Gijzeling – geen oorlog

COLUMN - Het is oorlog, maar niemand die het ziet, waarin Huib Modderkolk aantoont hoe inlichtingen- en geheime diensten in een digitale strijd zijn verwikkeld en ondertussen zowat alles en iedereen hacken, is een subliem boek. Hij laat gedetailleerd zien hoe spionage en sabotage verweven zijn geraakt. De enige kanttekening die ik heb, is dat hij steevast de oorlogsmetafoor inzet in zijn poging om de hele zwik voor de leek begrijpelijk te maken.

Begrippen als koude oorlog, wapenwedloop, escalatie en afschrikking, aanval en verdediging klinken vertrouwd, en lijken een nuttig kader te bieden. Maar ze ontnemen ons het zicht op wat dit moderne wapengekletter zo radicaal anders maakt, en laat ons de verkeerde ‘oplossingen’ suggereren. Naar aanleiding van de documentaire Zero Days (2016), die liet zien dat geheime diensten vet betalen voor exploits om andermens’ systemen te kunnen binnendringen en manipuleren, werd geopperd dat een non-proliferatieverdrag voor beveiligingslekken een oplossing kon zijn. Heus: wie dat voorstelt, begrijpt niets van het probleem.

Niet alleen overheden of hun steelse subdivisies kunnen essentiële infrastructuur hacken. Ook een vasthoudende puber ergens op een zolderkamertje kan KPN platleggen, zoals Modderkolk aantoont. Non-proliferatie is gebaseerd op bovenstatelijke controles, op internationaal recht en dito verdragen, op sancties, op traceerbare goederen, op voor de buitenwereld zichtbare proeven, op identificeerbare fabrieken en installaties. Dat alles ontbreekt te enen male bij digitale spionage en sabotage.

Staten doen er op dit vlak niet meer toe, evenmin als hun klassieke tegenstrevers: politieke cellen, guerrilla of terrorisme. Iedereen kan zich, met enige kennis en volharding, een bereik verwerven waarop staten meenden een monopolie te hebben. De situatie is veel grilliger: we kampen nu ook met mensen die voor de lol een bedrijf of land willen platleggen.

Geheime diensten zoeken naar zero day exploits, beveiligingslekken die nog niet bekend zijn, en dus niet gedicht; die hopen ze te kunnen gebruiken om tegenstanders te hacken. Het grote probleem: zodra zo’n dienst een veiligheidslek vindt, heeft die er geen enkel belang meer bij dat het lek wordt gerepareerd. Dit in de volle wetenschap dat ditzelfde lek ook door anderen kan worden uitgebuit, en dan haar eigen burgers, bedrijven en instellingen kan treffen. Met publieke gelden en onder het motto dat zij het landsbelang verdedigen, cultiveren onze veiligheidsdiensten zodoende, o ironie, de kwetsbaarheid van onze eigen burgers en instellingen.

Zo had de Amerikaanse NSA voor eigen gebruik een aardige collectie van zero day exploits verzameld. De NSA werd gehackt, de exploits belandden op straat, Rusland ging ermee aan de haal en zette die in de Oekraïne in, waar het ME.Docs-virus het land platlegde en zelfs doden maakte (Modderkolk beschrijft de kwestie).

De conclusie die Modderkolk niet trekt, is deze: elke geheime dienst die een exploit geheimhoudt, zet daarmee de veiligheid van haar eigen burgers moedwillig op het spel.


Deze column van Karin Spaink verscheen eerder in Het Parool
.

  1. 1

    Alles moest ook maar op dat grote vriendelijke reuzeninternet worden aangesloten. Gewoon omdat het kon en modern oogde. Ik weet nog dat ik direct bij de bank inbelde. Daar zat niemand tussen.

  2. 2

    Volgens mij bestaat het allang; gestoorde hackers, gegevens zonder enige toestemming gestolen, regeringen misbruiken burgers enzovoorts.
    Niet alleen diensten die het wel hebben, maar ook vanuit regeringen zelf, zoals CIA en Hackers !!!
    Dus :
    * Alles mag dus wel zonder die enige toestemmingen van burgers.
    * We zijn ook mensen, zijn ze het dan niet als mensen?
    * Mensen profiteren voor het geld, macht en ook sex
    * Als godvergeten burgers zijn maar nihil voor die geheime
    diensten.
    * Genië van ICT misbruiken mensen, maakt niets uit waarheen ze willen….etcetc.
    Heb me weleens voorgesteld als het anders uitziet,
    na Onzichtbare Oorlog (OO)…..:
    Zeg maar:
    * laat vliegtuigen maar mooi vallen
    * tv masten falen
    * Computers verdwijnen
    * Geen sociale contacten
    * Verkeer knalt alles overhoop
    * veel slachtoffers, moorden en diefstal
    * Cyber in doelloze doolhof zoekend naar…..
    etcetc
    Mensen gaan zeker naar buiten om alles uit wanhopig
    informeren waar het dan ook is , om te overleven.
    Zou het dan niet geweldig zijn, of niet?
    Of ik blij ben over het gevolg daarvan, is Ja én Nee !!!!

