Behandel vitale infrastructuren niet op dezelfde manier als het netwerk van, bijvoorbeeld, een winkel, maar verbind deze aan een veilig circuit waar krakers niet bij kunnen. Dat noemen de opstellers één van de belangrijkste aanbevelingen uit hun rapport Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands, in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) van het Ministerie van Justitie en Veiligheid uitgevoerd door de Universiteit Twente en dat, vreemd genoeg, in het Engels is gesteld.
Volgens de opstellers van de UT moeten we de ouderwetse terroristische (straat)aanvallen vergeten. Veel gevaarlijker zouden de aanvallen van e-krakers zijn op elektriciteitscentrales, ziekenhuizen, bruggen, sluizen en kernreactoren en andere vitale infrastructuren. “We hebben heel veel geld besteed aan onze digitale weerbaarheid, maar het heeft onvoldoende gewerkt. We winnen niet”, zei Alex Dewdney recent nog, binnen de Britse inlichtingendienst verantwoordelijk voor de digitale veiligheid.
Het is niet de vraag of, al of niet door een staat ondersteunde, krakers dat kunnen. “Er zijn de laatste jaren soortgelijke voorbeelden”, zegt Aiko Pras, beveiligingsdeskundige bij de UT. “Denk aan het incident in Oekraïne. In het oosten van dat land werden honderdduizenden mensen getroffen door een stroomstoring. Uit onderzoek bleek dat dat het werk was van krakers, mogelijk uit Rusland.”
Ook de Nederlandse overheid neemt dit soort dreigingen serieus, een tikje dan. Pras en zijn onderzoeksgroep moesten in opdracht van de Nederlandse overheid vitale infrastructuren in Nederland onder de loep te nemen.
Duizend
Pras: “Allereerst onderzochten we hoeveel van dat soort vitale systemen in Nederland zijn te vinden door de hobbyist. Dat zijn er zo’n duizend. Vervolgens keken we hoeveel daarvan er ook daadwerkelijk kwetsbaar zijn, dus welke versies van bepaalde software daar draaien en of je ze kunt kraken. Zestig vitale systemen kennen verscheidene zwakke punten en zijn kraakbaar. Het gaat veelal om relatief kleine systemen die gebruikt worden voor besturingsdoeleinden, maar wat er precies achter zit, weten we niet.”
Het ziet er naar uit dan Pras en de zijnen geen idee hebben hoe belangrijk die kwetsbare systemen zijn, wat op zijn minst toch een vreemde indruk maakt. “Stel dat één of meerdere van die zestig besturingssystemen daadwerkelijk iets belangrijks is als een sluisdeur of elektriciteitscentrale? Het andere uiterste is dat het hier kan gaan om zestig systemen die bedoeld zijn om potentiële aanvallers te lokken, een valkuil voor krakers. Dit is gangbaar in de wereld van cybersecurity. We delen hoe dan ook onze bevindingen met de eigenaren van deze vitale infrastructuren.”
Voor Pras is de belangrijkste uitkomst van het rapport echter gericht op het voeden van het politieke debat over webveiligheid van vitale infrastructuren in Nederland. “Volgens ons moet de overheid zeggen: elk systeem dat vitaal is, moet niet onbeveiligd aan het openbare internet gehangen worden zodat kwaadwillende krakers erbij kunnen. We signaleren al een tijd dat er in Den Haag relatief weinig kennis van ICT zit.”
Pras pleit in feite voor een intranet voor dergelijke structuren dat losstaand te beheren is’. “Zoiets bestaat nog niet in Nederland. Alles is nu plat, met een paar verschillende aanbieders die in grote lijnen alle klanten hetzelfde behandelen. Aan zo’n gesloten netwerkstructuur gaat politieke besluitvorming vooraf en juist dat debat willen we met dit rapport aanjagen.” Dat hoeft natuurlijk niet per se, Pras. Ook bedrijven en ziekenhuizen kunnen, onafhankelijk van de overheid, hun eigen intranet opzetten dat losgekoppeld is van het wereldwijde web, dunkt me.
Bron: Alpha Galileo