Dutch IT Leaders Logo mobile
Search icon
HR | Talent | Diversity Future of Business Technology Culture & Leadership Sustainability | Green IT
Redactie - 24 januari 2017

Feilbare techniek?

Security Infrastructuur
Feilbare techniek? image

Vorige week was er weer een flinke storing in de elektriciteitsvoorziening in de regio Amsterdam. Ruim 360.000 huishoudens zaten uren zonder stroom maar ook trein, tram en metro stonden stil, net zoals de verkeerslichten en de brug- en vaarwegsystemen. Enkele weken geleden werd een stuw in de Maas bij Grave door een binnenschip in dichte mist zo ernstig beschadigd, dat de scheepsvaart vele weken onmogelijk werd. Op dit moment wordt een nooddam gebouwd, omdat de reparatie van de stuw zeker een half jaar gaat duren.

New York
De politiek stelt vragen over de kwetsbaarheid van infrastructuren en wil verbeteringen. Maar hoe kwetsbaar zijn we eigenlijk? Een technisch deskundige van Rijkswaterstaat memoreerde dat met drie incidenten in honderd jaar en ruim 9000 scheepsbewegingen per jaar er eigenlijk geen reden is om stuwen extra te beschermen. Zekerheid kost geld, het is een verzekeringspremie die je moet betalen en hoe ver wil je daar in gaan. Wat is genoeg?

Elke stad is kwetsbaar omdat heel veel mensen en infrastructuur bij elkaar zijn gebracht. Toen in 1977 de elektriciteitsvoorziening in New York uitviel zat de stad 25 uur zonder stroom. Door ontregeling van het autoverkeer had de brandweer moeite branden te bereiken. De beurs en banken waren gesloten. De voedselvoorziening was verstoord omdat liften, diepvriezers en bezinepompen niet meer werkten. We zijn steeds afhankelijker geworden van stedelijke infrastructuren, waarvan we het altijd 100 procent functioneren als vanzelfsprekend ervaren.

Kwetsbaar
Hoe kwetsbaar is onze infrastructuur? Tijdens een hacking conferentie over de cybergevaren voor onze infrastructuur stelde een onderzoeker dat van de 879 keer dat wereldwijd de elektriciteitsvoorziening grootschalig uitviel, eekhoorns en vogels de belangrijkste saboteurs waren. Door geknaag, nestbouw en uitwerpselen. December 2015 viel een nucleaire centrale bij New York uit omdat langdurig uitgeworpen uitwerpselen van vogels een kortsluiting hadden veroorzaakt. Zoals een onderzoeker op de hacking conferentie terecht zei: ‘35 jaar of cyber war en de eekhoorns winnen nog steeds.’

Het elektriciteitsnet in de VS is zeker kwetsbaar. Uit een studie bleek dat als negen (!) goed uitgezochte onderstations van de 55.000 onderstations in de VS zouden worden vernietigd, er een black-out van 18 maanden zou ontstaan. Wat men noemde: een democratie-vernietigende gebeurtenis. Cyberattacks tegen de infrastructuur, zoals laatst in Oekraïne, leveren wel storingen op maar die zijn na enkele uren meestal weer verholpen omdat er geen harde infrastructuur is vernietigd.

Ketens van afhankelijkheden
Onze infrastructuur wordt mede kwetsbaar door de ketens van afhankelijkheden die bij een storing kunnen ontstaan. De gemeente Amsterdam onderzoekt momenteel de sterfgevallen die plaatsvonden tijdens de afgelopen stroomstoring. Omdat de hulpdiensten niet meer bereikbaar waren, kon niet op tijd ambulancehulp worden verleend. Kon vroeger onze telefoon met zijn eigen stroomvoorziening naar elk toestel op noodstroom ‘gewoon’ bereikbaar blijven, internet-telefonie is veel kwetsbaarder als de stroom uitvalt.

Nu is alles te verzekeren. We kennen dat in de wereld van informatievoorziening als geen ander. Gevoelige systemen kunnen dubbel, driedubbel en gefedereerd worden opgebouwd om het risico van uitval of dataverlies te minimaliseren.

We bouwen tegenwoordig al datacenters waarbij met zogenaamde air-gap techniek de glasvezel via een digitale sluis fysiek wordt losgekoppeld van de kluis waar de ‘gouden bedrijfsdata’ wordt bewaard. Om maar extra zekerheid te scheppen dat de meest strategische data niet gehackt of gecorrumpeerd kan worden. Geïsoleerde, digitale eilanden in wereldwijde informatieketens, net zoals we vroeger kastelen bouwden met slotgracht en ophaalbrug, maar nu in een digitale versie.

Bewapening
Het is niet meer alleen de diefstal van data waar men zich zorgen om maakt. Ransomware en gerichte cyberattacks kunnen informatieprocessen verstoren met slechts disruptie als doel. De dreiging hiermee kan ook tot afpersing leiden, hetgeen we op dit moment in de medische wereld hebben zien gebeuren: tegen betaling leggen we uw ziekenhuis niet plat.

Zoals het Infosecurity magazine berichtte: Locky, Petya, TeslaCrypt – allemaal typen ransomware die het nieuws in 2016 domineerden. Vele hacks en cyberaanvallen zoals de miljarden die bijna werden weggesluisd na een hack van het Swift-betaalnetwerk, de Panama Papers, de gestolen e-mails van Hillary Clinton en de duizenden ziekenhuizen, gemeentes en bedrijven die wereldwijd slachtoffer werden van ransomware. Onze infrastructuren moeten we bewapenen tegen piraten, rovers en vijandige groepen en landen. Dat waren we niet gewend op dat eens zo vredige en rustige internet.

Kustvaart versus wereldzeeën
Toen wij in het verleden nog slechts kustvaart kenden, deden we handel met bekende handelssteden en was bewapening nauwelijks nodig. Maar toen we de wereldzeeën gingen bevaren, werd bewapening heel gewoon. Bij de kosten van een schip was de installatie van bewapening ingecalculeerd. Ver van huis was je kwetsbaar en waren de gevaren die je tegenkwam serieus en dodelijk.

Onze digitale wereld kent tegenwoordig ook wereldzeeën waar we toch willen blijven varen. Dat betekent dat actieve verdediging en dus bewapening een vast onderdeel van het vaartuig moet zijn waarmee we over het internet surfen. In de grondwet van de VS is het recht van zelfbescherming opgenomen en mag iedereen zich zonder meer met eigen (digitale) wapens actief beschermen. In Europa ligt het recht wapens te gebruiken volledig bij de overheid, maar die is (nog?) niet in staat iedereen digitaal te beschermen. Een ethische kwestie: mag je bij een DDoS-aanval actief de providers plat leggen via wie de aanval verloopt?

Voorzichtig
In dit (zeer lezenswaardige) artikel van de Correspondent wordt verslag gedaan wat een hacker allemaal van je te weten kan komen als je op een openbaar Wi-Fi netwerk inlogt. Schokkend om te zien dat je hele inhoud van je smartphone, je internetbestanden, je Facebook-, Tumbler-, LinkedIn- en Twitter-accounts eenvoudig worden geopend en inloggegevens kunnen worden bekeken en zelfs worden veranderd.

Internet en veel Wi-Fi netwerken zijn open, onbeveiligde verbindingen waar je zelf voor beveiliging en actieve veiligheid moet zorgen. Je vervoert immers je geld en je vertrouwelijke documenten ook niet over de openbare weg met een open en voor iedereen toegankelijke aanhanger achter je auto. Waarom doen we dat op de digitale snelweg dan wel?

Door: Hans Timmerman, CTO van Dell EMC Nederland

Dutch IT events

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events