ANALYSE – Luchthaven Londen Gatwick behoort tot de drukste vliegvelden in Europa. En toch stegen er twee dagen lang geen vliegtuigen op, dankzij twee mensen met een drone.
De kwetsbaarheid van dit vliegveld deed me denken aan een gesprek dat ik twee jaar geleden voerde op een conferentie in Lissabon met Sergej Gribov, een investeerder die zich richt op cybersecurity. Ik praatte met hem over één van z’n investeringen in een cybersecuritybedrijf in Israël, CyberX.
Ik zette me al schrap voor een saaie pitch die ik al honderden keren eerder had gehoord. Meestal gaan ze ongeveer zo: “Er zijn veel hackers actief op het internet! Ze willen je data en je geld stelen! Als maar de helft van alle bedrijven mijn geweldige product zou gebruiken, zouden we allemaal veilig zijn!”
Maar mijn gesprek met Gribov verliep heel anders. De criminelen die onze data en ons geld stelen, zijn niet de mensen voor wie we het bangst moeten zijn, vertelde hij me. De hackers waar we ons echt zorgen over moeten maken, zijn degenen die hele landen offline willen halen. Het zijn mensen die het internet, de spoorwegen of drinkwatervoorzieningen plat willen leggen, of die hele fabrieken willen opblazen.
De kwetsbaarheid van veel westerse landen zit ‘m erin dat de infrastructuur en industrie afhankelijk zijn van oude elektronica en sensoren. Vaak zijn die al decennia geleden geïnstalleerd en de beveiligingssystemen zijn daarom verouderd, als ze er al zijn. Dat kan grote gevolgen hebben.
Als een hacker bijvoorbeeld de controle weet te krijgen over een temperatuursensor in een fabriek, dan kan hij (het zijn meestal mannen) ervoor zorgen dat er een brand ontstaat.
"Het probleem is dat mensen niet beseffen dat hacken een enorm wapen kan zijn. Je kan er een heel land mee platleggen", zei Gribov.
En hoe reageer je daar vervolgens dan op? Stel dat het hele elektriciteitsnet van een land is platgelegd, wat doe je dan? Een kernwapen lanceren? Waarschijnlijk niet, zei Gribov, "want je hebt geen idee wie er voor de aanval verantwoordelijk is".
"Een team van vijf mensen in een kelder kan net zoveel schade aanrichten als kernwapens", zei hij. "Het is echt angstaanjagend. En het is een kwestie van tijd tot het gebeurt, want het is ook niet heel moeilijk."
Destijds besteedde ik niet te veel aandacht aan het gesprek. Gribov zelf had immers als investeerder in CyberX een belang bij de angst voor hackers.
Maar sinds die conferentie in Lissabon zijn er twee dingen gebeurd.
- In december 2017 bekenden drie mannen schuld in de zaak rond cyberaanvallen op het bedrijf Dyn. De hackers hadden ervoor gezorgd dat websites als Twitter, Spotify en Netflix ongeveer twaalf uur lang onbereikbaar waren. Vooral in de Verenigde Staten was de impact van de hack groot.
- En in april 2018 zat Mauritanië twee dagen zonder internet, omdat iemand een onderzeese kabel had doorgeknipt.
"Iemand wil het hele internet offline halen"
Beide aanvallen werden uitgevoerd door relatief onervaren criminelen. De drie mannen die achter de aanval op Dyn zaten, hoopten alleen maar dat ze de website van een concurrent offline konden halen, maar het liep volledig uit de hand.
De storing in Mauritanië werd waarschijnlijk veroorzaakt door buurland Sierra Leone, dat zo de lokale verkiezingen wilde beïnvloeden.
Er zijn veel mensen die macht willen en dit soort aanvallen kunnen daartoe een middel zijn. Dat is beangstigend, want dergelijke hacks kunnen een grote impact hebben op onze samenleving. De Amerikaanse veiligheidsdienst FBI vertelde bijvoorbeeld eerder dit jaar tegen Business Insider dat ze denken dat terroristen op een zeker moment zullen proberen om het systeem achter het alarmnummer 911 uit de lucht te halen.
"Er is ongetwijfeld iemand die erachter probeert te komen hoe je het hele internet offline kan halen", aldus Bruce Schneier, de CTO van IBM Resilient.
Duizenden mensen zonder stroom door hackers
Vervolgens praatte ik ook met Nir Giller, medeoprichter en technologiedirecteur van CyberX. Hij wees me op een grote stroomstoring in Oekraïne in 2015. Die werd veroorzaakt doordat er drie grote energieleveranciers tegelijkertijd werden aangevallen door hackers. Daardoor zaten er ongeveer 700.000 mensen een paar uur lang zonder stroom. De beschuldigende vinger ging meteen richting Rusland.
"Dit is een nieuw wapen", zei Giller. "Dit was geen ongelukje, het was een complexe en gecoördineerde aanval."
