InterviewDigitale aanvallen

Meer en meer hacks. Waar blijft het crisisgevoel?

Frank Groenewegen verliet Fox-IT onlangs om partner Cyber Risk bij Deloitte te worden. Beeld Jiri Büller
Frank Groenewegen verliet Fox-IT onlangs om partner Cyber Risk bij Deloitte te worden.Beeld Jiri Büller

De invloed van digitale aanvallen op ons leven neemt onmiskenbaar toe. Frank Groenewegen, al vijftien jaar in de digitale frontlinie en als tiener zelf hacker, vraagt zich af wanneer ze eindelijk als zaak van nationaal belang worden gezien.

Neem de lege kaasschappen in de Nederlandse supermarkt. Of het stilleggen van de grootste Amerikaanse oliepijpleiding. De inwoners in Twente die geen aanvraag voor zorg kunnen doen. Of de 96 notariskantoren die onlangs een huisoverdracht of echtscheiding niet konden verwerken. De invloed van digitale aanvallen op het gewone leven neemt onmiskenbaar toe.

Wilt u dit artikel liever beluisteren? Hieronder staat de door Blendle voorgelezen versie.

Voor Frank Groenewegen (36) zou dat geen verrassing moeten zijn. Hij is een van de belangrijkste digitale experts, deed onderzoek bij belangrijke hacks als Belgacom en Digi­Notar, en stuit geregeld op Russische, Iraanse en Amerikaanse spionage. Maar het bezorgt hem hoofdbrekens. ‘Hoe kan het dat we jaar in jaar uit dezelfde waarschuwingen krijgen en dat we toch moeten constateren dat die waarschuwingen elke keer uit­komen en de impact nog groter wordt?’

Twee ontwikkelingen springen in het oog. Criminele groepen uit vooral Oost-Europa en Rusland die met gijzelsoftware organisaties platleggen en losgeld eisen. Dat overkwam logistiek bedrijf Bakker, dat kaas levert aan Albert Heijn. Zes dagen lag het ict-systeem plat en konden er geen vrachtwagens met kaas uitrijden. Het verdienmodel voor de criminelen is geweldig: vaak wordt er betaald, de pakkans is bijzonder laag. Soms krijgen ze bescherming. De leiders van de Russische groep Evil Corp verdienen tientallen miljoenen per jaar en rijden in Lamborghini’s door Moskou.

De tweede ontwikkeling is het roekeloze aanvallen door inlichtingendiensten. Pakken wat je pakken kunt. Overal komt Groenewegen ze tegen: bij ngo’s, bij universiteiten, bij dienstverleners, bij banken. Waar geheime diensten vroeger panisch waren dat hun werkwijze bekend zou worden, opereren ze nu onbeschaamd. En het zijn echt niet alleen de Chinezen en Russen. Iedereen doet eraan mee, omdat het nu eenmaal ontzettend aantrekkelijk is. ­Samenwerken met criminelen is geen taboe. Hij noemt dat de ‘kille ­ratio’ van veiligheidsdiensten: zolang elders toeslaan meer oplevert dan het kost, gaan ze ermee door.

Wat bedoelt u met die kille ratio?

‘Ik kom al jaren bij bedrijven die geraakt zijn door een hack. En ik zie de ernst en de hoeveelheid hacks alleen maar toenemen. We zijn voorlopig niet bij een wapenstilstand. Dat komt doordat de grote spelers te veel belang hebben bij de status quo en de pakkans miniem is. Het gaat onveranderlijk verder op zo’n ongelooflijke schaal. Dat laat zien hoeveel profijt de aanvallende partijen ervan hebben.’

Groenewegen maakte deze verandering van dichtbij mee. Hij was zelf hacker, een kwajongen die met justitie in aanraking kwam. Hij ging aan de slag bij het rebelse Fox-IT, zag de spionagegroepen opkomen, werd hoofd onderzoek en later directielid. Begin dit jaar stapte hij over van Fox-IT naar Deloitte om partner Cyber Risk te worden. Hij had in het coronajaar een tweeling gekregen en wilde een nieuwe stap maken. Hij deed er een belangrijk inzicht op: techniek is niet altijd de oplossing. ‘Het is mij wel duidelijk geworden dat je eerst de bestuurders moet overtuigen om organisaties mee te krijgen in een grote digitale verandering.’

Zijn leven is verweven met internet en de schaduwkant ervan. Dankzij het pc-privéplan van zijn moeder heeft puber Frank al vroeg de beschikking over een Compaq-thuiscomputer. Dat brengt een ongekende luxe met zich mee: voor 50 gulden per maand kan het gezin onbeperkt internet op.

