'SNMP-lek mogelijk vele malen groter dan affaire-DigiNotar'

AMSTERDAM - Het SNMP-lek bij duizenden organisaties is 'heel ernstig', zegt hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit Nijmegen. 'Dit moet niet kunnen. Het gaat niet om een lek bij een groot bedrijf, maar om een strategische kwetsbaarheid waarmee je dertien duizend bedrijven tegelijk kunt binnendringen. Dan kun je in potentie in één klap de Nederlandse economie platleggen. Voor hoe lang kan ik niet overzien, maar één dag is natuurlijk al te lang.'


Hackers worden steeds inventiever, maar het lek in het zogeheten SNMP - het Simple Network Management Protocol, dat wordt gebruikt om internetsystemen te bewaken - biedt toegang tot besturingssystemen en privacygevoelige informatie op een 'kinderlijk eenvoudige' manier, zegt directeur Ralph Moonen van ict-beveiligingsbedrijf ITSX, dat het lek aantoonde.


Gemakzucht van fabrikanten ligt ten grondslag aan het probeem, stelt directeur Walter Belgers van het cybersecuritybedrijf Madison Gurkha. 'Zij verkopen routers en modems waarop het SNMP-systeem standaard staat ingeschakeld. De gebruiker moet het uitzetten, want velen hebben het niet nodig. Of ze moeten het zodanig configureren dat het extra is beveiligd.'


Veel gebruikers weten dat niet en configureren het apparaat dus ook niet. 'Fabrikanten zouden de gebruiker daartoe moeten dwingen', stelt Belgers, 'zoals ook Windows pas werkt nadat je een wachtwoord hebt ingevoerd. Daarmee zou Nederland een stuk veiliger worden.'


Cisco, een van de producenten van apparatuur waarop het lek veelvuldig is aangetroffen, was gisteravond niet bereikbaar voor commentaar.


Volgens hoogleraar Jacobs is het een goede zaak dat beveiligingsbedrijven als ITSX op eigen gezag lekken in ict-systemen openbaar maken. 'Zonder dat iemand daartoe opdracht had gegeven, hebben wij aangetoond dat de ov-chipkaart niet veilig is.'


Zwakheden in digitale beveiliging vormen een van de grootste bedreigingen voor de economie, stelt het Nationaal Cyber Security Centrum (NCSC). De belangen achter ict-systemen zijn groot. Het betreft niet alleen privacygevoelige informatie, maar ook 'diensten die vitaal zijn voor het functioneren van de Nederlandse samenleving', aldus het NCSC.


Net als identiteitsgegevens en bedrijfsinformatie, wordt ook informatie over lekken in ict-systemen voor grote bedragen verhandeld. Illustratief is de hack, eind 2011, bij de onlinegamingdienst Sega Pass. Van Nederlandse gebruikers van deze dienst werden inlognamen, e-mailadressen en wachtwoorden buitgemaakt en misbruikt voor identiteitsfraude.


Het onlinebetalingsverkeer ligt dagelijks onder vuur van hackers die gaten in ict-systemen opsporen van banken en bedrijven met een onlinebetalingssysteem. In 2011 was de financiële schade door cybercriminelen ruim 74 miljoen euro. Voor zover bekend, want niet ieder bedrijf is verplicht hacks te melden, benadrukt Joost Bijl van het cybersecuritybedrijf Fox-IT. 'Daardoor weten we niet hoe groot het hackersprobleem is, waarschijnlijk is het veel groter dan we vermoeden.'


Het belangrijkste lek in Nederland was dat bij DigiNotar, een certificaatautoriteit waarvan DigiD afhankelijk was. Als gevolg van een hack konden Iraniërs de gegevens van dissidenten achterhalen. De affaire leidde tot een meldplicht voor bedrijven als een hack het maatschappelijk leven kon ontwrichten. Het SNMP-lek is waarschijnlijk nog vele malen groter.


Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden