Hoe lang is deze dam nog veilig voor hackers?

Vitale infrastructuur wordt steeds vaker gehackt. Tot nu toe zonder grote gevolgen. Maar: 'Het kan elk moment overal vandaan komen.'

De Oosterscheldekering in Zeeland. Op een conferentie over digitale beveiliging deze week in San Francisco klonken apocalyptische scenario's. Foto Raymond Rutting

Vergeet de klassieke terroristische aanslag. Het nieuwste onheil komt van hackers en richt zich op elektriciteitscentrales, ziekenhuizen, bruggen, dammen en kernreactoren. Het is niet de vraag óf de vitale Amerikaanse infrastructuur bestookt zal worden, maar wannéér, zei NSA-baas Michael Rogers deze week in San Francisco. 'Daar lig ik wakker van.'

De waarschuwing van Rogers, tevens baas van het Amerikaanse militaire Cyber Command, staat niet op zich. Overal in San Francisco klinkt tijdens 's werelds grootste conferentie voor digitale beveiliging dezelfde apocalyptische boodschap. Alex Dewdney, binnen de Britse inlichtingendienst verantwoordelijk voor de digitale veiligheid: 'We hebben heel veel geld besteed aan onze digitale weerbaarheid, maar het heeft niet gewerkt. We winnen niet.'

Tal Steinherz, adviseur van de Israëlische premier Netanyahu: 'Er kunnen doden vallen als een aanval op vitale infrastructuur slaagt.' Michael Daniel, de belangrijkste adviseur van president Obama voor digitale veiligheid: 'Het Westen heeft internet veertig jaar gebruikt voor eigen gewin; zowel militair als voor het verspreiden van westerse waarden. Maar nu dreigt het een gevaar te worden. Ik heb vooral zorgen over de vitale infrastructuur.'

Duitse staalfabriek en Oekraiënse stroomstoring

Zijn deze zorgen reëel? Kunnen hackers inderdaad ziekenhuizen en elektriciteitscentrales platleggen? Of wordt de dreiging van dit soort aanvallen om politieke en financiële redenen grootser voorgesteld? Veiligheid is immers een miljardenbusiness. In november waarschuwde de Britse minister George Osborne voor 'dodelijke digitale aanvallen' door Islamitische Staat. Althans: hij zei te weten dat ze die intentie hebben. En passant kondigde hij de oprichting van een Nationaal Cybercentrum aan, plus een verdubbeling van het miljardenbudget voor digitale veiligheid.

Feit is dat de voorbeelden er zijn. In december werd bekend dat een groep hackers die gelinkt is aan de Iraanse overheid, in 2013 het controlesysteem van een kleine dam buiten New York was binnengedrongen. Er gebeurde niets, maar de schrik was groot.

De Duitse politie vertelde in 2014 dat hackers 'substantiële' fysieke schade hadden veroorzaakt bij een staalfabriek. Via een e-mail met malware waren ze via het normale bedrijfsnetwerk bij het productienetwerk gekomen. Het gevolg was dat een fabrieksoven niet meer uitgezet kon worden, wat weer voor verdere schade zorgde.

En het meest besproken is een incident in Oekraïne. Op 23 december 2015, om half acht in de avond, werd Oost-Oekraïne getroffen door een stroomstoring die 225 duizend mensen trof. Het werk van hackers, concluderen onderzoekers. En in San Francisco voegen Amerikanen daar nog aan toe: van Russische hackers.

Foto Wikimedia Commons

BlackEnergy

Het is het eerste concrete geval waarbij hackers daadwerkelijk een stroomstoring veroorzaakten. Volgens een rapport van het Amerikaanse Homeland Security waren drie centrales besmet met malware, genaamd BlackEnergy. Deze malware werd eerder gebruikt voor aanvallen op de NAVO, Oekraïense en Poolse overheidsinstellingen en diverse Europese bedrijven.

Het Amerikaanse Wired beschrijft wat de hackers tijdens de aanval deden. Terwijl één van de technici naar huis wilde gaan, zag hij de cursor van zijn muis ineens over het beeldscherm gaan naar de schakelaar van een elektriciteitsvoorziening. De cursor klikte deze aan en zette de schakelaar uit. Een venster verscheen in beeld om de actie te bevestigen. De cursor klikte op 'bevestig'.

