In de eerste drie maanden van dit jaar zijn twee Nederlandse overheidsinstellingen en een organisatie in de energiesector besmet na een hack met gijzelsoftware. Ook zijn er tientallen kwetsbaarheden in overheidssoftware aangetroffen.

Quote Zonder elektriciteit, toegang tot internet, drinkwater of be­ta­lings­ver­keer ligt de samenleving plat Nationaal Coördinator Terrorismebestrijding en Veiligheid Dat blijkt uit een overzicht dat deze site verkreeg na een beroep op de wet openbaarheid van bestuur (wob) bij het Nationaal Cyber Security Centrum. Het NCSC is de plek waar overheden als ministeries, provincies, gemeenten en waterschappen zich melden als ze een cyberaanval op hun systemen hebben ontdekt. Ook energiebedrijven, banken, nucleaire en chemische bedrijven, roepen bij zulke incidenten de hulp in van het NCSC.



Tussen 1 januari en 1 april 2017 zijn er 116 cyberincidenten geregistreerd. In vier gevallen gaat het om de zogenoemde ransomware, waarbij hackers losgeld eisen voor documenten die digitaal zijn gegijzeld. Het NCSC kan niet zeggen hoe vaak de pogingen van hackers in de eerste drie maanden van dit jaar geslaagd zijn en welke schade daarbij is aangericht. Ook is onduidelijk of de instellingen tot betaling van het geëiste losgeld zijn overgegaan.

Ransomware

Quote Ik acht het zorgwekkend dat ransomware een energiebedrijf is binnengelopen IT-onderzoeker Henk van Ess Op 10 maart 2017 is een ‘melding ontvangen van ransomware bij een organisatie in de energiesector’. Welke gevolgen deze ‘infectie’ met gijzelsoftware heeft gehad, geeft het NCSC niet prijs. Vast staat wel dat de energiesector tot de meest vitale infrastructuur van dit land behoort. Elektriciteitsbedrijven vormen de risicovolste categorie. ,,Zonder elektriciteit, toegang tot internet, drinkwater of betalingsverkeer ligt de samenleving plat’’, zo beschrijft de Nationaal Coördinator Terrorismebestrijding en Veiligheid, waaronder het NCSC valt. ,,Als deze infrastructuur uitvalt, kan dat grootschalige maatschappelijke ontwrichting veroorzaken.’’

Internetexpert Henk van Ess, die in opdracht van het Britse onderzoekscollectief Bellingcat in de wereldwijde aanval met gijzelingssoftware Wannacry dook, vindt het opmerkelijk dat er een instantie uit de energiesector is geraakt. ,,Ik acht het zorgwekkend dat ransomware een energiebedrijf is binnengelopen, omdat die doorgaans niet werkt met gewone pc's en gewone software. Ik weet dat er jarenlang geruchten gingen dat een Nederlands energiebedrijf een enorm bedrag moest betalen voor ransomware, maar het is nooit bewezen.’’ Van Ess betreurt het dat de overheid in het overzicht op geen enkele wijze aangeeft hoe ernstig de hack met ransomware is geweest. ,,Het kan gaan om één computer, maar het kan ook gaan om een hele reeks.’’

Dit weekend werd de wereld opgeschrikt door een gigantische aanval met gijzelsoftware, genaamd Wannacry. Daarbij werden wereldwijd meer dan 200.000 bedrijven en instellingen in 150 landen geraakt. In Engeland kampten ziekenhuizen met levensbedreigende problemen, doordat uitslagen van bloedtesten bijvoorbeeld niet meer binnen kwamen. Maar ook Deutsche Bahn, Telefonica en de Franse autoproducent Renault werden geraakt. In Nederland waren de parkeergarages van Q-Park de dupe.

Nederlandse kwetsbaarheden

Quote Verreweg de meeste meldingen hebben te maken met verwijtbare fouten IT-expert Henk van Ess Uit het nu verstrekte overzicht blijkt ook dat in Nederland op 8 maart 2017, twee dagen voor de hack op de energiesector, een overheidsorganisatie is besmet met ransomware. Op 17 februari 2017 was het ook raak in ons land en werd er eveneens een ‘ransomeware infectie’ gemeld. Volgens IT-kenners blijkt uit het overzicht dat overheden kampen met tientallen ‘kwetsbaarheden’. Uit analyse van de 116 gemelde cyberincidenten blijkt er in 45 gevallen sprake van ‘exploitation of vulnerability’, ofwel ‘uitbuiting van kwetsbaarheden’.

IT-expert Ronald Prins, baas van het bedrijf Fox-IT dat gespecialiseerd is in de beveiliging van computers en netwerken, beschrijft dat hackers dan ‘gebruik maken van een bekende kwetsbaarheid’. Van Ess valt hem bij. ,,Verreweg de meeste meldingen in eerste kwartaal hebben te maken met verwijtbare fouten.’’

Phishing, een vorm van internetfraude, waarmee fraudeurs proberen achter bank- of persoonsgegevens te komen, eindigt met 17 gemelde incidenten op de tweede plaats. ,,Dat is in principe ook niet iets wat je overkomt, maar iets waarbij je zelf actief dom moet doen.’’

Gemakkelijke wachtwoorden

Op de derde plaats staat ‘unauthorised acces’, ofwel ‘ongeautoriseerde of onbevoegde toegang’. Van Ess: ,,Van de nummer drie kan ik niet beoordelen in hoeverre dat verwijtbare fouten zijn. Dat kan gaan om een intelligente aanval, maar ook om te gemakkelijk te raden wachtwoorden.’’