Rondtrekkend in Australië stuit je op een roedel kangoeroes. Je grijpt je smartphone en maakt een video. Meteen stuur je de beelden van de beweeglijke buideldieren door naar je broer in Garderen, 15.000 kilometer verderop. Binnen een minuut appt hij terug. „Beestachtig.” Paar duimpjes en smileys.

Internetgemak dient de mens. Binnen een oogwenk stel je het thuisfront op de hoogte van de laatste vakantiebelevenissen. Waar ook ter wereld.

Toch is het niet alles goud wat er blinkt. Steeds meer blijkt dat de digitalisering van de samenleving grimmige kanten heeft. Een computernerd uit China, actief voor de geheime dienst, zou die kangoeroevideo kunnen kraken. Of hij kan inbreken in computers van regeringsleiders. Elektriciteitscentrales in het honderd laten lopen. Stuwdammen laten breken. Sprookjes? Bangmakerij? In Oekraïne weten ze wel beter. In Rotterdam ook.

Stroom

Op de koude middag van 23 december 2015 worden de ogen van een medewerker van een energiecentrale in West-Oekraïne groot als schoteltjes. Hij ziet de cursor op zijn beeldscherm in beweging komen. Zonder dat de man iets doet, klikt zijn muis een scherm open en haalt een elektriciteitsstation offline.

Wanhopig grijpt de medewerker zijn muis. Wat hij ook probeert, de cursor reageert niet op zijn handelingen en schakelt stoïcijns het ene na het andere elektriciteitsstation uit. Machteloos kijkt de medewerker toe hoe de geheimzinnige hacker bijna zestig stations platlegt.

Noodstroomvoorzieningen worden onklaar gemaakt. Callcenters van energiebedrijven krijgen duizenden automatische telefoontjes, waardoor ze overbelast raken. Zes uur lang zitten meer dan 230.000 bewoners in het donker en in de kou. Daarna krijgen technici de elektriciteitsstations handmatig weer aan de praat. Computersystemen kampen nog wekenlang storingen.

Na maanden onderzoek ontdekken specialisten dat de aanval op de Oekraïense centrales zorgvuldig is voorbereid. Zo kregen ict’ers van elektriciteitsbedrijven phishingmail, waarbij mensen naar een valse site worden gelokt. Daarna installeerde zich ongezien malware (software die verstorend werkt) waarmee de aanvallers de beheernetwerken binnendrongen. Vervolgens zochten ze maandenlang op kantoornetwerken naar gebruikersnamen en wachtwoorden van medewerkers die betrokken waren bij de aansturing van de stations.

Lees ook

Meegluren in de babykamer

Conflict

Wie saboteerde de Oekraïense elektriciteitsvoorziening? Russische hackers, zeggen Oekraïense en westerse geheime diensten. De Nederlandse Militaire Inlichtingen- en Veiligheidsdienst (MIVD) wijst, specifieker nog, naar de leden van de ”unit 74455” van de Russische geheime dienst. De MIVD ontdekte dat de Russische hackers een computerserver in Meppel gebruikten voor hun digitale aanvallen op landen waarmee het land in conflict is.

Het verhaal over de hack op de elektriciteitscentrales staat in het enkele weken geleden verschenen boek ”Het is oorlog. Maar niemand die het ziet” van Huib Modderkolk (1982). Voor zijn speurtocht in de wereld van digitale oorlogvoering sprak de onderzoeksjournalist van de Volkskrant met 110 personen binnen onder meer veiligheidsdiensten, veelal op basis van anonimiteit. Dat zijn publicatie gevoelig ligt, bewijst het feit dat Modderkolk in juli op last van de rechter enkele passages over de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) uit zijn boek moest schrappen.

We weten niet half hoe kwetsbaar we zijn in de digitale wereld. Dat is vrij vertaald de conclusie in Modderkolks boek. Recente incidenten in 2019 laten zien dat „zelfs de gevoeligste systemen” niet veilig zijn, waarschuwt Modderkolk. Hij somt op: Bureau Jeugdzorg in Utrecht raakt ruim 3000 dossiers kwijt van kwetsbare kinderen. Bij het Gelre Ziekenhuis liggen na een phishingaanval patiëntgegevens op straat. Bij het Amsterdamse ziekenhuis OLVG kunnen studenten maandenlang grasduinen in medische dossiers.

Staatsgeheim

Wereldwijd woedt een ware digitale veldslag, beklemtoont Modderkolk. Agressieve hackers uit bijvoorbeeld China en Rusland weten door te dringen tot staatsgeheime informatie.

China zet dagelijks meer dan 100.000 hackers in. Relatief nieuw is langdurige spionage: geheime diensten dringen organisaties binnen en neuzen er jarenlang in de systemen. Opzienbarend is in 2013 een rapport van het Amerikaanse beveiligingsbedrijf Mandiant over spionagetactieken van China. Zo zetelen honderden militaire hackers in Shanghai in een flatgebouw. De onlinesoldaten horen bij een geheime eenheid (aangeduid met het cijfer 61398) van het Chinese Volksbevrijdingsleger. Systematisch proberen de hackers in te breken in westerse firma’s. De Chinezen komen in zeven jaar zeker 141 bedrijven binnen. In één geval stelen ze in tien maanden tijd 6,5 terabyte aan informatie – ofwel gegevens van zes grote universiteitsbibliotheken.