De Oekraïense technicus rende naar zijn computer en probeerde de muis te bewegen, maar die reageerde niet. In plaats daarvan logde de computer hem uit. De man probeerde wanhopig weer in te loggen, maar de hackers hadden zijn wachtwoord al veranderd. Het enige wat hij kon doen is kijken hoe dertig elektriciteitsvoorzieningen één voor één werden uitgezet.

Tekst gaat verder onder de foto.

Foto Wikimedia Commons

Nadat de aanval was geslaagd en de stroom uitviel, volgde fase twee. Die zorgde ervoor dat het opnieuw starten van de energiecentrales werd gehinderd, onder meer door de reservevoorziening ook uit te schakelen. Ook werd de telefooncentrale overbelast door een overdaad aan nep-telefoongesprekken. Echte klanten konden daardoor niemand bereiken. Hoewel de uitval tot maximaal zes uur duurde, was de schade aan het operationele systeem enorm.

Een van de onderzoekers tegen Wired: 'Het was een briljante aanval. De planning, de duur, de uitvoering: het was van een heel hoog niveau.'

Makkelijk te hacken kantoornetwerken

Ook in kwantitatieve zin lijkt de dreiging van dit soort aanvallen daadwerkelijk groter te worden. In een jaar tijd rapporteerde de Amerikaanse overheid 295 hackincidenten bij netwerken voor vitale infrastructuur. Dat is een stijging in een jaar van ruim 20 procent.

Dat de dreiging groeit, komt door een snelle ontwikkeling in de vaak oude voorzieningen. Eigenaren zijn, tegen het advies van hackers en beveiligingsbedrijven in, hun oude systemen aan internet gaan koppelen. In de Verenigde Staten zijn nu 57 duizend infrastructurele systemen via internet verbonden. Zo kan het dat vijftig jaar oude bruggen, die met simpele computersystemen werden bediend, nu ineens in een online- netwerk hangen.

Handig voor de brugbeheerder die vanuit huis of kantoor bruggen wil controleren op storingen, maar ook een veiligheidsrisico. Veel bedrijven koppelen de infrastructuur namelijk aan het simpele, en makkelijk te hacken, kantoornetwerk en brengen geen scheiding in netwerken aan. Een hacker die het kantoornetwerk binnendringt, kan zo eenvoudig het netwerk voor de bediening van een fabriek, dam of elektriciteitscentrale binnengaan.

En communicatie via draadloze verbindingen is kwetsbaar en hackbaar. Voorbeelden te over: auto's, barbiepoppen, waterkokers, thermostaten en er is zelfs de claim van een gehackt vliegtuig.

Hackers gebruiken allerlei manieren om binnen te komen. Mensen zijn daarbij het makkelijkste doelwit. Die klikken op besmette e-mailbijlagen, gaan naar geïnfecteerde websites of gaan zelf de fout in.

Begin 2014 ontdekte een Japanse medewerker van de Monju kerncentrale bij toeval merkwaardig gedrag in het besturingssysteem van de centrale. Oorzaak: op één van de pc's was kwaadaardige software geïnstalleerd, vertelt een Russische onderzoeker. Dit kon gebeuren doordat vijf dagen daarvoor één van de ingenieurs een simpele, met internet verbonden, mediaspeler aan zijn computer had verbonden om muziek te luisteren. Ongemerkt was middels een update de kwaadaardige software via de mediaspeler op de computer gezet.

De Monju-kerncentrale Foto anp

Twee categoriën

In Nederland heeft de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) een lijst opgesteld met vitale delen van de infrastructuur. De impact van aanvallen hierop wordt in twee categorieën gemeten.

Categorie A betekent dat de economische gevolgen meer dan 50 miljard euro bedragen, er meer dan 10 duizend mensen dood of ernstig gewond raken, of meer dan 1 miljoen mensen emotionele problemen ondervinden.

