calendar tag arrow download print
Image
Zelfrijdende auto
case
30 april 2019

Cyberaanvallen: dit gebeurt er bij sabotage

In drie cases laten we zien wat er bij cyberaanvallen gebeurt. We vergelijken ze met conventionele militaire middelen en bekijken de manieren waarop de samenleving zich ertegen kan weren. In deze case: cybersabotage.
Deze case komt uit Cyberspace zonder conflict

Met een cyberaanval kan men ook proberen een digitaal systeem te saboteren en schade aan te richten. Er zijn allerlei sabotages mogelijk, aangezien veel verschillende toepassingen digitaal verbonden zijn. In het kader hieronder hebben we een aantal ingrijpende voorvallen onder elkaar gezet.

Drie voorbeelden van cybersabotage

In 2007 lanceerden Russische patriottistische hackers een cyberaanval op buurland Estland. Er was een geschil tussen beide landen over de verplaatsing van een Russisch oorlogsmonument in de Estse hoofdstad Tallinn. Toen de Esten het monument verhuisden, reageerden de hackers met een verlammende cyberaanval op de websites van de Estse regering, de media en banken. Bijna een week lang konden deze instellingen geen zaken online doen, en konden burgers geen contact met hen opnemen. Rusland ontkent betrokkenheid.

In 2010 werd een malware-aanval gepleegd op een uraniumverrijkingsinstallatie bij Natanz in Iran. De malware, genaamd Stuxnet, is tijdens de operatie ‘Olympic Games’ door de VS in samenwerking met Israël ontwikkeld en door beide staten gebruikt om het nucleaire programma van Iran te saboteren. Het nucleaire programma is door deze aanval maanden (en misschien zelfs meer dan een jaar) vertraagd.

In 2015 viel twee dagen voor kerstmis op verschillende plaatsen in Oekraïne de stroom uit. Op het moment van de aanval was het nacht en vroor het bijna. Binnen een paar uur wisten de ingenieurs de stroom handmatig weer aan te zetten. Dit was de eerste cyberaanval waarbij een elektriciteitscentrale succesvol werd afgesloten. De aanval omvatte ook een DDoS-aanval die de klantenservice saboteerde. De Oekraïense geheime diensten stellen zonder twijfel dat de Russische overheid achter de aanval zat.

Naast die voorbeelden kunnen we ons ook andere sabotages voorstellen:

  • Iemand kan op afstand inbreken in een online verbonden zelfrijdende auto en deze laten verongelukken.
  • Iemand kan het netwerk van een ziekenhuis binnendringen en, aan de hand van gijzelsoftware (ransomware), patiëntendossiers vergrendelen en losgeld eisen.
  • Iemand kan toegang forceren tot een staatsgeheim AIVD-dossier en de inhoud ervan op openbare sites zetten.
  • Iemand kan een wifi-gestuurde pacemaker binnendringen en uitzetten.

Bedenk hierbij dat cyberaanvallen dikwijls bestaan uit verschillende sabotage- en spionage-elementen. Zo werd tijdens de Stuxnet-operatie (zie het kader hierboven) het systeem via een usb-stick geïnfecteerd, en stond op die usb-stick zelf saboterende code.

Een speciaal type cybersabotage zijn de DDoS-aanvallen. Die zijn namelijk niet afhankelijk van het binnendringen van een computersysteem. Een DDoS-aanval bestaat uit het versturen van serviceverzoeken naar een site of andere digitale dienst, om deze zo te overbelasten dat de dienst niet meer functioneert. Een grote groep computergebruikers kan dus gezamenlijk, zonder verder malware in te zetten, zo’n aanval in gang zetten. Klimburg schrijft in deze context over de vele computers van Chinese burgers die de Chinese staat kan gebruiken om een DDoS-aanval uit te voeren.

Vaak wordt echter een groot aantal computers gehackt, om via een zogenoemd botnet vanuit nog veel meer bronnen serviceverzoeken te versturen. In zo’n geval heeft een DDoS-aanval juist een uitgebreide fase van binnendringen. In deze context is het geautomatiseerd hacken van digitale apparaten een groot probleem. Door slimme software kan een hacker op hoog tempo duizenden bots verzamelen en met relatief weinig moeite een enorme aanval op poten zetten. DDoS-aanvallen zijn onverminderd populair, en er ontstaan meer geavanceerde en moeilijker te detecteren varianten.

