Nieuwe Revu, nr 27, 2 juli 2008
Door Wim van de Pol
We raken steeds meer afhankelijk van internet en elektriciteit. Toch heeft Nederland zich nauwelijks beveiligd tegen terroristen en hackers die deze netwerken proberen te saboteren. Reden: Hollandse zuinigheid.
Door aanvankelijk onbekende oorzaak viel begin mei een deel van het KPN-netwerk stil. Zakelijke gebruikers van KPN-providers als XS4ALL waren dagenlang verstoken van internet. Geen e-mail ontvangen, deadlines missen, geen opdrachten binnenkrijgen, geen facturen versturen. Ook een deel van het pin-betalingsverkeer lag eruit want dat loopt ook over internet. Nog steeds zijn er door de storing particulieren verstoken internet. Wie zijn werknemers of collega’s op dit soort dagen collectief niets ziet doen krijgt een idee hoe verlammend het wegvallen van internet voor de hele samenleving kan zijn. Het is erger, als internet uitvalt komt de Nederlandse economie tot stilstand. Internet valt uit als de electriciteit uitvalt. Bij een stroomstoring kan de samenleving verlammen en vervallen tot een kreupel ratjetoe van bijna 19de eeuwse dimensies. Geen treinen, geen verlichting, geen telefoons, geen stoplichten, geen alarmsystemen. Daar komt bij dat de politie zijn communicatienetwerk verliest. Op straat geldt het recht van de sterkste. De mens is weer aangewezen op zichzelf, omringd door zinloze computerkasten en duizenden kilometers zwijgende kabel. Wie nog batterijen en een radio heeft moet luisteren naar de regionale rampenradio. Maar nee, dat kan niet meer als de electriciteitscentrale bij Hilversum is uitgevallen. Want zonder de zender op het Hilversumse mediapark ook geen regionale rampenradio. Zoiets heeft alles weg van een klassieke doomsday film uit Hollywood. In Die Hard IV (2007) zet een gefrustreerde beveiligingsexpert alle stoplichten in Washington DC op groen. Verder legt hij de beurs plat en zelfs de stroomvoorziening. Bruce Willis moet alles uit de kast halen om Amerika te redden. Ondertussen, in de echte wereld, opende de NAVO eind mei in de Estse hoofdstad Tallinn het ‘Cooperative Cyber Defense Center of Excellence’. Dat is een cyber-laboratorium waar white hats aanvallen van black hats (cyber-terroristen) op belangrijke netwerken leren afslaan. Is dit niet een beetje overdreven? Niet echt. Nederlandse ambtenaren hebben doemscenario’s opgesteld. Daarin staan mogelijke ketens van oorzaak en gevolg beschreven waarin het ene na het andere netwerk de geest geeft. Het gaat om griezelige scenario’s als: ‘Om 10.07 valt de Diemer electriciteitscentrale uit. Hierdoor ligt om 10.30 het vaste telefoonnet in Noord-Holland stil. Ziekenhuizen schakelen over op noodaggregaten.’ De conclusie is: het hoeft maar één keer goed mis te gaan en de schade aan de samenleving is bijna niet voorstelbaar. De Nederlandse vitale infrastructuur bestaat uit 11 sectoren en 31 producten en diensten. Het zijn de systemen die Nederland nodig heeft voor het dagelijks leven. De belangrijkste zijn: (drink-) watervoorziening, electriciteit, communicatie, transport, gezondheidszorg en veiligheid. Een extra kwetsbaarheid is dat deze systemen veelal onderling van elkaar afhankelijk zijn.