In categorie B zijn de gevolgen een factor tien minder erg. De olievoorziening, de waterkering, de drinkwatervoorziening, maar ook bijvoorbeeld KPN vallen in categorie A. Het overnemen van de Oosterscheldekering in Zeeland tijdens een noordwesterstorm om zo het sluiten ervan te hinderen, zou een gigantische impact hebben.

Hoewel inlichtingendienst AIVD geen 'concrete' aanwijzingen heeft voor een aanval op deze sectoren, neemt de waarschijnlijkheid van 'cyberterrorisme' volgens de dienst wel toe. Geavanceerde malware is steeds makkelijker beschikbaar, ook voor jihadistische groeperingen. En de software die gebruikt wordt voor het beschermen van industriële installaties blijkt hackbaar te zijn. Na Oekraïne zeiden Amerikaanse onderzoekers dat de systemen daar 'verrassend veel veiliger' waren dan vele infrastructurele systemen in het Westen.

Tekst gaat verder onder de foto.

Het overnemen van de Oosterscheldekering in Zeeland tijdens een noordwesterstorm om zo het sluiten ervan te hinderen, zou een gigantische impact hebben. Foto anp

De Amerikaan Bob Griffin werkte sinds 2011 aan verschillende Europese onderzoeken naar hackpogingen van vitale infrastructuur. Hij ziet een 'lange reeks' van aanvallen op 'olie-, water- en stroomvoorzieningen'. Er kunnen volgens hem twee redenen zijn: politiek en crimineel.

Politieke hackers hebben belang bij een zo groot mogelijk effect. Online ten strijde trekken is een stuk goedkoper en simpeler dan in de fysieke wereld. En hoewel het in San Francisco vooral gaat over Iraanse, Russische en Chinese tegenstanders, bewapent ook het Westen zich. De Amerikanen steken miljarden in offensieve digitale operaties waarbij het overnemen, frustreren of uitschakelen van installaties het doel is, zoals de aanval op een nucleaire faciliteit in Iran in 2010.

En ook Nederland heeft sinds september 2014 een 'cyberleger'. Niet voor het beschermen van vitale infrastructuur, maar om indien nodig digitale operaties uit te voeren.

Geopolitiek

De aanval in Oekraïne was volgens Griffin duidelijk geopolitiek gemotiveerd en zeer goed voorbereid. Griffin zegt dat malware BlackEnergy al twee jaar eerder in een Siemensfabriek in Duitsland in computeronderdelen werd ingebracht, om later actief te kunnen zijn. BlackEnergy is ook al een paar keer aangetroffen in Amerikaanse systemen.

Criminele hackers willen niet zozeer impact maar geld. Ze proberen toegang te krijgen tot gevoelige systemen, om die vervolgens offline te halen of te versleutelen. De eigenaren worden daarna afgeperst. Een ziekenhuis in Los Angeles betaalde twee weken geleden 17 duizend dollar aan hackers, nadat die de computersystemen offline haalden. Meer dan een week had het ziekenhuis last van de aanval.

Raj Samani, vicepresident van Intel Security en als zodanig verantwoordelijk voor Europa, het Midden-Oosten en Afrika, vindt dat alle waarschuwingen voor apocalyptische toestanden nuance behoeven. Samani: 'Het bewijs ontbreekt om te concluderen dat dit daadwerkelijk het grote gevaar is zoals dat nu wordt voorgesteld. We moeten geen angst creëren, maar kijken hoe we ervoor kunnen zorgen dat we onze systemen gaan vertrouwen.'

Drie echte voorbeelden van het hacken van vitale infrastructuur zijn er volgens hem pas. Oekraïne dus, de staalfabriek in Duitsland en de Amerikaans-Israëlische aanval op een nucleaire faciliteit in Iran. De rest van de gevallen zijn mislukte pogingen of het werk van criminele hackers. Samani: 'Ik begrijp het wel. Dit gaat niet over bits en bytes, maar over impact. Daarom wordt er zoveel over gepraat.'

Hoe groot de risico's echt zijn, weet niemand volgens Samani. 'Dat is vragen om transparantie in een wereld waarin dat niet bestaat. Het kan op elk moment en overal vandaan komen. In deze wereld steken mensen niet met tanks en vlaggen de grens over.'

Raj Samani (links). Foto Flickr, Security & Defence Agenda
Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.