Drie dagen op rij hadden diverse hogescholen, universiteiten, onderzoeks- en zorginstellingen afgelopen week last van geen of traag internet door een grote DDoS-aanval op het SURF-netwerk, dat door bijna alle onderwijsinstellingen gebruikt wordt om samen te werken op ICT-gebied. Eerder die week was door een cyberaanval op de TU Eindhoven tijdelijk zelfs geen onderwijs mogelijk en moest de tentamenweek worden verplaatst. Ook konden studenten en medewerkers niet bij hun mail.
‘Met een DDoS-aanval probeer je eigenlijk een website of systeem tijdelijk plat te leggen door heel veel internetverkeer te sturen’, legt hoogleraar cybersecurity governance Bibi van den Berg uit. ‘Stel je voor: ik ben klimaatactivist en ik ben heel boos op een bank omdat die nog geld investeert in fossiele brandstoffen. Dan kan ik heel veel data sturen naar die bank, waardoor er zoveel verzoeken bij de website van de bank binnenkomen dat deze uit de lucht gaat. Het is een verstoringsactie.’
Dat is vervelend, maar de schade valt veelal mee, aldus Van den Berg. ‘Zulke aanvallen zijn in principe niet gevaarlijk. Als je het hebt over digitale aanvallen, valt dit in de categorie vandalisme. Het is de digitale variant van een bushokje in elkaar tremmen.’
Klierende tieners
Wie achter de recente aanvallen zit, is onduidelijk. ‘Het zijn vaak klierende tieners, mensen die zin hebben om even iets kapot te maken of mensen met een activistische inslag.’ Maar in sommige gevallen zijn het andere landen die cyberaanvallen uitvoeren op Nederlandse instanties, maar dan gaat het vaker om spionage of sabotage. ‘Het zijn de usual suspects, landen met geopolitieke belangen, zoals Rusland, China, Noord-Korea en Iran.’
In die gevallen kunnen de hackers uit zijn op belangrijke informatie. ‘De universiteit is van oudsher een open gemeenschap: we delen kennis, dagen elkaar uit, stellen vragen en ontwikkelen nieuwe dingen. Maar in de afgelopen vijftien jaar is de keerzijde van die openheid steeds zichtbaarder geworden. Sommige partijen zijn uit op innovatie voor economische en militaire doeleinden.’
Daarom moeten we voorzichtig zijn, vindt de hoogleraar cybersecurity. ‘In veel onderzoeksgebieden is Nederland koploper: nucleaire technologie, watermanagement en dijkbewaking. Internationaal verdienen we daar veel geld mee. Als andere partijen dat overnemen, bijvoorbeeld door spionage, is dat een groot probleem.’
Van den Berg vindt het opvallend dat de cyberaanvallen van afgelopen week voornamelijk op universiteiten in het zuiden van het land plaatsvonden. ‘Het is natuurlijk puur giswerk, maar een van de bedrijven die in Nederland het meest getroffen wordt door cyberaanvallen is ASML – een van de grootste fabrikanten van computerchipmachines in de wereld. Die technologie is veel waard, waardoor andere landen ook wel willen weten hoe je chips moet maken en plannen voor het ontwikkelen van die machines willen stelen. ASML bevindt zich ook in het zuiden van het land en veel omliggende universiteiten hebben banden met het bedrijf. Maar dat blijft speculeren.’
Of de Universiteit Leiden goed beschermd is tegen dit soort aanvallen, kan Van den Berg niet zeggen. ‘Ik ken de achterkant niet van wat wij in Leiden allemaal doen en hoe dat in elkaar geknutseld is. Ik denk dat de universiteit dat ook niet zal vrijgeven. Ik weet wel dat er een migratie plaatsvindt onder vele universiteiten richting de cloud. We zitten bijna allemaal in dezelfde Amerikaanse cloud, en dat maakt je kwetsbaar.’
En dan hoeft het nog niet eens aan de beveiliging van de cloud te liggen. ‘Die is in principe goed beveiligd, maar als gebruikers domme dingen doen, kunnen ze per ongeluk de poort openzetten voor iemand die met een verkeerde intentie kan binnenkomen.’
Domme fouten
Toch wil de hoogleraar geen beschuldigende vinger wijzen richting gebruikers. ‘Mensen kunnen hier niet de hele dag door over nadenken. Die willen gewoon even snel een mailtje typen of een rekening betalen en zijn echt niet bezig met: “Als ik hierop klik, gebeurt er iets gevaarlijks”. We zien ook dat de trainingen over bewustzijn nauwelijks effect hebben. Het is jammer dat we steeds tegen gebruikers zeggen dat ze zich bewust moeten zijn van wat er mis kan gaan, terwijl je eigenlijk aan de achterkant problemen in het systeem moet oplossen zodat mensen minder domme fouten kunnen maken.’
‘Bij “spam” ligt een belangrijke taak bij de IT-afdeling, zodat berichten beter worden opgevangen en de eindgebruiker niet eens bereiken. Dan kan het niet misgaan als een Iraanse prins zegt dat je een erfenis hebt gekregen.’
Van den Berg wil ook niet te veel doemdenken. ‘Als je naar het nieuws kijkt, lijkt het allemaal een grote bak ellende. We worden constant aangevallen, maar de hoeveelheid pogingen staat niet in verhouding tot de hoeveelheid successen. Cyberaanvallen slagen maar zeer zelden. Natuurlijk gaan er weleens dingen stuk, maar dat is niet gek als er elke dag miljoenen mensen achter computers zitten. Het is eigenlijk magisch hoe vaak het goed gaat, kennelijk hebben we het best goed voor elkaar.’