De wereldwijde cyberaanval is zaterdag gestopt. Maar het gevaar is volgens deskundigen bepaald nog niet geweken. Experts houden rekening met een nieuwe poging van computercriminelen om systemen stil te leggen. Hun doel is niet politieke chaos te creëren; het gaat hun om geld.
De aanval van vrijdag was de grootste uit de geschiedenis. Binnen enkele uren raakten in meer dan zeventig landen vitale voorzieningen vleugellam of geheel uitgeschakeld. Zelfs ziekenhuizen hadden problemen. En dat alleen maar omdat de boeven geld wilden hebben. Hoe hardvochtig kan een mens zijn als het om zijn portemonnee gaat. Zelfs in oorlogstijd zijn strijdende partijen terughoudend om plaatsen waar mensen worden verpleegd aan te vallen.
De cyberaanval kwam niet onverwacht. Vorig jaar al waarschuwden instanties dat de wereld dit jaar geconfronteerd zou worden met een forse toename van ‘aanslagen’ op computersystemen. Enerzijds heeft dit te maken met de steeds hechtere verknoping van computernetwerken waardoor virussen zich gemakkelijker en sneller zouden kunnen verspreiden. Anderzijds is die toename een gevolg van inventiviteit van computercriminelen.
Die twee factoren zijn echter een gegeven. Maar dat geldt ook voor het feit dat een aanval als deze relatief eenvoudig te voorkomen was. In dit geval betrof het een veiligheidsupdate van Microsoft die al twee maanden geleden doorgevoerd had kunnen worden.
Blijkbaar krijgt het thema computerveiligheid niet die aandacht die het verdient. Ja, op papier staat het –zeker in Nederland– hoog op de agenda. Maar als het om uitvoering van maatregelen gaat, treuzelen instanties. Zo zegt het Amerikaanse Potomac Institute for Policy Studies in een rapport dat dinsdag verschijnt, dat Nederland uitstekende plannen heeft maar voor de uitvoering geen geld vrijmaakt. Daarnaast stellen toezichthouders op computerveiligheid dat veel nutsvoorzieningen en ziekenhuizen gebruikmaken van verouderde systemen, waardoor ze een gemakkelijke prooi worden van computercriminelen.
Vanuit maatschappelijk oogpunt nemen overheden en instanties hiermee een onverantwoord groot risico. Maar zij zijn niet de enigen. Ook bedrijven zijn soms laks door te lang verouderde systemen te gebruiken of door te bezuinigen op beveiliging. Dat kan hun opbreken, soms heeft dit zelfs de ondergang van het bedrijf tot gevolg. Om die reden heeft de Kamer een wet aangenomen die directies aansprakelijk stelt als ze de veiligheid van hun computersystemen hebben laten versloffen.
Terecht, want in een tijd waarin informatie en data een essentieel onderdeel zijn, welhaast de ruggengraat van de samenleving, is het verwijtbaar wanneer mensen op deze posities hun verantwoordelijkheid niet nemen. Er moet dus een omslag komen in het denken over cyberveiligheid. Het enige lichtpuntje aan deze cyberaanval is dat dit onderwerp nu weer hoog op de agenda staat. Deze keer was de aanval relatief gemakkelijk af te slaan, maar kenners geven aan dat het een kleine moeite is om een variant te bedenken die nog veel venijniger is.
