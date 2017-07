Om te beginnen met goed nieuws: het virus dat sinds vorige week wereldwijd computersystemen wist plat te leggen, lijkt over het hoogtepunt heen. Toch laat deze uitbraak, samen met een vergelijkbare in mei, zien dat degenen die online kwaad willen twee keer kort na elkaar wisten te scoren. En dat is minder goed nieuws.

Er staat nogal wat op het spel in de continue strijd om systemen veilig te houden. Geen rapport over het onderwerp dat niet begint met het belang van een goed functionerend internet. Want nu vrijwel alles in het dagelijks leven zich online afspeelt, kunnen de gevolgen van een digitale aanval groot zijn. Ligt de verbinding eruit, dan zullen veel bedrijven de deuren moeten sluiten, kunnen we niet pinnen en dus geen boodschappen doen, en heeft niemand op vliegvelden en treinstations een idee waar hij heen moet.

Het begon afgelopen mei met WannaCry, de gijzelsoftware die wereldwijd toesloeg. In Engeland lag een ziekenhuis plat en in Nederland parkeergarages. Het virus vergrendelt computers en zegt de sleutel pas te geven als er losgeld is betaald. Overigens had betalen tot nu toe weinig zin.

WannaCry werd vorige week opgevolgd door een ander gijzelvirus. Nederland staat in de topvier van landen die met de meeste besmettingen te maken kregen. Onder meer een havenbedrijf in Rotterdam werd getroffen.

Dit zijn alleen nog de gevallen die het nieuws halen. Je kunt ervan uitgaan dat negen op de tien digitale aanvallen of besmettingen met computervirussen niet bekend worden, zegt Albert Kramer van beveiligingsbedrijf Trend Micro. "Ransomware maakt veel lawaai. Die laat elke computer die hij heeft besmet, weten dat hij er is. Maar er zijn ook gevallen waar kwaadaardige software zich stiekem in een systeem nestelt. Om toe te slaan wanneer en hoe het uitkomt."

De verdediging tegen dergelijke kwaadaardige aanvallen staat er een stuk minder rooskleurig voor. In het laatste jaarlijkse stand-van-zaken-rapport van het Nationaal Cyber Security Centrum (onderdeel van het ministerie van veiligheid en justitie), wordt het zo beschreven: "De digitale weerbaarheid in Nederland blijft achter bij de groei van dreigingen." Mooie woorden om te zeggen: de onlineslechteriken staan op dit moment op voorsprong.

Om een beeld te geven van de complexiteit, beschrijft het Centraal Planbureau in de maandag verschenen 'Risicorapportage Cyberveiligheid Economie' het aantal regels code waar software inmiddels uit bestaat. In 1992 waren 2,5 miljoen regels code genoeg voor het gehele besturingssysteem Windows 3.1. Tegenwoordig bestaat het Microsoft Office-pakket (met onder meer programma's als Word en Excel) alleen al uit zo'n 44 miljoen regels.

De strijd om een veilig internet draait volgens Van Wegberg dan ook vooral om het als eerste ontdekken van een nieuw lek. Hij doelt daarmee op de zogenoemde zero days: foutjes in de software die nog niet zijn ontdekt door de fabrikant en daarom dus nog niet zijn verbeterd. Een doeltreffende manier om ergens binnen te komen. "Je kunt ervan uitgaan dat elk systeem dat soort zwakke plekken heeft. Helemaal nu software alleen nog maar complexer wordt."

Het is in zekere zin ook een oneerlijke strijd. Zo is het nou eenmaal moeilijker om een systeem te beveiligingen dan om het aan te vallen, zegt Rolf van Wegberg, die aan de TU Delft onderzoek doet naar cybercriminaliteit. "Dat komt doordat de aanvaller maar één keer geluk hoeft te hebben dat hij een zwakke plek vindt om binnen te komen. De verdediging moet alle zwakke plekken tegelijk beschermen."

Aan de kant van de verdedigers vind je de beveiligingsbedrijven die hun klanten zoveel mogelijk tegen die boeven proberen te beschermen. Kramer met zijn team bij Trend Micro is daar een voorbeeld van. Zo'n grootschalige aanval als vorige week levert hem hectische dagen op. "Het betekent dat we teams klaarzetten die onze klanten in nood helpen, en dat onze onderzoekers zo snel mogelijk proberen te analyseren wat er aan de hand is."

De criminelen delen de kant van de bad guys met mensen die via hacks en cyberaanvallen impact of chaos willen creëren, terroristen bijvoorbeeld. Een groep die tot nu toe niet grootschalig toesloeg, maar wel een om rekening mee te houden, omdat de intentie om cyberaanvallen te plegen er is, aldus het Nationaal Cyber Security Centrum.

Staten

En dan zijn er nog de staten. Ze mengen zich eveneens in het digitale slagveld, maar hebben daar wel twee gezichten. Zo maken ze wetten die ervoor moeten zorgen dat bedrijven hun systeem beter beveiligen, maar hebben ze ondertussen net zoveel baat bij zwakke plekken in het systeem als kwaadwillenden.

Veiligheidsdiensten gebruiken zero days bijvoorbeeld om terroristen of andere vijanden in de gaten te houden. Het is bekend dat het lek in Windows dat werd misbruikt door zowel WannaCry als de ransomware die vorige week aan het licht kwam, in handen was van de Amerikaanse geheime dienst NSA. Daar lekte het uit.

Ook de Nederlandse inlichtingendiensten mogen zero days gebruiken. En als het aan een meerderheid in de Tweede Kamer ligt, mag de politie dat in de toekomst in gevallen van ernstige verdenkingen eveneens. De wet die dat mogelijk moet maken, wacht nog op behandeling in de Eerste Kamer.