  3. 3

    Het grootste probleem van geheime diensten is dat ze weinig controle en feedback toelaten. Ze gedragen zich met een beroep op het staatsgeheim als totaal gesloten, autonome onderdelen van de staat terwijl ze inmiddels, zoals hierboven wordt beschreven, allerlei kwetsbare verbindingen aangaan met een misdadige buitenwereld. Toezicht, regelgeving en handhaving, zo overvloedig aanwezig op alle maatschappelijke terreinen, falen hier.

  4. 5

    @3: Het zou me niets verbazen als de mentaliteit ter plekke wel degelijk die van oorlog is. Dat werkt die mentaliteit (alle middelen zijn toegestaan voor het “goede doel”) van misbruik van voorzieningen, criminele handel en absolute geheimhouding ook in de hand (we moeten wel, want anders verliezen we de oorlog).

  5. 6

    ~~ Voorstel ter voorkoming van OO ;

    ~~ extrerne (algemeen) èn interne (privé) kabels met externe batterij/opladen. Die privégegevens hou je strikt thuis, dus handen thuis met je eigen card met eigen codes. Want het is jouw privegegevens!
    Bv. Als lonen binnen zijn op je rek.nr., haal je die bedrag naar externe batterijopladers, dan haal je uit die opladers op naar je interne pasje!!!

    Dat is maar veronderstelling…

    😊

  6. 7

    @1: Klopt. Beste manier om te voorkomen dat een elektriciteitscentrale gehacked wordt, is hem niet op het Internet aan te sluiten.

    Toen ik dat bij een van de grootste elektriciteit producenten van Nederland voorstelde werd ik uitgelachen: Dat is niet meer van deze tijd, het kost te veel geld om op elke centrale medewerkers neer te zetten voor de aansturing.
    Op mijn wedervragen: Kost dat meer dan alle maatregelen ter beveiliging nu? Kost dat meer dan het afbreukrisico in het geval van een hack? Daar werd geen antwoord meer op gegeven.

    Allemaal gevolg van ‘Risico management’. Kans op een gebeurtenis maal de de impact van de gebeurtenis bepaald de mitigerende maatregel. En daar kan je mee spelen. Sommige gebeurtenissen hebben een ZEER lage kans, de impact is vaak nog wel groot, maar moeilijk te kwantificeren. En daarmee wordt het dus een speelbal van managers/politici.

    Men vergeet daar voor het gemak even dat ook een kans van 0,0001% kan voorkomen. En als het dan gebeurt: ‘Dat konden we niet voorkomen’.

    Dus wel!!! keep it simple stupid! als je niet wil dat een centrale via het internet gehacked wordt, sluit je hem niet aan op het internet.

    Als je niet wilt dat Nederland onbewoonbaar wordt door een nucleair incident (want dat IS een risico dat we dagelijks lopen met kerncentrales in en rond Nederland, hoe klein dan ook!!), moet je geen kerncentrales neerzetten.

    Zo simpel is het.

  7. 8

    @7: en als je niet wilt dat je door een vrachtwagen plat gereden wordt, moet je de hele dag in je bed blijven liggen.

    Zelfde redenering. Waaruit maar blijkt dat je verhaal toch echt te simpel is.

    en dit:
    > Kans op een gebeurtenis maal de de impact van de gebeurtenis bepaald de mitigerende maatregel.

    Nee, niet volledig. Je moet het namelijk ook nog afzetten tegen de risico’s en de impact van het alternatief.

  8. 9

    Beste manier om te voorkomen dat een elektriciteitscentrale gehacked wordt, is hem niet op het Internet aan te sluiten.

    Jammer maar helaas. Zelfs als je een electriciteitscentrale hebt die los hangt van internet, dan kun je nog steeds gehackt worden. De meeste industriele controlesystemen (zoals SCADA van siemens) zorgen ervoor dat je een intern netwerk krijgt van meetpunten en uitleesapparate. Omdat de meeste bedrijven op een centrale meldkamer al je systemen wilt kunnen overzien krijg je dus ook een grote koppeling van al die systemen. Gevolg is dus wel dat als een medewerker een verkeerd USB-stickje in een SCADA-machine duwt je de boel alsnog kunt overnemen, maar dan van binnenuit. Dat is precies wat stuxnet bv deed.