Als Coca Cola de overname van een Chinese frisdrankgigant overweegt, zit eenheid 61398 stiekem in het bedrijf. De hackers stelen de onderhandelingsstrategie van Coca Cola en andere bedrijfsgevoelige informatie. Ook breken de Chinezen in bij Lockheed Martin en stelen ze het ontwerp van het gevechtsvliegtuig JSF.

Lees ook

Slimme apparaten vaak onveilig: zes tips voor veilig gebruik

Goudmijn

Gehaaider dan de Chinezen zijn de Russen, betoogt de onderzoeksjournalist in zijn boek. Rusland snapt als een van de eerste landen dat internet een goudmijn is voor spionnen. In 1998 hebben hackers zich al toegang verschaft tot het Amerikaanse ministerie van Defensie en ruimtevaartorganisatie NASA.

De Russen spelen hun eigen „ondoorzichtig” spel, signaleert Modderkolk. Ze verschuilen zich achter criminele netwerken en opereren „een stuk geavanceerder” dan de Chinezen. „Russen werken slimmer, gedisciplineerder en zijn beter in staat hun sporen te maskeren. Ze zijn extreem goed in het volledig leegtrekken van een geïnfecteerd systeem.”

Als in februari 2014 de Oekraïnecrisis uitbreekt en Rusland het schiereiland de Krim annexeert, ontdekt België een professioneel spionagevirus in het systeem van het ministerie van Buitenlandse Zaken. Dat kopieert onder meer een vertrouwelijk diplomatiek rapport over Oekraïne. Alle sporen wijzen naar Rusland.

Een van de beruchtste digitale schelmenstreken van het Poetin-regime is het via internet beïnvloeden van de presidentsverkiezingen in Amerika in 2016. Via sociale media wakkeren de Russen bijvoorbeeld maatschappelijke tegenstellingen aan.

Huzarenstukje

In vergelijking met de inlichtingendiensten van Amerika en China is Nederland kleinduimpje. Toch staan de digitale spionnen van de AIVD wereldwijd goed aangeschreven, benadrukt Modderkolk.

Een huzarenstukje van de Nederlandse speurders is een digitale insluiping in een universiteitspand aan het Rode Plein in Moskou. Modderkolk beschrijft hoe de AIVD erin slaagt beelden van een beveiligingscamera in het gebouw te kopiëren. Zo merkt de dienst dat er hoge Russische inlichtingenofficieren rondlopen. Het pand blijkt tot grote verrassing van de Nederlanders een uitvalbasis te zijn van een beruchte Russische spionagegroep: APT29, ook wel Cozy Bear genoemd. De Nederlandse spionnen doen tijdens de gluursessies spectaculaire vondsten. De AIVD’ers zien hoe de Russen zich opmaken voor een aanval op de Amerikanen. Vanaf het Rode Plein gaan keurig in het Engels geformuleerde mails naar Amerikaanse mailadressen die eindigen op @state.gov. Het gaat dan om adressen van medewerkers van het Amerikaanse ministerie van Buitenlandse Zaken. Via list en bedrog lukt het de Russen uiteindelijk het niet-geclassificeerde deel van het computernetwerk van het Amerikaanse ministerie binnen te komen. De Amerikaanse diensten FBI en NSA kunnen dankzij de vondsten van de Nederlanders rap reageren op de Russische agressie.

Lees ook

Slecht grip op gevolgen digitale aanval

Geldverslindend

Harde noten kraakt Modderkolk over de Nederlandse overheid. Die trekt volgens hem te weinig geld uit voor degelijke beveiliging van de digitale infrastructuur. Voor „te ambitieuze” ict-projecten zijn ministeries bereid diep in de buidel te tasten, betoogt de journalist. Defensie (900 miljoen euro), belastingdienst (203 miljoen), bevolkingsregister (100 miljoen), rechtspraak (200 miljoen), Nederlandse Voedsel en Warenautoriteit (65 miljoen): na jaren stoppen ze met de geldverslindende vernieuwing van hun ict-systemen. Omdat de kosten anders nog verder oplopen.

Maar voldoende geld uittrekken voor digitale veiligheid? Dat doet de overheid niet, vindt Modderkolk. In plaats van de noodzakelijke 340 miljoen euro die de inlichtingendiensten AIVD, MIVD en terreurbestrijdingsorganisatie NCTV in 2015 aan premier Rutte vragen, wordt slechts „mondjesmaat” geïnvesteerd in beveiliging, gruwt hij. „Gaten worden gedicht waar de nood het hoogst is: het is als ducttape plakken in het ruim van een zinkend schip.”

Filmpje van brandende olie-installaties hakt erin

In een tijdsgewricht dat nieuws én nepnieuws zich razendsnel verspreidt, is voortdurende alertheid van de Nederlandse inlichtingendiensten AIVD en MIVD nodig.

