Tags
Hoe de EU een digitaal ‘Pearl Harbor’ wil voorkomen (Sandra Olsthoorn en Jan Fred van Wijnen, Tech en media/fd, 18 sept. 21)
Frankrijk neemt de leiding in de Europese strijd tegen computerinbraken. Maar samenwerking binnen de EU blijkt lastig. Wat mag je bijvoorbeeld wel en niet aan elkaar doorspelen? Eén paardenmiddel staat alvast in de steigers: torenhoge boetes voor bedrijven met gammele beveiliging.
In het kort:
- Op International Cybersecurity Forum in Lille klonk onversneden oorlogstaal.
- Europese samenwerking is hard nodig, ook omdat de aanvallen met topsnelheid worden uitgevoerd.
- Maar de Europese familie blinkt niet uit in onderling vertrouwen, en niet elk Europees land heeft volwassen cybersecurity.
‘Elk wapensysteem heeft digitale onderdelen’, zegt generaal Philippe Geay de Montenon, tweede man van de nationale cyberverdediging in Frankrijk. ‘Daarom vrezen we altijd het moment dat we onze wapensystemen niet meer kunnen gebruiken. Van de luchtverdediging tot ons nucleaire arsenaal.’
De Franse ‘cyber commander’, in grijsgroen uniform met decoraties, zit in een zaaltje op het International Cybersecurity Forum in Lille, Noord-Frankrijk. Naast hem zitten collega’s uit Spanje en Estland, kaarsrecht en eveneens gedecoreerd. Ze bespreken hun onzichtbare strijd met ‘onconventionele tegenstanders’, die niet meer vechten met een tank maar met een laptop. ‘Soms is het een staat. Soms zijn het criminelen. Soms allebei tegelijk’, zegt Geay de Monteno.
Meest zorgwekkend volgens hem zijn tegenstanders die hun software stiekem begraven in een digitaal systeem. Jarenlang is hij in winterslaap, maar op commando wordt de aanval geactiveerd.
‘We zijn constant op zoek naar zulke software’, zegt de Franse generaal. Maar verwacht geen persberichten als de slapende vijand wordt ontdekt: ‘We willen niet dat de tegenstander weet dat we hem door hebben.’
Pearl Harbor, guerrilla, pandemie, bosbrand
Op het congres klinkt onversneden oorlogstaal. Eurocommissarissen, nationale cyberchefs, grote en kleine IT-bedrijven, investeerders: iedereen voelt de digitale ‘Pearl Harbor’ in de lucht hangen – een verwijzing naar de verrassingsaanval van Japan op de Amerikaanse basis in Hawaï in 1941. De supermachten voeren een digitale ‘Koude Oorlog’, hackerscollectieven een digitale ‘guerrilla’.
Ook de gloeiend hete zomer voedt angstbeelden. Het is een ware ‘bosbrand’, zegt Juhan Lepassaar, directeur van het EU-bureau voor digitale verdediging, Enisa. Zijn kantoor is in Athene. ‘Sinds 2019 nam het aantal serieuze incidenten met 72% toe.’
Bij anderen is de medische metafoor populair. ‘De volgende pandemie is een cyberpandemie’, zegt Xavier Bertrand, een Franse presidentskandidaat die het opneemt tegen Emmanuel Macron. Sinds januari ligt elke week één Frans ziekenhuis plat door gijzelsoftware, volgens de Franse staatssecretaris van digitale zaken, Cedric O.
Hoe voorkom je zo’n ‘Pearl Harbor’, die uit het niets de vitale infrastructuur van een land vernielt? Door de nukkige Europese familie te laten samenwerken, daarover is de verzamelde Europese cyberelite in Lille het eens.
‘Samenwerking is een must’, volgens generaal Francisco Javier Roca, cyber commander bij het Spaanse leger. Maar hij legt meteen de vinger op een zwerende plek. Want de Europese familie blinkt niet uit in onderling vertrouwen. ‘Landen als Frankrijk en Spanje hebben een militair aan het hoofd van de cyberverdediging, andere landen een burger. Dan wordt het opbouwen van vertrouwen een uitdaging’, zegt de Spaanse soldaat.
Bovendien zitten er gaten in de verdediging: ‘Niet elk Europees land heeft volwassen cybersecurity.’
Aanvallen met topsnelheid
Samenwerking is ook nodig omdat de aanvallen met topsnelheid worden uitgevoerd. Begin juli plantten hackers een virus in de software van Kaseya, een Amerikaans ICT-bedrijf. Met Kaseya-software worden IT-systemen op afstand onderhouden. In één aanval drong het virus vrijwel direct door tot de systemen van tienduizenden bedrijven, van de Zweedse supermarktketen Coop tot het Nederlandse IT-bedrijf VelzArt en zijn klanten. Voor $70 mln waren de hackers bereid om alle gegijzelde bestanden vrij te geven.
‘Het duurde slechts drie minuten’, zegt Frank Breedijk, leider van het crisisteam van DIVD (een meldpunt voor kwetsbare plekken in IT-systemen). ‘Toen waren bijna alle computers geïnfecteerd die op het Kaseya-systeem van VelzArt waren aangesloten. Als mens kun je daar niet tegenop.’
Hij is in Lille om zich te oriënteren op kunstmatige intelligentie. Misschien kan het slimme brein een massale, geautomatiseerde aanval onderscheppen.
