De Tweede Kamer wil zo snel mogelijk weten of in Nederland de overheid en publieke voorzieningen als ziekenhuizen of openbaar vervoer wel goed beveiligd zijn tegen enorme cyberaanvallen. “Ik denk dat Nederland veel geluk heeft gehad”, zegt kamerlid Kees Verhoeven (D66). “Er zijn ook hier gemeentes en ziekenhuizen die nog werken met verouderde software.” Op die computers had het virus het gemunt.

De SP wil dinsdag in debat met het kabinet over de kwetsbaarheid van Nederland. “Zijn we zo goed beschermd, of zijn we gewoon nog niet aangevallen?”, vraagt Kamerlid Maarten Hijink zich af. Hij vermoedt het laatste.

Er leeft daarnaast nog een andere zorg in de Tweede Kamer: in hoeverre zijn westerse opsporings- en inlichtingendiensten, ook de Nederlandse, zelf onderdeel van het probleem? De hackers die dit weekeinde toesloegen, hebben hun virus waarschijnlijk gestolen bij de Amerikaanse inlichtingendienst NSA. Het cyberwapen dat de Amerikanen ontwierpen om andere landen in tijden van oorlog aan te vallen, viel in handen van de verkeerde personen.

De op­spo­rings­dien­sten laten al die ‘achterdeurtjes’ op internet liever open staan, zodat ze zelf naar binnen kunnen D66-Kamerlid Kees Verhoeven

Toevallig heeft de Tweede Kamer net dit voorjaar twee wetten aangenomen die hier over gaan. De Nederlandse politie en de inlichtingendiensten krijgen meer bevoegdheden om computers te hacken, en daarbij mogen ze – net als de NSA – gebruik maken van zwakke plekken in computersystemen. Dilemma: ook veel onschuldige burgers en organisaties werken met oude software. “De opsporingsdiensten laten al die ‘achterdeurtjes’ op internet liever open staan, zodat ze zelf naar binnen kunnen”, zegt Verhoeven.

Bezwaren D66 en ook de SP zien liever dat de kennis over zwakke plekken wordt gebruikt om computersystemen veiliger te maken. De SP, D66 en GroenLinks hadden onlangs bezwaren tegen de wet op de computercriminaliteit’ (ook wel de ‘hackwet’ genoemd) die de politie grotere bevoegdheden geeft. De wet moet door de Eerste Kamer. Ook daar zal de discussie weer opspelen. Andere fracties willen nu eerst discussie over de vraag of Nederland beveiligd is tegen grote aanvallen, zoals die van afgelopen weekeinde. “Dit is vooral een wake-up call over onze kwetsbaarheid voor aanvallen van buitenaf”, zegt VVD-Kamerlid Jan Middendorp. Ook Erik de Jong van beveiligingsbedrijf Fox-IT denkt dat het meer geluk dan wijsheid was dat Nederland ongeschonden is gebleven. “Onze systemen zijn niet structureel beter beveiligd dan elders. We moeten oppassen dat we nu niet achterover leunen. Trouwens, er had maar één ziekenhuis getroffen hoeven worden, en het beeld klapt om.” Deze aanval heeft vooral duidelijk gemaakt dat zoiets ook gevolgen in het echte leven kan hebben. “In de zorg bijvoorbeeld, waar vaak geen geld is voor beveiliging. Of in de infrastructuur. Het is goed mogelijk dat je met zo’n worm de bediening van sluizen overneemt. Je moet er niet aan denken dat criminelen het land onder water kunnen zetten. Op dergelijke vitale sectoren kan en moet de beveiliging beter.”

Wat te doen tegen de worm? Aanvankelijk leek het erop dat de malware via een e-mail was verspreid en dat onoplettende gebruikers hem hadden geactiveerd. Maar volgens De Jong was het vermoedelijk een directe aanval vanuit het internet – er is nog geen verdacht mailtje gesignaleerd. Bij particulieren worden updates doorgaans automatisch verwerkt, maar beheerders van netwerken willen zo’n update eerst testen Softwaregigant Microsoft had op 14 maart gewaarschuwd voor lekken in zijn Windows-systeem en daarvoor updates uitgebracht. Bij particulieren worden die updates doorgaans automatisch verwerkt, maar beheerders van netwerken willen zo’n update eerst testen, bang als ze zijn dat programma’s erdoor uitvallen. “Dat is logisch”, zegt De Jong, “maar een maand geleden hadden ze toch de inschatting moeten maken dat het veiliger was om ze wel te installeren. De aard van het lek lag immers open en bloot op straat. Ook voor criminelen dus.” Als de worm al heeft toegeslagen en de bestanden onleesbaar zijn geworden, resten de gebruiker nog twee opties. De eerste: losgeld betalen. Er is een reële kans dat de criminelen de bestanden dan terugzetten. “Het is hun verdienmodel”, zegt De Jong. “Maar aan te raden is het niet. Je houdt het misdrijf in stand.” Of hopen dat er regelmatig back-ups van de bestanden zijn gemaakt – liefst aan het eind van elke werkdag. Dan kun je de computer opschonen en de reservebestanden terugzetten.

