdag backups maken en de schijven in de kluis bewaren.

Ieder jaar doet PricewaterhouseCoopers (PwC) een onderzoek naar economische misdrijven en fraude bij bedrijven. Het rapport van 2020, dat het resultaat is van een onderzoek bij 5.000 bedrijven in 99 landen, meldt dat ongeveer 1 op de 6 slachtoffer werd van een cybermisdrijf. Zo werd bandenfabriek Apollo Vredestein (Enschede) vorig jaar gehackt en platgelegd. Beveiliging bleek gebrekkig: kwetsbare apparatuur was ruim tien jaar niet bijgewerkt. Via het internet konden de apparaten door iedereen worden benaderd. De gebruiksaanwijzing waardoor hackers konden binnenkomen stond bovendien gewoon op internet. En: de problemen bij de bandenfabriek zijn exemplarisch voor de situatie bij veel bedrijven.

Poort overheid wijd open
Schrik niet: ook bij de overheid staat de poort wagenwijd open voor criminelen, zo schreef de website Computable eind vorig jaar. Veel overheidsinstellingen blijven in gebreke bij het gebruik van veilige standaarden voor websites en e-mail. Het zal weinigen verbazen, de overheid is berucht om ICT-debacles, met UWV, GGD, CBR, de politie en de gemeente Utrecht als recente voorbeelden. Het grootste probleem daarbij is ambtelijk prestige, conflicterende diensten en gebrek aan deskundigheid. ICT-bedrijven maken daar graag gebruik van: als er iets mis gaat kunnen hun consultants weer heel wat uren schrijven. Daarbij zijn ontwikkelaars en ICT-medewerkers een notoir lastig bestuurbare kaste, die gemiddeld een lage dunk heeft van niet-ingewijden en tegen wie gemiddeld hoog wordt opgekeken als experts en probleemoplossers.

Aangezien veel bedrijven en overheidsdiensten zijn overgeleverd aan de codeneukers in de ICT, liggen catastrofes op de loer. Het is niet de vraag of maar wannéér er essentiële systemen van de kook raken door cybercriminelen. Denk bijvoorbeeld aan drinkwater (Waternet staat onder curatele), elektriciteitslevering (in de VS al eens voorgekomen) of misschien betalingssystemen. Stel dat ING of ABN Amro gehackt worden en (een groot deel van) het betalingsverkeer en de geldautomaten plat komt te liggen. Over de dan volgende economische schade is moeilijk een schatting te maken, maar die zal niet onaanzienlijk zijn.

Daar komt bij dat het internet in deze globale wereld praktisch alles met elkaar in verbinding is gebracht, via de Internet of Things (IoT) tot aan je speaker, deurbel/camera, de thermostaat, elektriciteits- en watermeters enzovoorts aan toe. Dus wie in het systeem kan binnendringen hoeft nog maar een kleine stap te doen om een schadelijk programma, code, worm of Trojaans paard aan het werk te zetten. Het wereldwijde internetverkeer verloopt via honderden onderzeese kabels en radio- en satellietverbindingen die alle uithoeken van de wereld met elkaar verbinden. De series ‘neXt’ van Fox en ‘Person of Interest’ (Disney+) bieden een angstaanjagend scenario hoe het hiermee vreselijk mis kan gaan.

Oplichters
Met vrijwel dagelijks hacks en lekken in het nieuws rijst de vraag of wat doorsnee gebruikers van PC, laptop, tablet of mobiele telefoon daarvan hebben te vrezen. Grootschalige handel in persoonsgegevens is – niet geheel onverwacht – een keerzijde van de internettisering, die niet kan worden teruggedraaid: data zijn geld waard. De meest voorkomende wijze waarop cybercriminelen simpele netizens proberen te flessen is via email, sms, appjes of het hacken van je accounts op de social media. Wees daarom alert op dubieuze mails, berichten (zeker wanneer daar een direct aanklinkbare link in zit) en telefoontjes (van een nep-medewerker van je bank). Want voor je het weet gaat je zuurverdiende geld naar oplichters, zoals het consumentenprogramma Kassa in zijn uitzending van 3 april treffend illustreerde.

Deze waarschuwing heeft mede betrekking op gebruikers van Facebook: persoonlijke gegevens van 533 miljoen gebruikers – 5,6 miljoen Nederlands – zijn deze week opnieuw online gelekt op een hackersforum. Het gaat om telefoonnummers, volledige namen, locatiegegevens, emailadressen en andere persoonsinformatie, verzameld met behulp van een veelgebruikte PHP-techniek die ‘scrapen’ heet. Bij LinkedIn staat de teller nu op 500 miljoen. Checken of u erbij zit kan – betrouwbaar – via https://haveibeenpwned.com/. NU.nl biedt een handzaam artikeltje om u via uw Facebook-instellingen tegen scrapers te wapenen.