Het feit dat de hackers het op de energievoorziening hadden gemunt, is veelzeggend. Oude fabrieken, energiecentrales en waterbedrijven zijn namelijk ontzettend kwetsbaar. Hackers hoeven niet de hele fabriek over te nemen, maar kunnen met slechts één sensor of machine een halve maatschappij platleggen.
2010 was het jaar dat veiligheidsdeskundigen zich realiseerden dat dat zo makkelijk is. Dat was het jaar dat het schadelijke computerprogramma Stuxnet werd ontdekt.
Het principe achter Stuxnet was simpel: net zoals alle virussen kopieerde het zichzelf, zodat het zich naar zo veel mogelijk computers met Microsoft Windows verspreidde. Zodra het virus geïnstalleerd was, ging het op zoek naar industriële software.
Als het virus die software vond, stelde het een simpele vraag: stuurt deze software een ultracentrifuge aan die met dezelfde frequentie draait als die van het nucleair programma? Als het antwoord 'ja' was, veranderde Stuxnet de data die de centrifuges doorstuurden, zodat die verkeerde informatie verzonden. Daardoor werkten ze niet meer goed. Het programma legde een vijfde van de Iraanse computers die werden gebruikt voor het kernprogramma plat.
"In 2010 was Stuxnet baanbrekend", zei Giller.
Het was ook ontzettend geavanceerd. Sommige experts denken dat de makers van Stuxnet toegang moeten hebben gehad tot Microsoft's eigen broncode, iets waar alleen een overheid zoals de Verenigde Staten of Israel bevel toe kan hebben gegeven.
Maar ook in 2017 werden we er weer aan herinnerd hoe kwetsbaar we zijn, dankzij het Wannacry-virus. Dat verspreidde zich net zoals Stuxnet door het Microsoft Windows-ecosysteem. Zodra het virus werd geactiveerd, versleutelde het bestanden op de computer. Vervolgens werd er 300 tot 600 euro losgeld gevraagd om de versleuteling op te heffen.
Maar Wannacry was te succesvol. Het infecteerde zo veel computers in korte tijd, dat het al snel de aandacht trok. Kort nadat de aanval begon, ontdekte een beveiligingsonderzoeker dan ook een kill-switch die de verspreiding van het virus vertraagde.
Toch werden er veel organisaties getroffen door Wannacry, zoals Renault, Deutsche Bahn en de Britse publieke zorgorganisatie NHS. Vooral bij die laatste waren de gevolgen groot: het verlenen van zorg kwam in sommige ziekenhuizen in gevaar.
Het verschil tussen Wannacry en Stuxnet? Stuxnet was behoorlijk geavanceerd, terwijl Wannacry eruitzag alsof je het zelf in elkaar kon knutselen op je zolderkamer.
Volgens Andrew Tsonchev, technisch directeur van een Brits cybersecuritybedrijf, heeft Wannacry wel het een en ander veranderd in de wereld van criminele hackers.
"Wannacry had invloed op gigantische sectoren in verschillende landen", zegt hij. "Ook op de scheepvaartindustrie. Bedrijven als Maersk hadden er veel last van. Dat intrigeerde hackers, ze hadden er tot dan toe niet over nagedacht dat ze de scheepvaartindustrie konden proberen te hacken."
"Het afgelopen jaar hebben we veel aanvallen gezien die direct gericht waren op terminals en havens. Zo hebben hackers de havens van Barcelona en die van San Diego bijvoorbeeld aangevallen. Terwijl ze zich een paar jaar geleden alleen nog bezighielden met het stelen van gegevens van creditcards."
Jij bent de zwakke schakel
De Wannacry-aanval vond plaats in mei 2017. Een paar maanden later, in december, hield de Amerikaanse regering Noord-Korea verantwoordelijk voor het verspreiden van dit computervirus.
Het Noord-Koreaanse hackerscollectief Lazarus ging het waarschijnlijk alleen om geld. Toch heeft het Noord-Korea wel iets geleerd: je hebt geen bommen nodig om een heel land plat te leggen.
En vreemd genoeg hangt het deels af van wat particuliere computergebruikers in de wereld om computervirussen zoals Wannacry geen kans te geven. De reden dat de aanval zo'n grote impact had, is dat gewone mensen zoals jij en ik slecht zijn in het updaten van de software op onze computers. Mensen vergeten een update te installeren, waardoor hun software kwetsbaar wordt. En een paar weken later staat er plotseling Stuxnet of Wannacry op hun computer.
De nationale veiligheid ligt daarmee in de handen van de hele bevolking, zegt Tsonchev. "Die irritante pop-ups op je computer over veiligheidsupdates zorgen ervoor dat jij, en de rest van de wereld, veilig blijven. Maar mensen negeren ze gewoon. Individuen spelen een ontzettend belangrijke rol bij de veiligheid van landen."
Dus als je nog op zoek bent naar een goed voornemen voor 2019: overweeg om komend jaar je computer en telefoon regelmatig te updaten. Het land heeft je nodig.