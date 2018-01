Internetbankieren werkte niet en Nederlanders konden eventjes niet inloggen bij De Belastingdienst. Blijvende schade lijkt er niet aangericht, maar over de golf aan data waaronder servers van financiële instellingen de laatste dagen bezweken, is nog veel onduidelijk. Vijf vragen en de antwoorden.

1. Een DDoS-aanval, gebeurt dat vaker? De afgelopen dagen zijn ABN Amro, ING, Rabobank en De Belastingdienst getroffen door een zogeheten DDoS-aanval. Klanten konden tijdelijk geen gebruikmaken van online diensten zoals internetbankieren. Bij een DDoS-aanval worden websites bestookt met grote hoeveelheid data waardoor ze kunnen bezwijken en niet meer bereikbaar zijn voor klanten. Dat overkwam ABN Amro afgelopen weekeinde drie keer en ING zondagavond. Diensten van Rabobank waren maandag offline en de website van De Belastingdienst was vijf minuten niet bereikbaar. De storingen zijn vervelend voor klanten – banken boden meteen hun excuses aan – maar niet heel schadelijk. Sterker: dergelijke aanvallen zijn volgens president Klaas Knot van De Nederlandsche Bank (DNB) voor banken dagelijkse kost. Dat zei Knot in een reactie op die aanvallen bij tv-programma Buitenhof. Volgens Knot moeten banken niet de illusie hebben dat ze dergelijke aanvallen kunnen voorkomen.

2. Hoe kan een bank zich verdedigen? Er was sprake van een digitaal gevecht , aldus het ministerie van justitie en veiligheid. Betaalvereniging Nederland noemt de aanvallen een kat-en-muisspel tussen banken en cybercriminelen. En de banken zelf? Die noemen het een continue strijd met digitale inbrekers. Volgens de banken zit het wel snor met hun digitale beveiliging Vergelijk het met een slot. Inbrekers weten zo’n slot te kraken, dus wordt het versterkt. Zo werkt het ook met DDoS. In 2013 werden Nederlandse banken bestookt met DDoS-aanvallen waardoor onder meer klanten van ING twee dagen niet konden internetbankieren. Er kwam kritiek op softwaresystemen van banken die nodig aan verbetering toe waren. Nu zit het volgens de banken wel snor met hun digitale beveiliging en het ministerie meent dat Nederlandse banken zelfs tot de Europese top behoren. Banken konden de recente aanval dan ook afslaan, zij het met enige moeite. Volgens ABN Amro was de aanval van afgelopen weekeinde heviger dan in het verleden en kon zo de tijdelijke storing ontstaan.

3. Wie zitten er achter deze aanvallen? Niemand die het weet. Hackers kapen computers van nietsvermoedende mensen, bouwen zo een leger van pc’s en vallen, bijvoorbeeld tegen betaling, aan. Beveiligingsbedrijf ESET ontdekte dat het offensief deels werd aangestuurd via computerservers in Rusland. Toeval, vlak nadat bekend werd dat de Nederlandse inlichtingendienst AIVD de FBI cruciale tips gaf over Russische hackers? Het is niet na te gaan wie er achter de knoppen zat; dat kan een staat zijn, maar ook een groep pubers Dat is niet te zeggen, zegt Dave Maasland, directeur van ESET Nederland. Het is niet na te gaan wie er achter de knoppen zat en waar de aanvallers vandaankomen. Dat kan een staat zijn, maar ook een groep pubers. Een simpel DDoS-pakket kost nog geen 7 euro. Zwaardere pakketten zijn duurder maar iedereen kan ze kopen en een aanval inzetten.

4. Wat willen aanvallers bereiken? Zoals gezegd, heel schadelijk is een DDoS-aanval niet. Hooguit worden diensten verstoord. Volgens het ministerie van justitie en veiligheid zijn er een paar algemene redenen te bedenken waarom aanvallers toeslaan. Eén is financieel gewin; daarvan lijkt nu geen sprake. Een ander motief kan het ontwrichten van vitale processen zijn, bijvoorbeeld die van banken. Een DDoS-aanval kan ook fungeren als een rookgordijn voor een andere hack Een DDoS-aanval kan ook fungeren als een rookgordijn voor een andere hack, aldus Dave Maasland. Om klantgegevens buit te maken via phishing-mails waarin hackers zich voordoen als de getroffen bank en klanten vragen ter verificatie opnieuw in te loggen. Ook dat is vooralsnog niet aan de orde, de betrokken banken benadrukken dat de gegevens en de veiligheid van klanten niet in het geding zijn geweest.