Je bent slachtoffer van gewiekste en nietsontziende cybercriminelen. Op afstand breken ze in op het computersysteem in je auto. Zodat zij de macht hebben over je stuur. Of je rem. Is dit rampscenario kletskoek of kan zo’n nachtmerrie je werkelijk overkomen?

Feit is in ieder geval dat de Nederlandse politie rekening houdt met dergelijke geavanceerde cybermisdaad. Zo blijkt uit het vorige week gepresenteerde rapport ”Nationaal dreigingsbeeld 2017. Georganiseerde criminaliteit”. De nationale politie presenteert eens per vier jaar zo’n document. Daarin belichten deskundigen tientallen vormen van misdaad, waarvan de specialisten ook een „dreigingsinschatting” maken.

Aandacht in het rapport van vorige week is er ook voor cybercrime, dus misdaad waarbij digitale technieken op een of andere manier een rol spelen. Over het scenario van het op afstand overnemen van voertuigen meldt het rapport: „Meerdere malen is het security-onderzoekers en hackers gelukt verschillende merken auto’s te hacken. Dat stelde hen er onder andere toe in staat het stuur en de remmen over te nemen.”

Britse ziekenhuizen

Cybercriminaliteit baart de overheid zorgen. Vorige maand zaaiden misdadigers wereldwijd onrust met een omvangrijke cyberaanval. Het ging om zogeheten ransomwareaanvallen. Daarbij worden bestanden op computers ‘gegijzeld’. Slachtoffers kunnen weer bij de informatie komen als ze losgeld overmaken.

Onder meer Britse ziekenhuizen waren slachtoffer van de grootscheepse ransomwareaanvallen. In Nederland bleef de schade relatief beperkt. Al waren wel bijvoorbeeld betaalautomaten van het parkeerbedrijf Q-Park in onder meer Rotterdam, Veenendaal en Hoofddorp doelwit van de cybermisdadigers.

Digitale afpersing is in opmars. Sinds 2013 zijn zowel particulieren als bedrijven steeds vaker slachtoffer van ransomware, dus gijzelingssoftware, meldt het politierapport. Zo werden ziekenhuizen in de Verenigde Staten en Duitsland slachtoffer van afpersing via ransomware. Experts achten het mogelijk dat ook Nederlandse hospitalen een keer aan de beurt komen.

Criminelen gebruiken niet alleen ransomware, maar ook zogeheten DDoS-aanvallen om mensen of bedrijven af te persen. Bij een DDoS-aanval (DDoS staat voor distributed denial-of-service) vallen meerdere besmette computers (oftewel een botnet) een server of site van een bedrijf of instelling aan. Daardoor komt de site of server plat te liggen. Met name sites waar transacties worden afgehandeld, zijn doelwit. Te denken valt aan webshops of sites in de reisbranche.

Probleem is de nogal eens gebrekkige bescherming van computersystemen. „Vooral het midden- en kleinbedrijf en (semi)overheidsorganisaties zijn kwetsbaar, omdat hun ict niet altijd up-to-date is en vaak slecht beveiligd is”, noteren de opstellers van ”Nationaal dreigingsbeeld 2017. Georganiseerde criminaliteit”.

Nepwebwinkels

Zorgen maken de onderzoekers van de politie zich ook over fraude bij handel via internet. Zo zijn nepwebwinkels nauwelijks van echte te onderscheiden. De makers van de valse websites regelen –op naam van een katvanger– een inschrijving bij de Kamer van Koophandel, een kantoorpand en een telefoonnummer (met telefoniste). „De valse websites zijn lastig uit de lucht te krijgen, doordat ze veelal in Azië en Amerika worden gehost.” Dat betekent dus dat die sites daar via een server in verbinding staan met internet.

De frauduleuze verkopen lijken zich momenteel te verplaatsen van online handelsplaatsen (zoals marktplaats.nl) en nepwebwinkels naar sociale media. Zo worden goederen via Facebook aangeboden.

Smerig water

De stroom die in de ene na de andere stad uitvalt, smerig water uit de kraan, honderden benzinepompen waar geen druppel brandstof meer uitkomt. Grootschalige verstoringen van zogeheten vitale processen zijn een ware nachtmerrie voor de autoriteiten. Cybermisdadigers kunnen de boel behoorlijk in het honderd laten lopen. Zo was het Oekraïense elektriciteitsnet in 2015 doelwit van een cyberaanval: 225.000 huishoudens zaten enkele uren zonder stroom.

Overheden dienen zich te wapenen tegen dergelijke ontwrichtingen, waarschuwen de opstellers van het politierapport.

Er zijn „actoren” –gedoeld wordt op bijvoorbeeld buitenlandse mogendheden– die de kennis en kunde hebben om slimme aanvallen uit te voeren op vitale infrastructuren. Hoewel de afgelopen jaren „extra beveiligingsmaatregelen” werden genomen, zijn de digitale verdedigingsmuren niet altijd even deugdelijk. „Vitale processen en infrastructuren blijven kwetsbaar voor geavanceerde aanvallen, doordat vaak verouderde procescontrolesystemen worden gebruikt die niet geüpdatet worden, maar wel van buitenaf, via internet, toegankelijk zijn.”

„Zorg dat de sloten op ons digitale huis goed zijn”

Zorg dat de sloten op het nationale digitale huis deugdelijk zijn. Die oproep doet generaal-majoor buiten dienst Pieter Cobelens aan de Nederlandse autoriteiten.

Nu laat de digitale beveiliging in Nederland van vitale processen te wensen over, vindt Cobelens, voormalig hoofd van de Militaire Inlichtingen en Veiligheidsdienst (MIVD.