Vergelijking met conventionele wapens

Cybersabotage verschilt op interessante wijze van conventioneel wapentuig. Het meest in het oog springende onderscheid betreft het schadepotentieel. Bommenwerpers, granaten, tanks en raketinstallaties kunnen mensen doden en in veel gevallen fysieke objecten, van bruggen tot energiecentrales, met de grond gelijk maken. We leven in een wereld gevuld met kernwapens, die de menselijke beschaving geheel kunnen vernietigen. Hoewel cyberwapens in sommige gevallen fysieke schade aan kunnen richten, zoals de operaties in Oekraïne en in Natanz lieten zien, verbleekt hun schadepotentieel in vergelijking met conventioneel wapentuig. Dit verklaart hoogstwaarschijnlijk dat staten tot dusver heel anders reageren op cyberaanvallen dan op conventionele aanvallen. Als Rusland het hoofdkantoor van de Rabobank niet met een virus maar met bommen zou bestoken, zouden de NAVO-landen zeer waarschijnlijk Rusland de oorlog verklaren.

Zoals gezegd is het schadepotentieel van cyberwapens nog volop in ontwikkeling. Wellicht is een verrassende en buitengewoon schadelijke cyberaanval, door sommigen ook wel een Cyber Pearl Harbor genoemd, een reële mogelijkheid, en kunnen toekomstige cyberwapens een samenleving ingrijpend ontwrichten. Maar in dat geval zou de beleving van een cyberaanval alsnog heel anders kunnen zijn dan de beleving van een oorlogshandeling die direct levens kost of gebouwen met de grond gelijk maakt. Een energiecentrale met de grond gelijk maken is iets anders dan de technologie dusdanig te manipuleren dat de centrale wekenlang geen stroom kan leveren.

In sommige gevallen is de schade van cyberaanvallen ook goed te herstellen. Een verloren leven is voor altijd verloren, en een historische kerk is niet zomaar herbouwd. Maar als een banksite een paar uur offline gaat en daarna weer werkt, heeft niemand het idee dat er voorgoed iets verloren is gegaan. Er is natuurlijk nog steeds serieuze schade: reparaties moeten uitgevoerd worden, nieuwe veiligheidsmaatregelen moeten ingekocht en opgesteld worden en belangrijke dienstverlening wordt uitgesteld. Maar de meeste mensen zullen het cyberincident snel vergeten. Dit is natuurlijk niet altijd het geval: een cyberaanval kan bijvoorbeeld ook cruciale documenten wissen die niet zomaar zijn herschreven.

Vanwege deze herstelbaarheid zien sommige auteurs cyberwapens daarom als een elegant alternatief voor conventionele wapens. Misschien zou het prachtig zijn als een land dermate digitaal overwicht heeft dat het enkel met de dreiging van cyberwapens internationale conflicten kan beslechten. Toch zou dit narratief ook naïef kunnen zijn. Misschien vervangen cyberwapens conventionele wapens niet, maar scheppen ze een nieuwe, snel escalerende fase van internationale belangenbehartiging, die opeens over kan slaan in geweldshandelingen.

Een ander groot verschil met conventionele militaire middelen ligt in de mogelijkheden om de cyberwapens zelf onklaar te maken. De mogelijkheden om cyberwapens onklaar te maken zijn veel groter dan bij een conventioneel geweer of een raket. Cyberwapens zijn wat dat betreft te vergelijken met virusziektes en inentingen. Als een effectieve inenting bestaat, kan een virusziekte geheel uitgeroeid worden. Net zo goed neemt de effectiviteit van een cyberwapen sterk af, als de kwetsbaarheid waar de schadelijke code zich op richt niet meer bestaat. Dit vereist dat computersystemen updates krijgen, wat vaak niet gebeurt. Maar de dynamiek is vergelijkbaar. Een effectieve update kan de angel uit een cyberwapen halen. Dit aspect verschilt sterk van conventionele wapens zoals jachtgeweren en kernbommen. Een enkel fysiek wapen kan vernietigd worden, en men kan allerlei verdedigingsmiddelen ontwerpen, maar het soort wapen houdt een aanzienlijk schadepotentieel.

Tegelijkertijd is een cyberaanvaller, in vergelijking met een reguliere militair, bijna niet te ontwapenen. Het is in verreweg de meeste ontwikkelde landen gemakkelijker om een computer te kopen dan een vuurwapen – en zeker geavanceerde militaire wapens zijn alleen voor hele specifieke actoren verkrijgbaar. Dus zelfs als de Verenigde Staten in staat zijn om vijandelijke computers onbruikbaar te maken, kan een cyberaanvaller op een nieuwe computer een volgende aanval plannen. Dit stelt vraagtekens bij plannen om cyberaanvallers tegen te houden door ze zelf met cybertechnologie aan te vallen – het is vrijwel onmogelijk om een tegenstander op die manier voorgoed onschadelijk te maken..

Ten slotte kunnen cyberwapens zich veel gemakkelijker verspreiden dan conventioneel wapentuig. Met een druk op de knop kan een virus in secondes van de ene naar de andere kant van de wereld worden gestuurd – dit geldt niet voor vuurwapens of kernraketten. Cyberaanvallers kunnen vanuit elke denkbare plek ter wereld een aanval plegen, zolang er maar verbinding is met het internet. Een aanval kan zich dus ook met een enorm tempo verspreiden. Dit gebeurde bijvoorbeeld met Stuxnet, dat zich vanuit Iran verspreidde naar computers in Europa. Bovendien kan een partij, soms van grote afstand, cyberwapens stelen – zo wist het hackerscollectief de ‘Shadowbrokers’ de NSA van allerlei wapens te beroven, die later online werden gezet.

Er bestaat een groot risico dat cyberwapens hergebruikt worden door andere partijen, en dat, zoals in het geval van Stuxnet, schadelijke code onbedoeld allerlei andere doelwitten treft. Het probleem van nevenschade (collateral damage) speelt natuurlijk ook bij de inzet van conventionele militaire middelen, en ook die middelen worden gestolen of gekopieerd door de tegenstander. Maar de schaal is anders. Een bombardement raakt misschien ook het ziekenhuis nabij de militaire basis, maar een verdwaald virus gericht op een computer in Nederland kan zomaar even later in Engeland schade aanrichten.

Het mondiale karakter van het internet compliceert zo de inzet van cyberwapens. De kans is aanzienlijk dat andere partijen uiteindelijk ook van de gevaarlijke code gebruikmaken, en dat er allerlei onvoorziene boemerangeffecten ontstaan.

Weerbaarheid

Voor een deel zijn de beschermingsmaatregelen tegen cybersabotage besproken. Als je ervoor zorgt dat een hacker niet in een systeem kan infiltreren, en binnen systemen zijn bevoegdheden niet kan uitbreiden, kan er in de meeste gevallen ook niet gesaboteerd worden. Als een hacker eenmaal binnen is, én de benodigde bevoegdheden heeft verzameld, zijn allerlei sabotages mogelijk.

Hierbij geldt dat er voor de ene sabotage meer expertise nodig is dan voor de andere. Om bijvoorbeeld malware te schrijven voor een petrochemische fabriek moet een hacker verstand hebben van de industriële software. Maar voor veel schadelijke sabotage is deze expertise niet nodig. Sterker nog: voor diensten als het versturen van spam-mail, het inzetten van een DDoS-aanval, het schrijven van malware en het rekruteren van bots bestaat een lucratieve markt. Zo lanceren sommige criminelen een DDoS-aanval tegen een onbeschermde site voor 100 dollar per dag, terwijl je voor een tegen DDoS beschermde site 400 dollar betaalt. De kosten voor de partij die door een cyberaanval wordt getroffen kunnen daarentegen flink oplopen. Kaspersky schat de kosten voor een klein bedrijf gemiddeld op bijna 90.000 dollar en de kosten voor een groot bedrijf op bijna 900.000 dollar. Het verschil in kosten tussen aanvaller en verdediger kan dus gigantisch zijn – en dan hebben we nog niet gekeken naar de inkomsten van de aanvallers. 

Al deze aspecten schetsen een zorgwekkend beeld: veel soorten cyberaanvallen zijn goedkoop, kunnen door leken besteld worden en zijn soms moeilijk verdedigbaar. Niet voor niets wordt telkens weer gewezen op de grote uitdagingen van cyberweerbaarheid. Tegelijkertijd laat de vergelijking met conventionele wapens zien dat de schade die cybersabotage tot dusver heeft aangericht wel ernstig is, maar geen mensenlevens opeist, een maatschappij niet schokt zoals een terroristische aanslag, en de samenleving niet ontwricht zoals een economische crisis, een zware droogte of een overstroming. Hoewel vitale infrastructuur wel door cyberaanvallen is aangetast, is deze infrastructuur meestal binnen een aantal uur weer op niveau gebracht. Toch biedt de relatieve mildheid van cyberaanvallen natuurlijk geen garanties voor de toekomst.

De verdediging tegen cyberaanvallers kan ook bestaan uit het beschadigen van die cyberaanvaller, bijvoorbeeld door die aanvaller uit te schakelen of af te schrikken. We hebben al genoemd dat het soms lastig is om cyberaanvallers te identificeren – maar dat is zeker niet onmogelijk. Zo zijn in het verleden verschillende cybercriminelen succesvol vervolgd en veroordeeld, en beweren inlichtingendiensten in sommige gevallen dat ze zeker weten wie de daders van een bepaalde aanval zijn geweest. Maar wanneer de aanval plaats vindt door, of met toestemming van, een andere staat, is niet gelijk duidelijk hoe er gehandeld moet worden – en welke strategie de cyberveiligheid uiteindelijk zal kunnen bevorderen.

Deze case komt uit Cyberspace zonder conflict