Cybergruwelen

COLUMN - ‘Cyberoorlog staat op uitbreken,’ kopte de krant vorige week. Het klonk bijna opgetogen. Maar zoals nerds al aan het eind van de jaren negentig doorhadden; alles waar het predicaat cyber bijgeplakt werd, was gekunsteld hip of marketingpraat, of erger: allebei. Cybersex. Cybernaut. Of (gruwel) cyberfeminisme. En nu dus: cyberoorlog.

Catastrofale aanvallen staan te wachten, wist de deskundige, de virtuele oorlog is ons voorland. Her en der voeren kwaadwillende clubjes dergelijke aanvallen al uit, overal staat de malware klaar, hield de deskundige ons voor. Het wachten is op een schurkenstaat die al die initiatieven aaneen klinkt, en dan rijst-ie in alle omvang op: de cyberoorlog. Nou, berg je dan maar!

Waarom klonk dat nou bijna verlekkerd?

Misschien omdat de man verdiende aan het spinnen van zulke apocalyptische visioenen: voor HP werkt hij aan de virtuele veiligheid van overheden, en ja, dat concept moet verkocht worden. Of misschien was het omdat het rijtje van verdachte staten dat hij noemde, het aloude rijtje was: Iran, Noord-Korea, China. (Irak is uit de vaste opsomming weggevallen en wordt binnenkort vervangen door ISIS. Of beter: CyberIsis, om nog eens te benadrukken hoe eng ze zijn.)

Opmerkelijk is dat de man Israël en de VS niet in het rijtje plaatste: de twee enige overheden van wie tot nu toe bekend is dat ze doelgericht een computervirus op een ander land hebben losgelaten, Stuxnet, dat onverwacht – maar dat heb je nu eenmaal snel met computervirussen – ook buiten Iran opdook. Dat maakte zijn verhaal ineens wat hol. Oude schurkenwijn verkopen in nieuwe, en dus hoger geprijsde zakken – dat was wat hij deed. De oude riedel: zij zijn de vijand en wij moeten onszelf beter bewapenen. Met cyberbewapening! En we moeten de systemen van de vijand binnendringen om aanvallen te voorkomen!

Terwijl de kwetsbaarheid van computersystemen me zeer aan het hart gaat: een cyberversie van de wapenwedloop propageren is niet de oplossing. Dat pad zadelt ons op met geheime diensten die doelgericht gaten in software laten maken, met spionagediensten die permanent hun bevoegdheden misbruiken, met massasurveillance die tijd, geld en aandacht vreet en amper iets oplevert, met ondoorzichtige en warrige systemen.

Willen we onszelf beter beschermen, dan doen we er goed aan om rustiger om te springen met automatisering, connectiviteit en verknopingen. We zouden cruciale infrastructuur niet op een en hetzelfde netwerk moeten zetten: koppel de elektriciteitscentrales niet aan internet, zorg ervoor dat cash geld in roulatie blijft, zorg voor aparte frequenties, houdt FM in de lucht, en knoop niet alles aan elkaar.

En vooral: we moeten bescheidener worden in onze eisen. Waarom moet een infuuspomp aan het internet? Waarom wil je in hemelsnaam wifi bieden aan vliegtuigpassagiers, wanneer dat de boordcomputer kan compromitteren?

Wie alles aan elkaar knoopt, maakt zichzelf kwetsbaar. Daar is geen aanval voor nodig: een lastige bug volstaat.

Deze column van Karin Spaink verscheen eerder in Het Parool.

  1. 2

    Prima cybercolumn dit. Het grootste probleem is dat de overheid zelf vrijwel geen expertise meer heeft omdat ‘outsourcing’ beter zou werken en zichzelf heeft overgegaan aan de cybermaffia.

  2. 5

    We zouden cruciale infrastructuur niet op een en hetzelfde netwerk moeten zetten: koppel de elektriciteitscentrales niet aan internet, zorg ervoor dat cash geld in roulatie blijft, zorg voor aparte frequenties, houdt FM in de lucht, en knoop niet alles aan elkaar.

    Die dingen hangen ook niet aan het internet maar aan een soort heel groot INTRAnet, maar onwetendheid/luiheid aan de kant van journalisten en nieuws consumenten maakt dat men zegt dat dergelijke infrastructuur aan het internet hangen terwijl ze in werkelijkheid aan gesloten netwerken hangen die niet vanaf het internet zijn te benaderen.