Informatie druppelt omlaag
Maar landen die elkaar bliksemsnel tippen over nieuwe hacks? Breedijk heeft er een hard hoofd in. ‘Je móet samenwerken’, zegt hij. ‘Het internet kent geen grenzen. Dus ook digitale dreigingen niet.’ Maar Europa struikelt nog over de vraag wat je wel en niet aan elkaar mag doorspelen. ‘Wij wilden informatie over een digitale inbraak doorgeven aan een Franse internetprovider. Die wilde het niet in ontvangst nemen. Dat was in strijd met de Franse privacyregels, kregen we te horen.’
Zelfs binnen Nederland wordt informatie over hacks en kwetsbaarheden veel te traag verspreid, vindt Breedijk. Een aanpassing van de Wet beveiliging netwerk- en informatiesystemen moet dat verhelpen, vanaf volgend jaar. Dan mogen ook ‘gewone’ bedrijven toetreden tot het uitverkoren genootschap dat informatie krijgt van de overheid. Dat genootschap is de ‘kritische infrastructuur’ van het land, zoals banken, energie- en waterbedrijven.
Breedijk: ‘Nederland creëert een piramide, met bovenin het Nationaal Cyber Security Centrum, waarin de informatie van boven naar beneden druppelt. Daar zijn veel organisaties en regels bij betrokken, en veel potentiële vertraging. Dat gaat niet werken.’
Ook de ontvangers van de ‘threat intelligence’ vormen een zwakke schakel. ‘Er is nu al een overload aan waarschuwingen. Daardoor mis je wel eens wat. En veel organisaties weten niet precies welke software de verschillende vestigingen of teams gebruiken.’
‘Blame culture’
Ook de industrie smeekt om uitwisseling van informatie. Maar niet onder elke voorwaarde. Markus Braendle, ceo van Airbus Cybersecurity, een dochter van luchtvaartconcern Airbus, wil geen ‘blame culture’, zegt hij aan de telefoon. ‘Ik zou graag zien dat Europese overheden een vertrouwde toezichthouder creëren, waar bedrijven kunnen melden dat ze worden aangevallen. Zodat de informatie over de hack meteen wordt gedeeld met andere bedrijven in de kritische infrastructuur.’
Maar meldingen kunnen juridische consequenties hebben. Dat kan bedrijven afschrikken, denkt Braendle. ‘Een melding moet niet meteen leiden tot een boete, want dan neemt de bereidheid om te melden af.’ Hij pleit voor een waterdichte scheiding tussen de toezichthouder die boetes uitdeelt, en de instantie die informatie over hacks verzamelt.
De zorgen van Braendle komen niet uit de lucht vallen. Volgend jaar bespreekt het Europees Parlement de nieuwe Network and Information Security-richtlijn. Die schrijft EU-landen voor hoe stevig hun cybersecurity moet zijn, en hoe ze informatie moeten delen met andere landen. Het is een update van een wet die nog maar vijf jaar oud is, maar die nu al niet meer voldoet. Want Europa wordt simpelweg onder de voet gelopen, volgens Enisa, het EU-bureau voor digitale verdediging. Vooral met aanvallen à la Kaseya, die zich razendsnel verspreiden. Dit jaar zijn deze zogeheten ‘leveranciersaanvallen’ verviervoudigd ten opzichte van 2020.
Boetes voor zwakke beveiliging
Met de nieuwe wet introduceert Brussel een paardenmiddel tegen slordige beveiliging. Lidstaten kunnen dan miljoenenboetes opleggen aan bedrijven die een inbraak hebben gehad, of die hem niet melden. Het maximum is €10 mln of 2% van de wereldwijde jaaromzet.
Volgend jaar is Frankrijk de nieuwe EU-voorzitter. Veilig internet wordt een speerpunt. ‘De dreiging is geen science fiction meer’, zegt Guillaume Poupard, directeur van het Franse nationale centrum voor cybersecurity ANSSI.
De Fransen hebben een stevig plan om de ‘digitale soevereiniteit’ van Europa te verzekeren. Belangrijkste missie: een beveiligingsindustrie van wereldklasse, die zich kan meten met de beste cybersecurity bedrijven uit de VS, Israël en Groot-Brittannië. De Franse cyberchef: ‘Wij zullen de beweging in gang zetten.’
‘Hoge boetes, dat werkt’
Het is een rekensom, volgens Juhan Lepassaar. De Est, die het Europese cybersecuritybureau Enisa leidt, vroeg 950 bedrijven wat ze uitgeven aan digitale verdediging. Het gemiddelde bedrijf investeert €2 mln. Nogal mager, vindt Lepassaar: ‘Twee derde van de cyberchefs heeft meer nodig, maar krijgt het niet.’ Toch kost de gemiddelde hack ze €160.000, zegt hij. En het aantal hacks explodeert. ‘Dat is een business case voor de boardroom.’ Naast gezond verstand, hoopt hij op afschrikking. Brussel komt met de nieuwe Network and Information Security Directive (afgekort NIS2), die minimumeisen stelt aan de veiligheid van computers en netwerken. De Europese Commissie denkt aan torenhoge boetes voor organisaties die de regels niet naleven. ‘Grote boetes werken’, stelt Lepassaar. ‘Kijk maar naar de privacywet GDPR.’ Een alternatief, denkt hij, is dat bedrijven aansprakelijk kunnen worden gesteld door burgers die slachtoffer zijn van gebrekkige beveiliging.
*Fantastische informatie die natuurlijk op het bord van de nieuwe minister voor Digitale Zaken komt te liggen.
https://fd.nl/politiek/1412359/hoe-de-eu-een-digitaal-pearl-harbor-wil-voorkomen-lsi1cahAMOIl