Neem de recente fysieke aanval op Saoedische olie-installaties, zegt brigadegeneraal prof. Paul Ducheine, bijzonder hoogleraar recht van militaire cyberoperaties. Vanwege die aanval schroefde Saudi-Arabië de olieproductie fors terug. „Binnen een uur na de aanval stond een filmpje van brandende olie-installaties op internet. De oliemarkt reageerde onmiddellijk, prijzen gingen omhoog.”

Veiligheidsdiensten moeten zich er voortdurend van bewust zijn dat vijandelijke mogendheden via nepnieuws proberen bijvoorbeeld verkiezingen te beïnvloeden, geeft Ducheine aan. „Met een paar muisklikken kan een hacker aan de andere kant van de wereld hier de samenleving ontregelen.”

Trekt Nederland te weinig geld uit voor digitale beveiliging van vitale systemen, zoals journalist Modderkolk stelt (zie: Veldslag op het web)? „Ik vind dat een lastige vraag”, reageert prof. Ducheine. „We kunnen ons niet op alles voorbereiden en we kunnen niet alle risico’s wegnemen. Dat is simpelweg te duur én we gaan dan richting een politiestaat. Daar voel ik me niet senang bij. Er bestaat zeker onveiligheid, maar laten we niet doen alsof er alleen maar digitale rampen dreigen. Een moord betekent nog niet dat heel Nederland onveilig is. Ik heb wat moeite met een krijgshaftige aanduiding als digitale veldslag. Het is van alle tijden dat landen elkaar bespioneren. Vroeger werd een postduif ingezet, nu een hacker.”

Hoe dan ook zal het werk van geheime diensten zich steeds meer verleggen naar het web, benadrukt Ducheine. „Denk aan de komst van 5G. Steeds meer apparaten worden aan internet gekoppeld. Hackers kunnen inbreken op die apparaten. Voor inlichtingendiensten is het een forse klus ontwikkelingen op ict-gebied bij te houden en erop te reageren.”

Inlichtingendiensten zullen keuzes moeten maken, geeft de militair expert aan. „We kunnen bij lange na niet zo veel hackers inzetten als grootmacht China. Nederland zal zich richten op relevante landen. Denk voor de MIVD aan Afghanistan en Irak, waar we deelnemen aan militaire missies.”

Lees ook

„China achter hack Australische parlement”

Weer varen op de sterren

Wat als op zee het digitale navigatiesysteem het begeeft? Dan moeten rekruten ouderwets kunnen varen op de sterren. Daarom besloot de Amerikaanse marine manschappen weer te leren navigeren door het ‘lezen’ van de hemellichamen.

De Amerikaanse maatregel staat beschreven in een eerder deze maand gepresenteerd rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) over digitale ontwrichting.

Met het verhaal benadrukt de raad dat de Nederlandse overheid ‘ouderwetse’ alternatieven achter de hand moet hebben. Voor het geval dat bij een ramp digitale systemen het loodje leggen.

Net als onderzoeksjournalist Huib Modderkolk (zie: Veldslag op het web) maakt ook de WRR zich zorgen over de mate waarin Nederland is voorbereid op grootschalige digitale rampspoed.

Aan de hand van een reeks voorbeelden toont de WRR aan dat belangrijke processen door digitale storingen dan wel hacks razendsnel in de soep kunnen lopen.

n Noodnummer 112 ligt er afgelopen zomer urenlang uit.

n In augustus 2018 kampt Schiphol met een treinstoring vanwege een fout in de software van het verkeersmanagementsysteem. Zo’n 50.000 reizigers lopen vertraging op.

n Russische militaire hackers verspreiden in juni 2017 de ransomware NotPetya. Gedupeerd is onder meer Maersk, dat wereldwijd containerterminals beheert. Ook de Rotterdamse haven wordt getroffen. Containertransport komt deels stil te liggen.

n In 2017 besmet de ransomware WannaCry (afkomstig uit Noord-Korea) systemen van onder meer 600 zorginstellingen in Engeland. Afspraken van 19.000 patiënten worden afgezegd.

Nederland moet zich beter wapenen tegen digitale ontwrichting, schrijft de raad aan premier Rutte. Dit vanwege „de snelle digitalisering van de samenleving, de stijgende kosten van verstoringen en het gebruik van cyberwapens in geopolitieke conflicten.”

De gemeente Rotterdam bleek volgens de WRR bijvoorbeeld „niet voorbereid” op een Russische hackaanval in 2017. Die veroorzaakte verstoring van het containervervoer in de Rotterdamse haven.

Problematisch kan zijn dat de overheid leunt op één bedrijf, schetst de raad. Zo is Nederland voor beveiliging van overheidsinformatie sterk afhankelijk van Fox-IT. „Voor veel diensten van Fox-IT ontbreekt een alternatief, waardoor de recente overname van Fox-IT door een Britse partij te denken geeft.”

Doordat digitale netwerken landsgrenzen overschrijden, wordt het lastiger goed te reageren op ontwrichting, stelt de WRR. Als bijvoorbeeld sluizen met internet zijn verbonden, kunnen ze geraakt worden door „fouten en verstoringen in andere delen van wereldomspannende infrastructuur.”