Nationale aanpak nodig voor complexe ict-problematiek

De Nederlandse ict-infrastructuur is ­kwetsbaar. Boze hackers, kwaad­willende organisaties of ­vijandige landen kunnen enorme schade veroorzaken. Een boze puber kan al makkelijk websites saboteren. En de ­kwetsbaarheid neemt toe.

Gemakkelijk saboteren

De Nederlandse ict-infrastructuur is kwetsbaar, blijkt uit onderzoek van hoogleraar internet security Aiko Pras. En om daar misbruik van te maken, is niet eens veel kennis nodig: zelfs beginnende hackers kunnen vrij gemakkelijk een site saboteren. De maatschappij wordt steeds afhankelijker van de digitale infrastructuur, zonder dat er goed wordt nagedacht over de nadelen daarvan, waardoor de kwetsbaarheid steeds groter wordt.

Toegang tot netwerk

Het onderzoek dat Pras met zijn team van de Universiteit Twente verrichtte, draait om netwerken waar bijvoorbeeld energiecentrales, waterleidingen en bruggen mee worden bestuurd (in vak­jargon worden dat ICS- en SCADA-netwerken genoemd). De apparatuur die hiervoor gebruikt wordt, lijkt op laptops en telefoons in de zin dat het manieren zijn om toegang te krijgen tot een netwerk. Maar laptops en telefoons krijgen voortdurend updates en zijn dus goed beveiligd.

Geen updates

‘Iets dat waterdruk voor pompen controleert en gemaakt is voor tien jaar gebruik, krijgt vaak geen software-updates’, zegt Pras. ‘De fabrikant doet wel iets, maar dat gaat traag. ‘Zelfs áls de kwetsbaarheid bekend is, en er is een update beschikbaar, dan kun je nog steeds de afweging maken dat het vervelend is als de druk even wegvalt in Enschede en het daarom niet doen.’

Laten aanvallen

Het probleem is niet alleen die apparaten zelf. Simpele gehackte ­apparatuur kan ook worden gebruikt worden om netwerken te saboteren. ‘Ik heb bijvoorbeeld 21 zonnepanelen op het dak die aangesloten zijn op optimisers. Dat soort kastjes kan met het internet praten. Die dingen kun je laten aanvallen door zoveel mogelijk informatie te laten sturen zodat niets meer reageert.’ Dit zijn de zogeheten DDoS-aanvallen. Er zijn al websites waar onervaren mensen zulke aanvallen kunnen kopen om een site te saboteren. Een ervaren hacker, kwaadwillende organisatie of vijandig land zou veel meer kunnen.

Te ingewikkeld

Voor deze complexere problematiek moet volgens Pras een nationale aanpak komen. ‘Ik denk dat je op een gegeven moment moet accepteren dat dingen te ingewikkeld zijn en nationale organisaties moet opzetten. Het hoeft niet eens een overheidsorganisatie te zijn, maar de overheid moet de spelregels bepalen.’

Opa leest voor

Hij laakt daarbij de houding van de rijksoverheid. ‘Ik heb Opstelten de internationale cybersecurityconferentie NCSC One zien openen alsof hij een opa is die voorleest uit andermans werk. Hier een agenda, daar een plan, dus ga gerust slapen. Het staat zo ver weg. Wat ik niet zie, is een plan vanuit het ministerie.’

Overheid moet er beter induiken

Volgens Pras is de neiging om het over de schutting te gooien. ‘We doen alles met publiek-private samenwerking, maar de overheid heeft zelf geen visie en dan is het pure uitbesteding. Bedrijven zoals KPN en Ziggo gaan er dan geld aan verdienen en daar is niets mis mee: de rol van providers is om ons gewoon aan te sluiten op het internet. Ze kunnen wel zorgen voor beveiliging, maar dat doen ze niet als niemand het ze vertelt. De overheid moet er beter induiken en spelregels bepalen.’

Scala aan maatregelen

Er kan bijvoorbeeld een afspraak gemaakt worden met providers dat sommige netwerken niet buiten Nederland te bereiken zijn. Waarom zouden interne systemen van overheden, voor bijvoorbeeld pompen of sluizen, vanuit het buitenland bereikbaar moeten zijn? En er is volgens Pras bovendien een ‘scala aan maatregelen’ waarmee providers kunnen zorgen dat de belangrijke apparatuur alleen met elkaar kan praten. Het wordt dan een Virtual Private Network.

Abnormaal gedrag

‘Zie het als een bedrijventerrein. Er staat een groot hek omheen, waardoor je er niet zomaar in kunt. Er zijn een paar goed bewaakte plaatsen waar mensen monitoren of het goed gaat en in kunnen grijpen als er abnormaal gedrag vertoond wordt. Stel, er komt een Chinees binnen via een computer die op dat afgesloten netwerk zit. Zodra hij gaat scannen wat er allemaal op dat netwerk te doen is, is dat op te merken als abnormaal gedrag.’

Huiselijke apparatuur

Het probleem van kwetsbaarheid wordt voorlopig alleen maar groter met het Internet of Things, waar de kleinste huiselijke apparatuur op kan worden aangesloten. Heel gemakkelijk, maar zonder de juiste beveiliging zeer kwetsbaar voor misbruik. ‘Dat hangt aan het internet totdat het misgaat’, zegt Pras. ‘Want wie gaat regelmatig de software van een lamp updaten?’

Dit is de ingekorte versie van een bladartikel. Lees het volledige verhaal in Binnenlands Bestuur nr. 16 van deze week (inlog)