Bij ongeveer 30 procent van de 25 bedrijven met het meeste onderzoek (R&D) ontdekte de AIVD digitale spionage om vindingen te stelen. In circa twee derde van de gevallen (oftewel 5 van die 25 ondernemingen) was het slachtoffer zich niet bewust van spionage.
De aangetroffen infectieduur varieerde van enkele dagen tot ruim twee jaar. Daarbij verkreeg de inbreker de ‘hoogste rechten’(admin) om aan systemen te frunniken en informatie te stelen.
Dit alarmerende bericht staat in het advies Nederland digitaal droge voeten van Herna Verhagen van PostNL op verzoek van de Cyber Security Raad uit september 2016. Rusland en China worden met name genoemd als bakermat van de kraken. Belangrijke kennis lekt weg en daarmee een concurrentievoorsprong.
Zo is bijvoorbeeld spionage waargenomen bij Nederlandse bedrijven binnen de defensie-industrie en de topsectoren hightech, chemie en tuinbouw. Zoals in zaadveredeling waarmee Nederland mondiaal vooroploopt.
Hoe komt de AIVD achter de spionage? Permanent monitoren van verbindingen en of servers, of anderszins? Kunnen bedrijven zich hiervoor inschrijven? Of daar ook verzet tegen bieden?
Het standaardantwoord luidt dat de AIVD haar methoden niet prijsgeeft. Maar op de website van de AIVD staat dat de dienst bedrijven voorlicht. Maar eveneens:
1) De AIVD kan hacken en tappen, maar ook niet-digitale middelen inzetten. Dankzij bijzondere bevoegdheden kan de AIVD exclusief complexe digitale aanvallen die de nationale veiligheid raken, onderkennen.
2) De AIVD beschikt over ICT-specialisten die met de informatie van internationale collega’s aanvallen ontdekken, die bij andere overheidspartners (nog) niet bekend zijn.
3) De AIVD moet en mag bronnen en werkwijze geheimhouden. Dus kunnen bedrijven vertrouwelijker via de AIVD communiceren dan met andere overheden.
Dus de geheimhouding door de AIVD wordt juist als voordeel genoemd waardoor de dienst behalve effectiever en sneller ook discreter kan optreden dan andere diensten. Gezien de intensieve samenwerking met andere diensten kan het dus, zeker voor bedrijven, prettig zijn om juist met de AIVD zaken te doen. Eventueel als tussenpersoon naar andere misdaadbestrijders.
Homeland security en honingpotten
In feite kent Den Haag (met Zoetermeer waar de AIVD is gehuisvest) één samenwerkend complex van bestrijding van digitale misdaad. Gezien aanhoudende klachten van speurders achter de schermen over gebrekkige coördinatie, vindt uitwisseling vooral informeel plaats.
Bedrijven kunnen zich niet abonneren op overheidstoezicht, maar ze worden getipt bij signalen van digitale inbraak, volgens de woordvoerder van V&J. Die komen bijvoorbeeld van het Nationaal Cyber Security Center (NCSC) die digitale aanvallen op de Rijksoverheid en de vitale infrastructuur traceert.
Binnen dit NCSC speurt een Computer Emergency Response Team (CERT) volcontinu naar bedreigingen. Dat wil zeggen op de digitale hoofdlijnen en wat dieper in het netwerk; vergeleken met het wegenstelsel in elk geval de Nederlandse A- en N-wegen. Maar in nauwe samenwerking met de grote aanbieders van zakelijke verbindingen zoals KPN en BT (British Telecom) worden ook de haarvaten naar bedrijven in het oog gehouden.
Partijen werken samen in het Nationaal Detectie Netwerk waarneming van digitale gevaren en risico's. Partijen delen inforamtie, overleggen over mogelijke maatregelen en nemen die vervolgens zelfstandig.