  3. 7

    @6: Nee hoor, ik werk in die wereld en weet dat zo’n beetje alle belangrijke (NUTS) voorzieningen in Nederland gesloten netwerken hebben.

    TENNET heeft zelfs haar eigen fysieke glasvezel netwerk in Nederland dat gesloten is voor buitenstaanders.

    Veel netwerken zijn inderdaad in handen van KPN of worden beheert door KPN en daardoor LIJKT het alsof ze aan het internet hangen maar in werkelijkheid zijn ze echt niet te benaderen vanaf het Internet.

  4. 8

    @7: Aha dat scheelt dan alweer, alhoewel ik er bij blijf dat het met het onderscheid geen koek en ei is over het algemeen.
    Daarmee bedoel ik dat er wel teveel aan het internet hangt, of lekt vanuit het intranet, dan zou moeten.

  5. 9

    @8: Het zwakke punt in het alles is niet het netwerk maar nog steeds de mens, 99% van de hacks zijn te wijten aan menselijk falen/opzet en niet aan het netwerk, en bijna alle succesvolle hacks op NUTS voorzieningen e.d. gebeurt nog steeds met hulp van binnenuit door een (corrupte) medewerker want zoals mijn voorbeeld van TENNET, zonder fysieke toegang tot dat netwerk kan je helemaal niks met het stroomnet doen.

    Maar onwetendheid (en de geslotenheid kwa informatie over die netwerken) maakt het vaak eerder een storm in een glas water dan een daadwerkelijk probleem.

    Er zou dus een aparte instantie moeten komen die mensen fatsoenlijk screent voor dergelijke functies en niet een halfbakken VVGG van de politie.

  6. 10

    @3: Ik hoop dat dit sarcastisch bedoeld is. Want het is wel errug populair om te roepen dat privacy niet meer belangrijk is, maar dat maakt het nog niet waar.

  7. 11

    @7
    “maar in werkelijkheid zijn ze echt niet te benaderen vanaf het Internet.”
    Maar betekent dit dat se per definitie niet benaderbaar zijn voor vreemden? Of kan het misschien met een gestolen wachtwoord, met een fluitje uit een pak ontbijtgraan of met een trojaanse opblaaspop…

  8. 12

    @11:

    Maar betekent dit dat se per definitie niet benaderbaar zijn voor vreemden? Of kan het misschien met een gestolen wachtwoord, met een fluitje uit een pak ontbijtgraan of met een trojaanse opblaaspop…

    Ik kan het niet uitleggen zonder mijn NDA te schenden (dus dat doe ik dan ook niet) maar dergelijke netwerken hangen gewoon niet rechtstreeks aan het internet.

    Mooiste manier om het uit te leggen is aan de hand van een ouderwetse scheertrafo in in de badkamers van vroeger, daar had je 220V uit een stopcontact zonder dat dat stopcontact daadwerkelijk aan het grote stroomnet hangt.

    En echt belangrijke netwerken hebben niet eens zo’n scheertrafo idee verbinding met het internet (zoals TENNET, NS etc etc).

    Dus zelfs al zou een trojan of virus door een USB stick het netwerk binnen komen dan nog kan dat virus niet naar buiten komen om de aanvaller in te lichten.

    En vaak zijn die netwerken intern ook nog eens gelaagd dmv VLAN’s waardoor bijv de tiepmiep aan de balie niet bij de besturing kan komen van de fabriek en wordt het beheer van de netwerk apparaten outband* via een apart netwerk gedaan.

    *outband = http://en.wikipedia.org/wiki/Out-of-band_management

    Tuurlijk er zullen altijd kwetsbaarheden zijn en die zullen altijd misbruikt worden maar het idee dat een externe aanvaller bijv. het stroomnet plat kunnen leggen is onzin (althans voor Nederland), het is gemakkelijker om met een explosief een stroomstoring te veroorzaken dan met de computer.

  9. 13

    @bolke Spreek me niet van de PEBCAK .

    ‘ (althans voor Nederland),’

    Lijkt mij een vrij relevant verschil.

    Overigens zijn er dan natuurlijk wel andere manieren om aan te vallen. De administratie plat leggen ofzo. Of andere manieren om te hinderen. Vroeg of laat moet een bedrijf ook wat met het publiek natuurlijk.