Cyberaanvallen kosten ons 1350 euro per huishouden, en meer

Medewerkers van een Koreaans beveiligingsbedrijf volgen op deze foto van afgelopen maandag de ontwikkeling van de Wannacry-cyberaanval. Buitenland
Medewerkers van een Koreaans beveiligingsbedrijf volgen op deze foto van afgelopen maandag de ontwikkeling van de Wannacry-cyberaanval. | beeld ap / Yun Dong-jin / Yonhap en nd
Bekijk dit artikel in de Digitale Editie

Cybercriminaliteit heeft de afgelopen maanden parkeergarages, operatiekamers en de Amerikaanse politiek gegijzeld. Tien miljard euro kosten dit soort aanvallen Nederland jaarlijks. En de schade aan de nationale veiligheid kan weleens onbetaalbaar blijken.

Washington – Den Haag

Hoe gevaarlijk is die computer- en internetcriminaliteit nu eigenlijk? En wat kosten zulke aanvallen ons – het zijn vragen die de afgelopen week te horen waren, na de grote ransomwareaanval in tientallen landen. Van computers in Britse operatiekamers tot die in parkeergarages in Nederland, overal was dezelfde boodschap te lezen: ‘betaal of je bestanden worden vernietigd’.

‘Je kunt wel zeggen dat we het op dit moment druk hebben’, reageert Tine Hollevoet van Europol met gevoel voor understatement. Maar voor het speciale Europese Cybercrime Centrum van Europol in Den Haag kwam de grote aanval met ransomware niet als een verrassing. ‘Dit is precies waarvoor we in ons laatste rapport hebben gewaarschuwd.’

Dat rapport, in vaktermen IOCTA, beschrijft een steeds grilliger landschap van computer- en internetcriminaliteit. ‘Beschouw dit maar als een visie vanuit de loopgraven’, zei Europol bij de presentatie. ‘Traditionele’ cyberbedreigingen die bestanden van je computer wissen of wachtwoorden stelen, worden in toenemende mate vervangen door ‘agressieve vormen van cybercrime’, waarbij het rechtstreeks om geld gaat.

roversbendes

En eigenlijk is dat nog kinderspel vergeleken met de echte roversbendes – waaronder complete landen als China en Rusland – die op enorme schaal gegevens stelen of schade aanrichten. Een week geleden kreeg de commissie voor de inlichtingendiensten van de Amerikaanse senaat daarover het een en ander te horen van de inlichtingendiensten. Nummer een op de lijst volgens directeur Nationale Inlichtingen Daniel Coats: cyberdreigingen. ‘Ook al verbeteren we onze cyberverdediging, vrijwel alle informatie- en communicatienetwerken en al onze systemen zullen nog jarenlang in gevaar zijn.’

Coats geeft in zijn toelichting aan hoe juist de toekomstige defensie van de VS en andere NAVO-bondgenoten nu al ernstig is verzwakt doordat de blauwdrukken van de meest geavanceerde militaire systemen zijn geroofd. ‘Voorbeelden zijn de diefstal van gegevens over de F-35 JSF (die Nederland ook voor enige miljarden aanschaft, red.) en de F-22 Raptor straaljager. Deze spionage brengt de ontwikkelkosten voor de aanvallers omlaag en versnelt de ontwikkeling van buitenlandse wapensystemen. De militaire, technologische en commerciële voorsprong van de VS wordt hierdoor ondermijnd’, somt Coats op.

