Machteloos tegen een flinke ddos-aanval

Een ddos-aanval legde maandag de websites plat van de provincies Noord-Holland, Noord-Brabant, Groningen en Overijssel. De aanval werd opgeëist door een pro-Russische hackersgroep. In hoeverre moet een provincie hiertegen bestand zijn?

'DDoS welcome'

Op Telegram laat de hackersgroep weten dat de actie samenhangt met het besluit van Nederland om F16-straaljagers aan Oekraïne te geven. ‘Terwijl Nederland vliegtuigen aan Oekraine overhandigt, geven wij lokale websites ons ‘DDoS welcome’ schrijft ‘NoName057(16)’. De groep valt vaker bondgenoten van Oekraïne aan, recent onder meer Griekenland en Luxemburg.

Telegram-kanaal

Eerder bestookte NoName057(16) in Nederland onder meer de sites van de rechtspraak, de Eerste Kamer, de Bank Nederlandse Gemeenten en van diverse havens. Volgens Gerard Janssen, auteur van het boek ‘Hackers’, is de groep een soort vrijwilligersleger, net zoals die bestaan aan de kant van Oekraïne. ‘Iedereen die een beetje handig is met computers en die zich wil inzetten voor ‘de goede zaak’, kan zich aansluiten bij zo’n Telegram-kanaal,’ zegt hij. ‘Daar worden lijsten met IP-adressen gepubliceerd die ze willen aanvallen.’

Verschuilen achter een hackgroep

Een denial of service (ddos)-aanval is relatief makkelijk en goedkoop. Online zijn ze te bestellen vanaf ongeveer dertig dollar per dag of 5 tot 10 dollar per uur, afhankelijk van de grootte en de duur van de aanval. Tijdens een aanval wordt er zoveel netwerkverkeer gestuurd naar een server, dat die de toestroom niet aankan en de website traag wordt of helemaal onbereikbaar wordt. Vaak gebeurt dat via gekaapte apparaten. De identiteit van de daders is daardoor moeilijk te achterhalen. Een ‘leger’ kan uit enkele of vele amateurs bestaan, of juist uit professionals die zich achter de hackgroep verschuilen om verder te gaan dan ze eigenlijk mogen.

In het verleden richtten hacktivisten hun vizier onder meer op extreemrechts en sites van IS. ‘Voor de Amerikaanse inlichtingendiensten was het vervelend als ze de sites van ISIS platlegden, want die kregen informatie over ISIS via die sites,’ vertelt Janssen. ‘Ze gingen zelfs zo ver dat ze de sites stiekem verbeterden zodat hackers ze minder makkelijk neer konden halen.’

Infrastructuurkwestie

Hij verwacht dat ook de websites van andere Nederlandse provincies werden aangevallen. Of een website bezwijkt onder een ddos-aanval, is vooral een ‘infrastructuurkwestie’, zegt beveiligingsspecialist Elger Jonker. ‘Je richt een site in op basis van het aantal bezoekers dat je verwacht. Een provincie kan soms een piek verwachten, bijvoorbeeld als ze in het nieuws zijn, maar dan heb je niet over 100 miljoen bezoekers, zoals bij een ddos-aanval wel het geval kan zijn.’

Een provincie kan soms een bezoekerspiek verwachten, maar dan heb je niet over 100 miljoen bezoekers, zoals bij een ddos-aanval wel het geval kan zijn.

beveiligingsspecialist Elger Jonker

Bescherming

Op basisbeveiliging.nl houdt Jonker bij hoe goed Nederlandse overheidswebsites zich houden aan de regels en richtlijnen voor cybersecurity. Sommige websites gebruiken anti-ddos-tools, zoals Cloudflare, waarbij het verkeer via deze aanbieder wordt omgeleid. Dat beschermt tegen een plotselinge hausse aan bezoekers. Maar het biedt wel weer een ander nadeel, merkt Jonker op, namelijk dat al het verkeer via een Amerikaanse partij loopt. Dat is het met oog op de nationale veiligheid weer minder ideaal.

Kosten-batenanalyse

Moeten provincies zich kunnen beschermen tegen dit type aanval? ‘Je kunt een kosten-baten analyse doen,’ reageert Jonker. ‘Hoe erg is het als de provincie een dag of wat niet goed bereikbaar is? Dagenlang een ddos-aanval uitvoeren kost ook geld en op den duur is het redelijk makkelijk te achterhalen wie er achter zit.’ De kans is dus groot dat de aanval niet al te lang duurt. ‘Voor een politie of een rijksoverheid geldt een andere afweging.’ Een ddos-aanval is geen hack: de aanvallers komen de systemen niet binnen en richten daar dus ook geen schade aan.

Ook belangrijk om mee te nemen in de overweging: een ddos-aanval wordt meestal ingezet om te irriteren, zoals hier het geval lijkt te zijn, maar het kan ook zijn om een echte cyberaanval te verhullen. Terwijl iedereen denkt goed bezig te zijn om de site weer online te krijgen, voeren de aanvallers hun missie uit.