Oudste zoon Frank knoeit met hackmogelijkheden, experimenteert met Linux en chat met onbekenden via IRC. Hij zit in kanalen als ‘chatlords’ en leert via een schoolgenoot hoe hij andermans computers kan overnemen. Als hij een grote mond heeft in het chatkanaal, zet iemand zijn computer ‘uit’ door hem een blauw scherm te geven. Windows zit vol fouten in die tijd, die te gebruiken zijn om andere computers over te ­nemen. En programma’s zoals ‘Winnuke’ maken daar misbruik van.

Niet alleen kwajongens gebruiken het, ook het Pentagon en Nederlandse overheidsinstellingen hebben er last van. Om het middel toe te passen, moet Groenewegen enkel het ip-adres van de computer weten. Een peulenschil in een tijd zonder smartphones: het ip-adres is dan nog de computer zelf.

De mavo voldoet hij plichtmatig. Meer aandacht gaat naar de computer thuis. Begrijpt hij iets niet, of loopt de computer vast, dan zet hij het ding achter op de fiets en gaat naar de ­kabelprovider. De directeur daarvan belt op zeker moment zijn moeder. De provider is geïnformeerd door de Amerikaanse FBI die op zijn beurt is gealarmeerd door de nationale bank van Zuid-Afrika. In de logbestanden daar is het ip-adres van Groenewegen gezien. De moeder begrijpt er niets van en geeft de telefoon aan haar zoon. Die hoort het verhaal aan, realiseert zich welke problemen op hem afkomen en bedenkt een uitweg.

Groenewegen weet dat er een virus rondgaat dat misbruik maakt van andermans computers. Daarvoor moet een slachtoffer een zogeheten ‘poort’ hebben openstaan. Standaard staat die poort echter dicht. Groenewegen: ‘Maar die heb ik snel opengezet.’ De directeur stelt opgelucht vast dat dit de verklaring voor de aanwezigheid voor zijn ip-adres moet zijn. Installeer je computer maar opnieuw, zegt hij tegen Groenewegen.

Je zou kunnen zeggen: er is weinig veranderd. Behalve dat u toen hackte en nu op de hackers jaagt.

‘Toch wel. Jonge hackers zijn nog steeds onbezonnen, net zoals ik dat was. Alleen zijn er nieuwe soorten bij gekomen: staatshackers, criminele hackers, ethische hackers. Destijds gebruikten alleen Rusland en de Verenigde Staten internet in hun voordeel. Nu zijn er talloze landen die hacken en vele criminele groeperingen.’

Welke landen zijn het actiefst?

‘De vier landen die veel genoemd worden – Iran, Noord-Korea, China en Rusland – kom ik het vaakst tegen. Maar ik zie ook weleens Amerikanen. Of Turkse hackers. De Verenigde Staten, China en Rusland zijn de wereldspelers, maar alle landen kunnen professionele hackcapaciteiten kopen of inhuren.’ Voorbeeld: de hack van de e-mailcommunicatie tussen toenmalig first lady Michelle Obama en sjeika Monza, de vrouw van de voormalige emir van Qatar. Die werd gekraakt door oud- medewerkers van de Amerikaanse NSA, die met veel geld waren verleid om voor Abu Dhabi te gaan werken.

Toch horen we het meest over China en Rusland. Terecht?

‘Die twee kom ik ook het meest tegen in onderzoeken.’

Wat kenmerkt hun gedrag?

‘China is zo roekeloos. Neem het lek in de Exchange Server, de veelgebruikte mailserver van Microsoft. Nadat dit werd ontdekt, zijn Chinese groepen massaal software gaan achterlaten op getroffen servers om op afstand toegang te krijgen. Zo massaal dat het opvalt, maar dat lijkt ze niet te deren.De pakkans is nihil, sancties worden niet ingezet.’

Waaruit blijkt dat er sprake is van een escalatie tussen landen?

‘Op twee manieren. Als je tien jaar geleden had gezegd dat Noord-Korea zichzelf overeind zou houden door hackers online banken te laten beroven, zou je voor gek zijn verklaard. Nu zie je het hele spectrum van aanvallen via internet gaan: economische en politieke spionage, beïnvloeding, ­sabotage. En ten tweede: de schaal is ongekend. Inlichtingendiensten doen vier hacks in een nacht. Dat is in de fysieke wereld onmogelijk. Ze ­hacken in Duitsland, Brazilië en Kenia op hetzelfde moment en sluizen in minuten honderden terabytes aan informatie weg. Vergelijk dat met de klassieke spionage: naar binnen sluipen en met een minicamera enkele foto’s nemen uit een multomap. Die meesmokkelen over de grens en later printen. Nu gaan hele afdelingen met multomappen in seconden de wereld over. Ongekend.’