Dit is een enorme sprong van de ransomwareaanval, waarbij voor iedere gegijzelde computer ongeveer driehonderd dollar losgeld werd gevraagd, naar diefstal van projecten waarbij het om honderden miljarden dollars gaat.

ieder bedrijf

Voor het bedrijfsleven is dit een even groot probleem. ‘Cybercriminaliteit is per definitie de grootste bedreiging voor iedere beroepsgroep, iedere bedrijfstak en ieder bedrijf op de wereld’, stelt de directeur van IBM Ginni Rometty. Een van de grootste verzekeraars ter wereld, Lloyds, schatte in 2015 de schade voor bedrijven al op ongeveer vierhonderd miljard dollar per jaar. Het computerbeveiligingsbedrijf McAfee komt daar ook ongeveer op uit. McAfee maakte ook een berekening van de kosten van cybercriminaliteit per land, uitgedrukt in procenten van het bruto binnenlands product. Duitsland en Nederland springen er in die lijst uit als zwaargetroffen landen. Nederland verliest per jaar ongeveer 1,5 procent van het bbp aan cybercriminaliteit, stelt zowel McAfee als Deloitte.

Doorgerekend met cijfers van de Wereldbank en het Centraal Bureau voor de Statistiek betekent dit dat Nederland in 2016 tussen de 9,8 en 10,5 miljard euro is kwijtgeraakt aan computer- en internetcriminaliteit. Omgerekend per huishouden is dat 1270 tot 1350 euro schade per adres.

Maar de grootste bedreiging en ook de grootste schade is die aan de nationale veiligheid. Soms is dat heel zichtbaar. Zo meldde de Duitse dienst voor informatieveiligheid BSI een aanval op een Duitse staalfabriek, waarvan de hoogoven niet meer gecontroleerd kon worden. Dat leidde volgens de BSI tot ‘massieve beschadiging van de vestiging’. Waterkeringen, dammen, elektriciteitsnetwerken, oliemaatschappijen, ze zijn allemaal al eens aangevallen en deels of helemaal uitgeschakeld.

Nog ingrijpender zijn de aanvallen op informatiesystemen van de overheid. Zo voerde de Amerikaanse inlichtingendienst NSA in 2014 een letterlijk ‘hand-tegen-handgevecht’ met Russische hackers om de controle over het computersysteem van het Amerikaanse ministerie van Buitenlandse Zaken.

Plaatsvervangend directeur Richard Ledgett van de NSA vertelde dit onlangs in een bijeenkomst van het Aspen Institute. Een ‘bevriende’ westerse inlichtingendienst keek live mee, via door deze dienst gehackte beveiligingscamera’s van aan de Russische inlichtingendienst FSB verbonden hackerscentra, zo citeerde de Washington Post afgelopen maand medewerkers van de inlichtingendiensten.

De meest succesvolle aanval tot nu toe was de Russische aanval op de Democratische campagne. De nasleep veroorzaakte – en veroorzaakt – in de VS zó veel politieke schade dat voormalig hoofd inlichtingen Rusland van het Amerikaanse ministerie van Buitenlandse Zaken Eugene Rumer het omschrijft als ‘een werkelijke crisis van ons politieke systeem’. Die crisis heeft wereldwijde gevolgen voor de geloofwaardigheid van de op westerse waarden gebaseerde internationale orde. Die is onbetaalbaar. En onvervangbaar. <

een slachtoffer: StemWijzer

StemWijzer viel op 14 en 15 maart ten prooi aan DDoS-aanvallen, waarbij daders doelbewust zo veel verzoeken naar een netwerk zenden dat de website of server het begeeft. Gevolg? De internetdienst die burgers helpt ontdekken met welke politieke partij zij het meest op een lijn zitten, was rondom de verkiezingen enkele uren onbereikbaar.

Dat kwam onverwacht. ‘We waren nog nooit eerder doelwit geweest’, vertelt communicatiemedewerker Casper Renting van ProDemos, de ontwikkelaar van de populaire website. Hoewel overbelasting van de website tijdens de verkiezingen niet ongewoon is, ontdekte het ICT-team de aanval volgens Renting ‘redelijk snel’. ‘Dat had vooral te maken met de manier waarop het online verkeer zich gedroeg. Het ging in grote pieken. Daarnaast kwamen opvallend veel aanvragen uit het buitenland.’