Kennelijk hebben bedrijven zelf niet altijd door hebben dat er aan hun poorten wordt gerammeld en dat sloten worden verbroken. NCSC gebruikt systeem Beita om automatisch aanvallen vanaf het internet op netwerken van organisaties te detecteren. Beita bestaat uit een aantal honeypots met een netwerk van sensoren die geplaatst worden aan de randen van het netwerk bij overheden en bedrijven.
Zo’n honingpot is een bewust aangebrachte zwakte in het systeem, om aanvallers te lokken. Trappen ze erin, worden ze getraceerd. De basis van Beita is ontwikkeld door Surfnet, het nationale netwerk van de universiteiten in Utrecht. Beita traceert de aard en omvang van de ‘meest geavanceerde’ internetaanvallen op de digitale poorten van overheden, bedrijven en onderzoeksinstellingen.
Ook zelf aanvallen
Er is een samenwerking van overheid en bedrijfsleven ontstaan in digitale verdediging, van Defensie tot aan KPN en Philips. Maar op welke wijze vindt uitwisseling van informatie met AIVD en MIVD plaats, binnen de kaders van de inlichtingenwet WIV? Vooral via de chefs van overheidsdiensten, banken en private beveiligers die netwerken wellicht?
Mogelijkheden voor een tegenaanval of uitschakeling van de aanvallers ontbreken. Morgen kunnen weer aanvallen, met een andere strategie en methode. Soldaten rusten soms, de systemen van hackers nooit.
Veiligheid en Justitie wil dus dat onze digitale defensie meer wettelijke mogelijkheden krijgt. Bijvoorbeeld om buitenlandse aanvallende systemen te infiltreren, eventueel uit te schakelen en de beheerders te identificeren voor zover mogelijk.
De AIVD moet nog wat zielen masseren bij het bedrijfsleven. Immers, VNO-NCW heeft zich kritisch uitgelaten over de door de AIVD gewenste extra bevoegdheden. De club vreest hoge kosten voor het moeten openstellen van haar netwerken voor de AIVD. En ook voor het weglekken van bedrijfsgeheimen naar buitenlandse AIVD-partners, zoals de NSA en de GCHQ in Engeland.
‘Ondermijning democratie’
Over die spionage en lekken is al begin september 2016 gerapporteerd met het Cybersecuritybeeld Nederland 2016, een jaarlijkse inventarisatie van digitale veiligheid. Met nu de volgende dreigingen:
1. Structurele omvangrijke spionageaanvallen, gericht op technologie. Ook de Nederlandse overheid wordt structureel digitaal aangevallen. Er is sprake van uitgebreide voorbereiding en hoge investeringen van onze digitale vijanden die steeds gerichter aanvallen. Vergaande conclusie: ‘Politieke spionage ondermijnt politiek en bestuur en vormt een bedreiging voor de democratische rechtsorde.’ Dat is nogal wat, maar leidde niet tot Kamervragen.
2. Op aanvallen met ransomware, sofware om computers te gijzelen in ruil voor losgeld, hebben Criminelen hebben zich het afgelopen jaar massaal toegelegd. Met steeds nieuwe software: al bijna 70 procent van de aanvallen vindt plaats met tot dan onbekende ransomware.
Die komt binnen met steeds geloofwaardiger spearphishing door criminelen. De malware zelf is verfijnder, ook gericht op databases, back-ups en netwerkschijven. Ook ziekenhuizen worden getroffen en betalen veel losgeld.
3. Advertentienetwerken zijn nog niet in staat om ‘malvertising’ het hoofd te bieden; verspreiding van malware via advertenties. Grote advertentienetwerken en vele apparaten zonder updates bieden een ‘groot aanvalsoppervlak’.