    Als je wilt voorkomen dat een electriciteitscentrale gehacked wordt, zul je terug moeten naar de jaren 70 wbt controlesystemen, en je zult dan ook terug moeten naar de tijd dat je anderhalve kilometer moet lopen om een kraan dicht te zetten in een fabriek. Beetje onpraktisch, niet?

  9. 10

    @7: Zoals ik zei ( zie @6 ) over voorstel…

    Het zou ook in wettelijke boek moeten geregeld worden zoals Art. 1, noem maar op.

    * Als men/bedrijven/instellingen/regering/ scholen/ de derden enzovoorts jouw persoonsgegevens zonder enige toestemming afgenomen hadden, krijgen ze het zwaarste boete én minimaal 5 jaar gevangenisstraf, punt!!!

    * Elektrisch producten jou, Imgikke, uitlachen, kun je wel indenken dat ze zichzelf beter te weten hebben, jouw uitvinding en of voorstel zeker doen afpakken zonder dat je gezien had, ook omdat ze zelf daarin werken. Tja, jou uitlachen denken ze dat ze het al hebben, nee dus.

    * Inderdaad is het allang te laat om alles te voorkomen, maar jouw prive gegevens kan het wel voorkomen, juist niet te laat zoals ik me maar had voorgesteld over externe ( internetten, bellen, sappen ) en interne kabels ( prive, je rekening, paspoort en belastingaangifte etcetc ) doe je via externe oplader ( soort opname via oplader met externe batterijen , geen verbindingen met externe kabels, maar via eigen interne kabels met eigen prive code waar niemand jou aankomt. )

    Iedereen hier heeft gelijk: niemand doet het , het is al te laat, hoe voorkom je dat?, Ooit iets om te voorkomen gezien, jawel dat vervuiling uit de zee wegsluizen en plastic uit de zee halen, maar welke bedrijven doen het dus wel om die vervuilingen overboord te gooien? Wijs dan naar die enorme verantwoordelijkheid van de vervuiling en die zware gevangenistraf opleggen, punt.

    Niemand doet het op wetboek, Niemand doet 1 of 2 uurtjes per dag over de aarde om schoon te maken, ik ook niet helaas, niemand luistert. Wat nu?

  10. 11

    @9 je zegt het zelf. Onpraktisch.

    M.a.w. je maakt EERST de keuze voor iets praktisch, en daarna ga je pas de veiligste optie kiezen. Daarmee heb je mogelijk veiligere opties (minder praktisch) uitgesloten. M.a.w. Gemak prevaleert boven veiligheid.

    Daarnaast is er een heel verschil of er een intern gesloten besturingsnetwerk aangelegd wordt of dat je het via Internet regelt.

    Tuurlijk kun je ook in een gesloten eigen, standalone netwerk hacken d.m.v. een usb stick.

    Maar dat is iets anders dan gehacked worden via het internet, en dat laatste kan alleen als je dat netwerk aansluit op het internet. Ik geef toe, dat had ik in mijn eerste post beter kunnen verwoorden. Hacken kan altijd.

  11. 12

    @8: Dank voor je reactie. Dit is typisch de management reactie: ‘zo simpel ligt het niet’

    Nou, wel dus. Risico management maakt zaken abstract en doet zaken voorkomen alsof het exacte wetenschap is. Daarnaast is de mens slecht in het inschatten van kansen. Tevens is het onmogelijk om middels risico management rekening te houden met onvoorziene omstandigheden.

    Pak het voorbeeld van fukushima. Leiding van Tepco is gister vrijgesproken, men had deze tsunami niet kunnen voorzien. M.a.w. de uitgevoerde risico analyses waren afdoende, bestuurders hadden niet meer kunnen doen. Mooi voorbeeld hoe risico management functioneert. Realiteit is echter wel dat groot gebied onbewoonbaar is, verhoogde straling en binnenkort moet men verontreinigd water lozen in de oceaan.

    Wat ik doe, is een bovengrens aan de impact stellen. Komt de impact boven die grens, dan neem je het risico gewoon niet.

    En dat is wat mij betreft het geval met nucleaire energie. Als het misgaat, dan is Nederland onbewoonbaar. Dat risico is te groot voor mij, dus wil ik geen kern energie.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

| Registreren