Beveiligen in de cyberwereld: tijd voor de cyberdeltawerken

Afgelopen week kwam de NOS met het nieuws dat vorig jaar bij een botnet-aanval op vele instanties in Nederland, een grote hoeveelheid gevoelige informatie was buitgemaakt. Het trieste is dat deze informatie wel in bezit was van afdeling High Tech Crime van de politie, maar dat er niets mee was gedaan, totdat de NOS aan de bel trok.

In het bericht van de NOS stond: ‘De NOS kreeg toestemming om twee dagen in het gigantische databestand rond te neuzen en vond veel gegevens afkomstig van computers van gemeenten, waterschappen, ziekenhuizen, universiteiten, ministeries, media, ondernemingen en bedrijven die deel uitmaken van vitale infrastructuur zoals energie- en waterleidingmaatschappijen.’ Het gebruikte virus kopieerde allerlei inlogcodes, vertrouwelijke mails, toegangscodes en creditcard-gegevens.

Zo makkelijk is cybercrime dus tegenwoordig. Als het een virus lukt om een systeem binnen te komen, dan is weinig data meer veilig. Tenzij goed versleuteld. En in onze nieuwe cyberwereld helpen ouderwetse firewalls, virusherkenners en andere veiligheidssystemen blijkbaar niet meer. Andere bescherming is dan nodig. Beveiliging die actief op zoek gaat naar vreemde signalen en onverwachte datastromen en onbekende datasets in datastromen herkent.

Het is te vergelijken met hoe we vroeger kastelen en steden beveiligden. Met dikke hoge muren, een gracht en een ophaalbrug kon men heel lang allerlei aanvallers tegenhouden. Op een iets hoger niveau hadden we de waterlinies. We konden grote gebieden land onder water zetten, waardoor een leger niet verder kon trekken. Tenzij het langdurig vroor . . . .
Maar met de komst van het vliegtuig, begin vorige eeuw, waren al deze robuuste verdedigingsmechanismen in één klap gedegradeerd tot iconen uit een ver verleden. Het vliegtuig of een raket kon elk object vanuit de lucht bereiken en aanvallen. Kortom, er ontstond behoefte aan nieuwe verdedigingsmiddelen.

Dit verhaal geldt ook voor de oude informatiewereld van de vorige eeuw, en het huidige nieuwe internet en de cyberwereld. Nieuwe verdedigingsmechanismen zijn nodig. Op dezelfde manier als we nu potentiële aanvallen van vliegtuigen en raketten voorkomen. Met radarsystemen scannen we immers continu en actief de lucht om ons heen af. En weten we wat er rondom ons gebeurt. Zodra we een ongeïdentificeerd object herkennen, schakelen we een actief verdedigingssysteem in. Met bewapende straaljagers of antiraketten proberen we objecten te elimineren. Goedschiks of kwaadschiks.

Gelukkig hebben we in onze nieuwe cyberwereld ook de beschikking over deze verdedigingsvoorzieningen. Een product als Netwitness is zo’n radar dat continu onze netwerken scant op zoek naar ongeïdentificeerde objecten. Of naar signalen die ongewoon zijn of in een context reden kunnen zijn voor wantrouwen. Dat is niet eenvoudig en vraagt een steeds meer Big Data-achtige security-aanpak. En dat is begrijpelijk. Als de aanvaller met nieuwe techniek sneller, geniepiger en heimelijker kan binnen dringen, moet je verdedigingssysteem dat ook kunnen. Heimelijk constant elke data-bit scannen. Stiekem verscholen in het netwerk in- en uitgangen in de gaten houden. Zodra er reden tot gevaar is, direct en schaalbaar in actie komen.

Gezien de snelle opmars van High Tech Crime is het verwonderlijk dat vele organisaties in Nederland – privaat en publiek – nog steeds vertrouwen op een beveiliging uit de vorige eeuw. De ouderwetse kasteelmuur, de ophaalbrug en de waterlinie. Natuurlijk, adequate en up-to-date beveiliging is moeilijk, inspannend en niet goedkoop. In tijden van verminderende IT-budgetten iets waar men mondjesmaat geld voor uittrekt. Maar zoals de onlangs geopenbaarde inbraak laat zien, is onze maatschappij in feite onbeveiligd overgeleverd aan cybercriminelen en hackers. En als we de aanval herkennen, in staat zijn de schade te overzien, zijn er geen automatische procedures die de aangevallenen informeren. Opdat zij hun beveiliging kunnen verbeteren en voorzien van nieuwe passwoorden.

Vooruitstrevende bedrijven zijn reeds tot de tanden bewapend tegen die cybercriminaliteit. Soms omdat het al eens eerder is overkomen en daardoor vanuit de gedachte ‘eens maar nooit weer’ de juiste investeringen deden. Dat zijn o.a. de lessen die EMC en RSA hebben geleerd van eerdere aanvallen. Eens maar nooit weer. Gelukkig zijn er landen, zoals Israël en in toenemende mate ook de VS, die beseffen dat een cyberoorlog ernstige gevolgen voor hun land en hun bevolking heeft. Landen die moderne technieken kopen, installeren en leren te gebruiken. Voorbereid zijn op de komende oorlog, in plaats zich te bewapenen tegen een vorige. Geen tweede Pearl Harbor willen door zich ‘onterecht onbedreigd’ te voelen.

Ik ben bang dat de inbraak die de NOS vorige week in de publiciteit bracht slechts een minimaal topje van een cyber-ijsberg is die zich momenteel onder Nederland aan het vormen is. Erger is dat de onderschepte aanval ‘op de plank’ werd gelegd omdat men niet wist wat er mee te doen. Ik schaam mij als burger voor deze nalatige overheid. Een overheid waar ik trots op wil zijn. Die ik ook wil helpen de modernste systemen te laten gebruiken om met elkaar veiliger te worden.

Maar dan moeten politiek en bestuurders wel begrijpen dat het bouwen van een goede verdediging – net zoals vijftig jaar geleden het besluit tot de deltawerken – visie, inzet en geld vraagt. Ik zou trots op mijn overheid worden als zij zouden besluiten tot een tweede nationaal project: de cyberdeltawerken. De deltawerken hebben ons niet alleen beschermd tegen de zee. Met de nieuwe kennis en kunde die we toen ontwikkelden, bouwden we één van de grootste waterbouwkundige industrieën ter wereld. Het zou mooi zijn als we dat met cybersecurity ook kunnen.

Hans Timmerman, CTO EMC Nederland