Aanbevelingen uit het rapport van Verhagen voor de overheid:
- Politieke aansturing van de digitale mainport via een onderraad van de Ministerraad;
- Aanstellen van een hoge functionaris voor digitale veiligheid;
- ‘Moderniseren’ van de bevoegdheden van de opsporings- en Inlichtingendiensten
Aanbevelingen voor bedrijven, onder meer:
- Ketens veiliger maken met ketenverantwoordelijkheid
- Inzet van een accreditatie- of certificeringssystematiek
Voor overheden en bedrijven samen:
Verstevig de samenwerking tussen de private en publieke sector;
- Onderzoek naar cyberaanvallen intensiveren voor snellere respons en betere preventie.
Geldzaken:
- Van alle ICT-investeringen moet 10 procent naar beveiliging
- Investeringsagenda vormgeven met een zak geld
Stevige lobby en vreemde geheimzinnigheid
Vandaar de goed georkestreerde campagne afgelopen maand. Er was een ‘persmomentje’ voor het digitale dijkenrapport gemaakt met opsteller Herna Verhagen, de bazin van PostNL, premier Rutte en Hans de Boer (voorzitter VNO-NCW).
Verhagen hield een groepssessie met vijftien belanghebbende organisaties, waaronder AIVD, MIVD, Philips, KPN, Schiphol, Amazon Web Services, FoxIT, Deloitte en de Britse en Estlandse overheden. Geen van de gesproken personen wordt genoemd, al is duidelijk dat Ronald Prins altijd spreekt namens Fox IT en Amazon in Nederland toegankelijk is via baas Werner Vogels.
Ook de twee wetenschappers moeten kennelijk anoniem blijven: een hoofddocent van eLaw in Leiden (Bart Schermer?) en een professor Global Ict Law in Tilburg (Lokke Moerel?). Verhagen produceerde dit adviesrapport, maar daaronder ligt een onderzoeksrapport. Dat is niet openbaar, geheimzinnigheid gaat boven transparantie.
VVD-programma sluit aan
Tegelijkertijd kwam het VVD-programma voor de Tweede Kamerverkiezingen van maart 2017 uit, met:
‘Cybercrime willen we opsporen en strenger bestraffen…’, met ‘…het inzetten van gespecialiseerde teams van politie en justitie, die hacken als speciale opsporingsbevoegdheid hebben en nauw samenwerken met banken en bedrijven.’
Voorafgegaan door: De bevoegdheden van de veiligheidsdiensten moeten uitgebreid en aangepast worden Als de omstandigheden veranderen en daartoe nopen, moet er ‘altijd direct extra geld naar onze veiligheidsdiensten.’
‘Altijd direct extra geld’ krijgen weinigen, maar wel de AIVD als het aan de VVD ligt. En er moet meer geld naar cybercrime.
Alarmbel Inge Philips
Ook publiceerde NRC Handelsblad een vraaggesprek met Inge Philips. Ze verruilde de Nationale Recherche om chef hoofd cybersecurity voor Deloitte te worden. Mede omdat ze daar tenminste genoeg armslag krijgt om digitale misdaad te bestrijden.
Bij de overheid bokste Philips aan tegen halfwassen beleid, gebrekkige aandacht en slagkracht met weinig vervolging van cybercrime. Philips is er na twintig dienstjaren bij de overheid van overtuigd geraakt dat het bedrijfsleven méér kan doen tegen cybercrime dan de overheid. En wil de overheid nog wat kunnen uitrichten, moet ze digitale misdaad serieus gaan nemen.
Dat is geen overbodige luxe. Wie getroffen wordt door ransomware wordt door de politie nauwelijks geholpen. Bij het kraken van je internetbankieren reageren de banken zelf veel adequater dan de politie waar speurders te weinig armslag krijgen.
Het wachten is op een grote ramp. Of de AIVD dat zou kunnen voorkomen met meer wettelijke bevoegdheden moet het parlement bepalen. Net als de vraag of overheden meer met data moeten kunnen doen om fraude en andere misdaad te bestrijden.
* Dit artikel verswcheen in oktober 2016 op Reporters Online in Blendle