Zo oefent Nederland voor een grootschalige cyberaanval


NOS NieuwsAangepast

  • Joost Schellevis

    redacteur Tech

  • Joost Schellevis

    redacteur Tech

Het betalingsverkeer valt uit, de borden op de treinstations zijn leeg en cruciale overheidssystemen werken niet meer. De onrust in de samenleving noemt toe. De dader? Een “voormalig Sovjetland, afhankelijk van gasexport”.

Een echt grote digitale aanval kan ook de fysieke wereld treffen, en dus hebben 3000 werknemers van 120 overheidsinstanties en zogenoemde vitale bedrijven vorige maand geoefend met de reactie op zo’n state of affairs.

Naast de Rijksoverheid, gemeenten en veiligheidsregio’s deden medewerkers van elektriciteitsnetbeheerder Tennet, energie- en drinkwaterbedrijven en internetproviders mee. Ook de inlichtingendiensten AIVD en MIVD waren aanwezig.

De NOS sprak tijdens de oefening met deelnemers en de organisatoren en kreeg een intern doc met het – deels geheime – oefenscenario in handen. De belangrijkste conclusie van de oefening: de overheid moet beter bepalen welke organisaties en instanties het eerst geholpen moeten worden als het écht misgaat.

Achterdeurtje

Het state of affairs voor de oefening is geïnspireerd door de echte wereld: in veelgebruikte software program blijkt een beveiligingsprobleem te zitten dat actief wordt misbruikt. Dat kwam de afgelopen jaren meerdere keren voor, maar in dit geval is het achterdeurtje bewust open gezet door een buitenlandse overheid. Het is daarmee vergelijkbaar met de beruchte cyberaanval op Oekraïne, die als neveneffect ook de Rotterdamse haven trof. Inlichtingendiensten zijn het erover eens dat Rusland achter die aanval zat.

Voor alle deelnemers is duidelijk dat het bij de oefening ook om Rusland gaat, al wil niemand dat hardop zeggen. Hester Somsen, directeur cybersecurity bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid: “We hebben ons laten inspireren door het cybersecuritybeeld, en gekeken: wat zou een realistisch state of affairs zijn?” In het bewuste rapport wordt Rusland 35 keer genoemd, vaker dan alle andere landen bij elkaar. “Het is geen fictief, ondenkbaar state of affairs”, voegt Somsen toe.

Niet op papier

“Eigenlijk wilde ik de getroffen computer systems ook echt wipen“, zegt Sam Berkhout, ethisch hacker bij beveiligingsbedrijf Fox-IT, die voor de oefening in de huid van de aanvaller kroop. Bij het wipen van een pc wordt de inhoud volledig gewist: een tactiek die door zowel criminelen als overheden, ook bij Oekraïne, is ingezet om maximale schade te veroorzaken.

Speciaal voor de oefening bouwde Berkhout software program die op de computer systems van deelnemers werd geïnstalleerd. Deze software program bevat ook al een achterdeurtje, dat in het oefenscenario door een corrupte medewerker is ingebouwd.

Het achterdeurtje zorgt ervoor dat de pc waarop het draait uiteindelijk wordt gewist, zodat de aanvallers hun sporen kunnen wissen. “Maar toen ik dat ook echt wilde inbouwen, werd ik wel even teruggefloten.”

De deelnemende computerbeveiligers moeten dat achterdeurtje met zorg onschadelijk maken. Schakelen ze alle systemen of internetverbindingen uit, een vaak voorkomende reflex bij een grote digitale disaster, dan komt dat als een boemerang weer terug.

“Als de software program nog draait, zal hij ook alles wipen“, zegt Berkhout. Alle achtergebleven frauduleuze stukjes software program moeten nauwkeurig worden verwijderd: als er op één pc nog een actief is, kan de fictieve aanvaller al naar binnen komen.

Fictieve Kamervragen

Toch is de oefening niet alleen bedoeld voor cybersecurity-experts, maar juist ook om de relaxation van de overheid en kritieke organisaties met zo’n disaster te laten oefenen. Er worden fictieve Kamervragen gesteld, journalisten willen antwoorden, en ook burgers beginnen zich te roeren.

Doel van de oefening is om de reactie van de overheid op een grote, succesvolle cyberaanval te testen. Belangrijk daarbij is om ook bestuurslagen binnen een overheid of kritieke organisatie te laten nadenken hoe ze daarmee moeten omgaan, zegt Somsen. “Nieuwe Europese regelgeving verplicht ook om daarover na te denken.”

Bijzonder aan een grote digitale disaster is dat er veel meer onduidelijk is dan bij bijvoorbeeld een doorgebroken dam. “Daarbij is vrij snel duidelijk wat er aan de hand is”, zegt Somsen. Eigen aan een digitale disaster is dat heel lang onduidelijk kan zijn waardoor de problemen precies worden veroorzaakt. Dat kan weer tot onrust leiden, ook onder de bevolking.

Er zijn in Nederland niet genoeg cybersecurity-experts om iedereen te helpen.

Hester Somsen, hoofd cybersecurity NCTV

De belangrijkste uitkomst van de oefening is dat er, als puntje bij paaltje komt, niet duidelijk is welke organisaties als eerste geholpen moeten worden. “Er zijn in Nederland niet genoeg cybersecurity-experts om iedereen te helpen”, zegt Somsen.

En dus moet er een lijst komen van organisaties die met voorrang geholpen moeten worden, omdat anderen daarvan weer afhankelijk zijn. “Elektriciteit is natuurlijk essentieel, maar ook zonder telecomverbindingen stopt alles met werken.”

Voor de verdeling van olie en gasoline is er wel een crisisplan om in een noodsituatie schaarse middelen te verdelen. “Wie er als eerste geholpen moet worden? Dat is uiteindelijk een politieke beslissing.”

Een andere uitkomst: het lukte ict-beveiligers bij de overheid snel om de oorzaak van de aanval te achterhalen en op te lossen. “Misschien wel iets te snel: ze dreigden het al op te lossen voordat de aanval nog echt goed moest losbarsten.”

Alle bevindingen van de cyberoefening zullen volgend jaar met de Tweede Kamer worden gedeeld.

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top