Hij is de kartrekker van het vorige week gelanceerde consortium cybersecurityketen.nl. Daarin werken vijf Nederlandse internetsecuritybedrijven samen om ons land te beschermen tegen cyberaanvallen. De deelnemende bedrijven zijn Legian, InterMax, Grabowsky, Restment en Hudsons Cybertec.

Wat wilt u bereiken?

Cobelens: „De vitale infrastructuur in Nederland veiliger maken. Denk aan waterleidingbedrijven, energieondernemingen en ziekenhuizen. Nu weten de Nederlandse autoriteiten vaak niet precies waar data rond digitale beveiligingssoftware zich bevinden. Die data zweven nu mogelijk ergens in de cloud in het buitenland. Met alle gevaren van dien.

Stel dat de Nederlandse overheid wat betreft versleuteling van geheime data gebruiktmaakt van software van Microsoft. In zo’n geval moet je niet uitsluiten dat in die software een achterdeurtje zit waar de Amerikaanse veiligheidsdiensten doorheen kunnen. Zo kan gevoelige informatie via allerlei omwegen terechtkomen in bijvoorbeeld een land als Afghanistan. Dat willen wij niet. Daarom moeten Nederlandse bedrijven met Nederlandse eigenaren dergelijke beveiligingssoftware ontwikkelen en beheren. Bedrijven die zich houden aan de Nederlandse regelgeving en waar onze overheid zicht op heeft. Zo bewaren we als het ware onze digitale kroonjuwelen in een deugdelijke kluis. Wij willen alle Nederlandse overheidsdata, zoals elektronische patiëntendossiers, in Nederland.”

Samenwerking tussen Nederlandse overheden, wetenschappers en ict-bedrijven van eigen bodem is cruciaal, benadrukt Cobelens. „De overheid moet de beste ict’ers binnen zien te halen en bereid zijn een salaris te bieden boven de Balkenendenorm.”

De deelnemende bedrijven binnen door het door u opgezette consortium hebben commerciële belangen?

„Winst maken is het doel van ieder bedrijf. Maar ik merk wel dat de directies van de bedrijven niet alleen maar sloten met geld willen verdienen. De samenwerking heeft ook een vaderlandslievend karakter. De bedrijven hebben de nationale veiligheid op het oog.”

De Nederlandse digitale muren zijn niet dik genoeg?

„We zouden ons in ons land meer zorgen moeten maken over de cyberveiligheid. Er worden Kamervragen gesteld over blaadjes op het spoor of over de wenselijkheid van alarmeringscodes bij zwaar weer. Maar dat zijn maar heel kleine zaken vergeleken bij de gevaren die dreigen als ons land doelwit is van een grootscheepse cyberaanval. Dan kunnen de camera’s van Rijkswaterstaat op de snelwegen uitvallen, vliegtuigen aan de grond komen te staan, bankrekeningen worden geplunderd of apparaten op operatiekamers uitvallen. Nee, het scenario dat cybercriminelen op afstand het stuur in andermans auto over kunnen nemen, is geen broodjeaapverhaal. Misdadigers zouden zelfs op afstand een vliegtuig kunnen kapen. Daarom is het zo nodig dat de overheden alert zijn op het gevaar van maatschappelijke ontwrichting door cyberaanvallen.”

Slimmerik kan veel narigheid veroorzaken

Handigerds op computergebied kunnen veel overlast teweegbrengen. Bijvoorbeeld op scholen. Dat bleek deze week weer eens. De computersystemen van scholengemeenschap Spieringshoek in Schiedam en het Van Lodenstein College in Amersfoort zijn de afgelopen tijd gekraakt geweest.

Op de school in Schiedam hebben tientallen leerlingen hun proefwerkcijfers eigenhandig veranderd. Een leerling had het slecht beveiligde netwerk van de school gekraakt en de wachtwoorden doorgespeeld. Zo hadden onbevoegden toegang tot cijferlijsten en leerlingendossiers. Op het Van Lodenstein College was de hack minder ernstig.

Het vorige week verschenen politierapport ”Nationaal Dreigingsbeeld 2017. Georganiseerde criminaliteit” beschrijft dat er in Nederland hacks zijn geweest op speelgoedfabrikant V-tech en huishoudketen Brabantia. Sinds 2016 bestaat in Nederland de verplichting datalekken te melden bij de Autoriteit Persoonsgegevens. Op 15 december 2016 stond de teller op bijna 5500 meldingen.

Bij tal van vormen van misdaad wordt digitale technologie ingeschakeld. De „opvallendste ontwikkeling” doet zich voor bij diefstal van auto’s, aldus de rapportopstellers. Steeds vaker gebruiken criminelen laptops voor het uitlezen van sleutels en het uitschakelen van het alarm en de startonderbreker. Bij winkeldiefstallen gebruiken dieven stoorzenders om detectiepoorten te ontregelen.

Handel op internet in illegale goederen (zoals drugs, wapens) neemt toe. Criminelen nemen vaker hun toevlucht tot het anonieme darkweb. Dat is een onderdeel van het deepweb, een deel van internet dat niet door zoekmachines zoals Google wordt ‘gezien’.

Bedrijfsspionage gaat zich de komende jaren in Nederland mogelijk vaker voordoen, schrijven de onderzoekers. Er zijn enkel Amerikaanse gevallen van bedrijfsspionage aan het licht gekomen. Zo gaf een Amerikaanse aanbieder van linnengoed toe een server van een concurrent te hebben gehackt om zicht te krijgen op diens klanten en die vervolgens te benaderen.

Hoeveel schade veroorzaakt cybercrime? De bedrijven McAfee en Deloitte schatten de totale schade voor de Nederlandse economie respectievelijk op 8,8 en 10 miljard euro. Meeste schade lijden bedrijven en overheidsorganisaties.