Wie toegang heeft tot internet beschikt over een wereldwijd - en vrijwel gratis - netwerk voor communicatie. Logisch dus dat Nederlandse bedrijven en overheidsinstellingen massaal internet gebruiken. Banken, politie, energiebedrijven, electriciteitsbedrijven, ziekenhuizen en vervoersbedrijven hebben allemaal een deel van hun communicatie naar het voordelige internet gedirigeerd. De argeloze burger zou denken dat deze infrastructuur goed is beschermd maar dat is niet het geval. In het openbaar de vinger op de zere plekken leggen ligt heel gevoelig. Daarom willen een securityconsultant en een bron die goed is ingevoerd in de inlichtingenwereld hierover alleen anoniem spreken. De inlichtingenbron: ‘Er is over beveiligen van de vitale ICT-structuur bij de aanleg eigenlijk niet nagedacht. Het is een onvolwassenheid in ons denken.’ De consultant: ‘”Kost een hoop geld, gaan we niet doen”, dat is de rode draad die in Nederland traditioneel door het securitydenken loopt.’ Na de aanslagen van 9/11 werd Richard Clarke terrorism czar in de Verenigde Staten. Hij inventariseerde ook de risico’s van cyberaanvallen. Na zijn terugtreden vertelde hij op de televisie dat hij van de ene in de andere verbazing viel. De bediening van allerlei infrastructuur bleek eenvoudig te hacken, bijvoorbeeld de afstandsbediening van stuwdammen. Maar het was nog erger, dat hacken gebeurde voortdurend op allerlei plaatsen. Clarke had tweemaal geconstateerd dat vanaf ’servers in het buitenland’ systemen van de Amerikaanse infrastructuur waren gepenetreerd. Dat ging om een belangrijk intern systeem van het ministerie van Defensie en een systeem dat onder de ‘vitale infrastructuur’ viel. Geen sprookjes dus, maar echte kwetsbaarheid. Sindsdien is in de Verenigde Staten op grote schaal in cyberveiligheid geïnvesteerd. Pas jaren na 2001 krijgen ook in Nederland bezorgde ambtenaren de handen op elkaar voor beveiliging van de zogenoemde vitale infrastructuur. Eric Luiijf van TNO Defensie en Veiligheid doet voortdurend onderzoek naar de effecten van bijvoorbeeld stroomuitval of andere ICT-storingen. Hij is daar al jaren mee bezig. Nog lang niet iedere bestuurder is ervan bewust dat de Nederlandse vitale infrastructuur in feite ‘een kaartenhuis’ is. ‘Security is een lifetime-job,’ zegt Luiijf. Hackers, computervirussen en worms kunnen verwoestend zijn. Procescontrolesystemen besturen vitale infrastructuren als gas, elektriciteit, drinkwater, metro, treinen, tunnels en havensystemen. Die zijn kwetsbaar want vaak gekoppeld met bedrijfsnetwerken en Windows of Linux. Het zijn potentiële doelwitten van hackers en virussen, wormen en Trojaanse paarden. Luiijf: ‘Er zijn genoeg voorbeelden van bijna-ongelukken. In de VS is het alarmpaneel van een nucleaire centrale vijf uur lang onbruikbaar geweest door een worm-infectie. Een elektriciteitsnetwerk in de VS was buiten controle door een virus. Een hacker heeft volledige controle gehad over het masterconsole in de regelkamer van een chemische fabriek. In een groot Europees elektriciteitsnet was tien dagen lang een hacker actief.’ Maar ook in Nederland zijn er inbraken gepleegd na het platleggen van een gebouwbeheerssyteem. ‘Er zijn ook hackers binnengedrongen in procescontrole-systemen’, aldus Luiijf. Luiijf wil vooral de kwetsbaarheid van zogenoemde SCADA-systemen verminderen. SCADA is een afkorting van Supervisory Control And Data Acquisition. Praktisch gezegd: software waarmee je allerlei processen grote en kleine apparaten op afstand bestuurt. Luiijf: ‘SCADA is in de jaren zestig ontwikkeld. Beveiliging was toen geen issue. Een beperkt aantal mensen wist hoe het werkte.’ Maar nu staan de SCADA-protokollen op internet. De inlichtingenbron: ‘SCADA is een fantastisch besturingssysteem maar de beveiliging is nul, die is er niet. Ik zet de protokollen zo op mijn laptop.’ En daarmee kan een geschoolde hacker gigantische schade aanrichten. ‘Je gaat met je laptop in de buurt staan van een centrale, gemaal of een gasinstallatie en je analyseert de SCADA-commando’s die door de lucht vliegen. Vervolgens pik je de commando’s eruit die jij van belang vindt en je bent in business.’ Vertaald voor dummies betekent dat: wie Rotterdam Alexanderpolder wil laten onderlopen zou een gemaal in de Alexanderpolder kunnen kraken. ‘Vervang het commando “pompen” door “zuigen”.’ Volgens Eric Luiijf is het niet zó simpel: ‘vaak verloopt het contact met een apparaat via een gsm-verbinding, dan moet je ook een gsm-nummer hebben van het apparaat. En soms is er wel degelijk een soort beveiliging aangebracht. Maar er zijn zeker zwakke plekken.’ Een ander probleem met SCADA-systemen is hun gevoeligheid. Veel SCADA-systemen crashen als een hacker gaat rommelen in de communicatie. Het zijn hoofdpijndossiers voor terrorismebestrijders hoofdpijn. Maar ze lijden liever in stilte. De Nederlandse overheid geeft wat betreft digitale kwetsbaarheid het slechte voorbeeld. De vitale infrastructuur van de overheid bestaat in Nederland uit zeven netwerken (zie kader). De belangrijkste overheidsdiensten delen een landelijk netwerk van één en dezelfde glasvezelkabel. Die hoofdverbinding is onderverdeeld in lagen, voor iedere dienst één. Makkelijk en voordelig dachten de ambtenaren die het indertijd aan lieten leggen. De consultant: ‘bij de aanleg is gesproken met een bedrijf, dat zei: neem nou maar een hele dikke glasvezel daar kan je alles op kwijt. Bovendien is alles makkelijk centraal aan te sturen.’ Het gevolg is nu dat de Nederlandse overheid een digitale Achilleshiel heeft. Het beveiligingsprobleem van dit systeem is dat alle zeven netwerken één centrale database gebruiken. Ergens móet de informatie boven de grond komen om van en naar die database te komen. En dat “Nationaal Knooppunt” is de hersenstam van de Nederlandse digitale overheid. De lokatie van het Nationaal Knooppunt is één van de best bewaakte Nederlandse staatsgeheimen. De inlichtingenbron: ‘Ach, het zou best eens een bunker in Soesterberg kunnen zijn. Daar zit ook een knoop van de NAVO.’ Bij de bouw van dit glasvezelnetwerk heeft kostenbesparing de beveiliging in de weg gestaan. Uit elkaar trekken van deze netwerken en zo de kwetsbaarheid te verminderen kost 100den miljoen euro’s. Het kabinet Balkenende is niet bereid hiervoor de portemonnee te trekken. De consultant: ‘Security komt in Nederland pas ter sprake als er dingen fout gaan. Als je het goed doet pas je de architectuur er vanaf het begin op aan.’ Electriciteit is een speciaal zorgenkind. Uitval van dit netwerk heeft de grootste impact op andere vitale sectoren doordat die in een dominoreactie ook omver vallen. In Europa en de Verenigde Staten komt stroomuitval regelmatig voor. Storingen in gecompliceerde electricteitsnetwerken zijn niet altijd snel tot bedaren te brengen. Er kan gemakkelijk een kettingreactie ontstaan van netwerken die uitvallen. De inlichtingenbron: ‘Bij een ernstige storing probeert men de oorzaak soms onder de mat te vegen. Niet alles wordt altijd openbaar gemaakt.’ Telefonie- en internet zijn volledig afhankelijk van electriciteit. Grote telefooncentrales kunnen na een stroomuitval tussen de vier en acht uur doordraaien. Daarna gaan er mobiele generatoren rondrijden die batterijen opladen. Een open vraag of deze opvang op tijd in actie komt en of overal genoeg diesel is. Als er telefooncentrales uitvallen worden netwerken instabiel. Een storing kan als een een golfbeweging rondgaan, zoals een storing bij Utrecht het hele netwerk van de NS kan ontregelen. Drinkwater is een andere zorg. Drinkwater komt uit duizenden pompputten en 110.000 kilometer leidingen. Wie drinkwater wil vergiftigen heeft ruime keuze om met wat technische kennis zijn gifpomp aan te sluiten. Grote delen van dit netwerk zijn toegankelijk vanuit de openbare ruimte. De directe en psychologische effecten van drinkwatervergiftiging zijn niet te voorspellen maar zeker enorm. Wat als na een aanslag het publiek geen water uit de kraan meer durft te drinken? Bij een ernstige crisis zullen Defensie en allerlei militaire systemen hulp moeten bieden. De militaire organisatie is immers deels ingericht op overleven en improviseren zonder basisvoorzieningen. Toen het Medisch Spectrum Twente in Enschede onlangs een afdeling moest sluiten als gevolg van een ziekenhuisvirus zette Defensie in een oogwenk een goed werkende operatiekamer neer. Onder het Utrechts Medisch Centrum is permanent een groot noodhospitaal van Defensie standby. Waar politie, brandweer en ambulance afhankelijk zijn van één landelijk netwerk hebben de militairen hun eigen netwerken. Daarbij blijft natuurlijk de vraag of de capaciteit en de kwaliteit van de defensieorganisatie is berekend op een ramp van grote omvang. Waarom zijn er in Nederland nog geen grote ongelukken gebeurd? Valt het wel mee met de kwetsbaarheid? Of is de dreiging van hackers en terroristen niet zo ernstig? De inlichtingenbron: ‘Voor mij is het een aanwijzing dat Nederland op de mindmap van het internationale terrorisme geen rol van betekenis speelt. Gelukkig maar.’ Eric Luiijf van TNO: ‘er zijn wel degelijk ongelukken gebeurd, ook in Nederland maar die worden niet openbaar gemaakt. In de Verenigde Staten was er twee weken geleden nog een probleem met de centrale bediening van een nucleaire centrale. In de VS lekken dat soort gevallen vaker naar de media.’ Toch is Luiijf optimistisch: ‘Nederland loopt ver vooruit op andere Europese landen.’ Maar daarmee is niet iedereen het eens. De inlichtingenbron: ‘De beveiliging in een land als Groot-Britannië en is echt van een andere orde. Hier in Nederland zijn we toch op het niveau van spiegeltjes en kraaltjes bezig. De consultant: ‘Natuurlijk is er verbeterende samenwerking tussen overheid en bedrijven waar het gaat om beveiliging maar een verbeterende samenwerking zegt nog niets over een betrouwbaar resultaat.’ Eric Luiijf: ‘de laatste jaren gaat het echt beter. Het topmanagement van bedrijven buigt zich nu vaak over beveiliging, vroeger bleef het alleen een technisch verhaal. Vroeger stelden politici altijd de verkeerde vragen. Nu is soms echte aandacht van politici.’ Kader: Web War One Een voorproefje van wat cyberterrorisme vermag was Web War One, vorig jaar in Estland. Dagenlang waren de websites van de overheid maar ook van alle banken, kranten en televisiestations uit de lucht. Estland riep als NAVO-lid de hulp in van de NAVO en beschuldigde de Russische geheime dienst van de aanval. Kort voor de aanval hadden de autoriteiten een sovjetmonument verwijderd, symbool van de vroegere Russische bezetting. Geloven in Doomsday-scenario’s is niet noodzakelijk om de ernst van de kwetsbaarheid te doorzien. Inbraken op vitale netwerken door hackers of anders gemotiveerde buitenstaanders gebeurt in Nederland ‘aan de lopende band’, zegt de inlichtingen-bron. De AIVD stelde in april dat vanuit China was geprobeerd in te breken op vitale Nederlandse netwerken. En begin mei maakte de Belgische minister van Justitie wereldkundig dat hij China ervan verdenkt op Belgische overheidscomputers in te breken.
Infographic: Zwakke plekken van Nederland: 1. polders en de dijken: Sommige polders liggen tien meter onder de zeespiegel. Een dijkdoorbraak bij een plaats als Gorichem heeft rampzalige consequenties. Gemalen houden de Nederlandse polders droog door voortdurend water weg te pompen. De bedieningssystemen van gemalen zijn gemakkelijk te hacken. Een hacker kan een gemaal water de polder in laten stromen. De effecten van overstromingen van belangrijke gebieden in de Randstad zijn onvoorzien maar zullen het openbare leven ernstig verlammen.
De overheid heeft overigens scenario’s voor: EDO’s (ergst denkbare overstromingscenario’s) klaarliggen. 2. De Amsterdam Exchange: op vier lokaties in en om Amsterdam komt vrijwel het gehele Nederlandse internetverkeer samen. 3. Het Nationaal Knooppunt: Zeven vitale overheidsnetwerken komen boven de grond samen op één punt. 1. openbare nutsvoorzieningen: water, gas en electriciteit 2. financiële overheidsdiensten: belastingdienst, kadaster, FIOD/ECD, MOT-meldingen 3. NAVIN: inlichtingendiensten 4. Justitie: netwerk van het openbaar ministerie 5. Frequenties van politie- en hulpdiensten: het C2000-netwerk 6. 7.
