Vergeet de klassieke terroristische aanslag. De nieuwste aanvallen komen van hackers en richten zich op elektriciteitscentrales, ziekenhuizen, bruggen, sluizen en kernreactoren.
Behandel vitale infrastructuren dan ook niet op dezelfde manier als het netwerk van bijvoorbeeld een winkel, maar verbind ze aan een veilig circuit waar hackers niet bij kunnen. Dat is één van de belangrijkste aanbevelingen uit het rapport Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands, dat is opgesteld in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) van het Ministerie van Justitie en Veiligheid door de Universiteit Twente.
Zijn deze zorgen reëel? Kunnen hackers inderdaad ziekenhuizen en elektriciteitscentrales platleggen? “Jazeker”, zegt Aiko Pras, hoogleraar internetveiligheid aan de Universiteit Twente. “Denk aan het incident in Oekraïne. Het oosten van dat land werd getroffen door een stroomstoring die honderdduizenden mensen trof. Uit onderzoek bleek dat dat het werk was van hackers, mogelijk uit Rusland.” Ook de Nederlandse overheid neemt dit soort dreigingen serieus. Pras en zijn onderzoeksgroep in Twente namen in opdracht van het ministerie de vitale infrastructuren in Nederland onder de loep. “Allereerst onderzochten we hoeveel van dat soort vitale systemen in Nederland zijn te vinden door de hobbyist. Dat zijn er zo’n duizend. Vervolgens keken we hoeveel daarvan er ook daadwerkelijk kwetsbaar zijn, dus welke versies van bepaalde software draaien ze en kan je ze hacken. Zestig vitale systemen kennen meerdere zwakke punten en zijn te hacken. Het gaat veelal om relatief kleine systemen die gebruikt worden voor besturingsdoeleinden, maar wat er precies achter zit, weten we niet.”
“Stel dat één of meerdere van die zestig besturingssystemen daadwerkelijk iets belangrijks is als een sluisdeur of elektriciteitscentrale? Het andere uiterste is dat het hier kan gaan om zestig systemen die bedoeld zijn om potentiele aanvallers te lokken, honeypots genaamd. Deze leiden af van de werkelijkheid, een valkuil voor hackers. Dit is gangbaar in de wereld van cybersecurity. We delen hoe dan ook onze bevindingen met de eigenaren van deze vitale infrastructuren.” Pras pleit voor een ‘apart stukje internet dat losstaand te beheren is’. “Zoiets bestaat nog niet in Nederland. Alles is nu plat, met een paar verschillende aanbieders die in grote lijnen alle klanten hetzelfde behandelen. Aan zo’n gesloten netwerkstructuur gaat politieke besluitvorming vooraf en juist dat debat willen we met dit rapport aanjagen.”