Volgens Renting heerste er geen paniek. ‘Maar we baalden flink. Tegen zo’n grote aanval is niets te doen. We hebben zo snel mogelijk gehandeld.’ Dat StemWijzer niet preventief gebruikmaakte van een gezamenlijk beveiligingssysteem heeft volgens de medewerker te maken met de kosten: ‘Die leken niet op te wegen tegen de kans dat dit zou gebeuren. Maar we hadden zo’n 6,8 miljoen bezoekers tijdens deze verkiezingen, dus we zijn een interessant doelwit. Achteraf is dat gemakkelijk redeneren.’

Renting zegt dat lastig in geld is uit te drukken hoeveel de DDoS-­aanvallen StemWijzer kostten. ‘We hoeven geen winst te maken. Ik ben bovendien geneigd te denken dat de mensen die onze website in eerste instantie niet konden bezoeken later alsnog zijn teruggekomen.’

Speculaties over de dader achter de DDoS-aanvallen tierden welig. Er werd gewezen naar Turkije en Rusland. Maar StemWijzer doet er geen uitspraken over. ‘De waarheid is dat we het niet weten. En dat we het waarschijnlijk nooit te weten zullen komen.’

Het recente nieuws over WannaCry noemt ProDemos ‘een goede wake-upcall’. ‘We grijpen de gebeurtenis aan om er zo veel mogelijk van te leren.’ Renting raadt andere organisaties aan zo kritisch mogelijk te kijken naar protocollen en updates van website-extensies. ‘Niet bijwerken is funest. Dat maakt kwetsbaar.’

direct na je studie aan de slag?

‘De studenten worden ons bijna uit handen gegrist door het bedrijfsleven en de overheid,’ vertelt professor Pieter Hartel, coördinator van de 4TU cyber security master. ‘Nog voor hun afstuderen hebben ze al drie aanbiedingen voor een baan.’ 4TU staat voor een samenwerkingsverband tussen de vier technische universiteiten: die van Twente, Delft, Eindhoven en Wageningen. Ze hebben de handen in 2014 ineengeslagen en leiden nu deskundigen digitale veiligheid op. ‘Onze opleiding richt zich op meer dan techniek alleen. Mensen spelen een belangrijke rol in digitale veiligheid. Denk aan het bewaren van wachtwoorden.’

Hartel schat het aantal masterstudenten dat zich in Nederland met cybersecurity bezighoudt op zo’n tweehonderd. ‘Dat is te weinig voor de huidige vraag. Maar het aantal studenten neemt hard toe.’ De deskundigen in opleiding moeten, als het misgaat, goed kunnen inspelen op de situatie. ‘Wil je back-ups hebben klaarstaan, wil je het publiek wel of niet waarschuwen?’

Hartel vergelijkt cybersecurity met het beveiligen van een woning: ‘Voorkomen doe je door goede sloten te plaatsen. Wanneer je je huis in de vakantie onbeheerd achterlaat, is het moeilijk eventuele inbraken te detecteren.’ Volgens de hoogleraar is het detecteren van cyberinbraken soms erg lastig. ‘Het kan maanden duren voordat een aanval wordt ontdekt en dan is al heel wat kwaad geschied.’ Hij raadt organisaties aan om deskundigen in te huren. ‘Bij de grote bedrijven, zoals Shell en Unilever, is het allemaal prima voor elkaar, maar bij het midden- en kleinbedrijf ontbreekt vaak de expertise op dat gebied.’ Hartel begrijpt dat beveiligingskosten voor de kleine bedrijven soms moeilijk op te brengen zijn. ‘Je plaatst pas driesterrensloten wanneer er een keer is ingebroken. Maar dan is het dus eigenlijk al te laat.’

Bijlagen

Fotoserie, 3 foto's
PDF Print Stuur door

Wil je elke dag onze nieuwsbrief met gratis artikel?