Hoe vaak komt u westerse diensten tegen?

‘Ik zie weleens Amerikaanse, Engelse of Franse spionage. De NSA of CIA kom ik vaker tegen. Niet specifiek in Nederland, maar daarbuiten. De CIA zag ik bijvoorbeeld bij een slachtoffer in Europa. Ze zaten op een heel slimme plek, waardoor ze in één keer iedere persoon op internet konden bestoken.’

Hoe verschillen zij van de Chinezen en Russen?

‘Ze vallen gerichter aan en zijn zo geavanceerd. Je hebt meerdere diensten en vertrouwelijke samenwerkingen met bedrijven nodig om de puzzel te kunnen leggen. Gelekte documenten zoals van Edward Snowden helpen ook om bepaalde methoden te herkennen.’

Met hun werk verstoren specialisten als Groenewegen geheime operaties. Ze mengen zich in zaken die eigenlijk niet publiek mogen worden. Dat lokt tegenreactie uit. Groenewegen maakte het mee bij Fox-IT toen het bedrijf technische claims van de Turkse inlichtingendienst weersprak. Daarop vielen vermoedelijk Turkse hackers Fox-IT aan en slaagden ze erin het ClientPortal binnen te komen en enkele documenten te stelen.

Zijn private partijen vaker doelwit?

‘Ja, vroeger kwam het inlichtingenspel zelden aan de oppervlakte, nu zitten private partijen midden in de strijd. We zien te pas en te onpas ­staten voorbijkomen. Ik denk alleen niet in geopolitieke belangen. Ik rapporteer wat ik zie.’

Ook als u de AIVD tegenkomt?

‘Jazeker.’

Bent u die weleens tegenkomen?

‘Niet dat ik weet.’

De Cyber Security Raad waarschuwt dat Nederland niet langer digitaal autonoom is en adviseert ruim 800 miljoen euro te investeren in digitale veiligheid. Inlichtingendiensten AIVD en MIVD vragen ook een flinke som geld. Is dat een manier om weer greep te krijgen? Groenewegen wijst naar de Verenigde Staten. Een deel van de Amerikaanse overheid en tientallen bedrijven werden gehackt door de Russische buitenlandse dienst SVR. ‘Er gaan miljarden euro’s naar digitale veiligheid in de Verenigde Staten. Ze hebben de beste inlichtingendiensten en beste cyber­securitybedrijven en toch kon niemand die hack voorkomen.’

Wat zegt dat?

‘Inlichtingendiensten en private bedrijven zijn nog steeds onvoldoende in staat om te zien wat er gebeurt. Iedereen is bezig met een bepaald deelterrein en ziet net wat anders. Daarom is informatie delen zo belangrijk. Geld alleen is niet zaligmakend.’

Wat moet er dan gebeuren?

‘Meer samenwerking tussen overheid en bedrijfsleven, meer zorg voor basale digitale veiligheid en meer regie. Maar dat zijn inmiddels cliché-antwoorden. Waar het echt om gaat is: er is nog steeds een te groot verschil tussen de technische praktijk en de theorie. De taal van de techneut wordt niet begrepen.’

Wat bedoelt u daarmee?

‘Neem Huawei. Relevant is: kunnen Chinese medewerkers bij klantdata van Nederlanders? Om de antwoorden van telecombedrijven en een ­minister te begrijpen, moet je de techniek kennen. Anders houdt het gesprek op.’

Hoe lossen we dat kennistekort op?

‘Nerds moeten met bestuurders praten. En, dit klinkt misschien gek: techniek is niet altijd de oplossing. Na een hack is de eerste reactie: de systemen verbeteren. Meer monitoring. Mooi, maar als bestuurders die techniek en de urgentie ervan niet snappen, is een bedrijf op langere termijn niet veiliger.’

Hoe wordt die urgentie duidelijk?

‘Als het een zaak van nationaal belang wordt. Toen advocaat Derk Wiersum werd vermoord, werd georganiseerde misdaad een nationale kwestie. Wat moet er gebeuren voordat digitale onveiligheid dat wordt? Een platgelegd ziekenhuis? Een dagenlange stroomstoring?’

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden