Overheid laks na grote cyberaanval

Door verslaggever Jeroen Wollaars en research-redacteur Hugo van der Parre

De overheid weet welke duizenden bedrijven en overheidsinstellingen afgelopen najaar slachtoffer geworden zijn van cybercriminelen, maar met die kennis is niets gedaan. Dat blijkt uit onderzoek van de NOS.

Computerbestanden van energieproducenten, mediabedrijven, ziekenhuizen, universiteiten, luchtvaartmaatschappijen en andere bedrijven zijn in handen gekomen van Oost-Europese criminelen. Die lopen nog steeds vrij rond en beschikken mogelijk nog over de computerbestanden.

De cybercriminelen opereerden via een zogeheten botnet, een netwerk van computers, waarmee ze doordrongen tot 150.000 computers in Nederland. In totaal gaat het om 750 gigabyte aan data. Na de inbraak legde het digitaal forensisch onderzoeksbureau Digital Investigation het netwerk in september plat.

Geen verder onderzoek

De afdeling High Tech Crime van de politie kreeg een maand later van de onderzoekers een harddisk met een kopie van het bestand. Die harddisk bleek echter onleesbaar. De politie besloot toen geen verder onderzoek te doen. Pas gisteren hebben ze, na vragen van de NOS, om een nieuwe kopie gevraagd.

Een digitaal bestand van 750 GB is vergelijkbaar met een bibliotheek met 37 kilometer boekenplank, ofwel zo'n anderhalf miljoen boeken.

De NOS kreeg toestemming om twee dagen in het gigantische databestand rond te neuzen en vond veel gegevens afkomstig van computers van onder meer gemeenten, waterschappen, ziekenhuizen, universiteiten, ministeries, media, ondernemingen en bedrijven die deel uitmaken van de vitale infrastructuur zoals energie- en waterleidingmaatschappijen.

Inlogcodes gekopieerd

Het gebruikte virus bracht steeds het bedrijfsnetwerk in kaart en kopieerde intussen alle ingetikte inlogcodes, vertrouwelijke mails, rapporten over bedrijfsprocessen, toegangscodes voor servers en creditcardgegevens.

Volgens Rickey Gevers van het onderzoeksbureau Digital Investigation kun je met behulp van de gestolen data veel kwaad aanrichten. "Met deze gegevens zou je heel Nederland kunnen platleggen, zo eenvoudig is het. Eenmaal binnen in een bedrijf kun je doen wat je wilt."

Niet gealarmeerd

Het is niet uitgesloten dat het bestand nog steeds in handen is van criminelen. Gevers is daarom ook verbaasd dat de overheid de besmette bedrijven niet veel actiever heeft gealarmeerd. Hij heeft in december het Nationaal Cyber Security Centrum (NCSC) benaderd met een lijst van besmette computers.

Het grote databestand zelf heeft het NCSC niet willen aannemen, omdat het mogelijk om gestolen materiaal gaat.

Het NCSC zegt op basis van die lijst organisaties uit de vitale infrastructuur te hebben gewaarschuwd. Maar uit een steekproef van de NOS onder kwetsbare instellingen blijkt dat die van niets weten.

Onder meer de waterleidingbedrijven, een grote energieproducent en ziekenhuizen zeggen niet benaderd te zijn door het NCSC met een specifieke waarschuwing. Sommige organisaties en bedrijven detecteerden zelf dat ze werden aangevallen en hebben maatregelen genomen, maar ze hebben nooit gehoord welke data uit hun computers zijn gestolen.

Schot hagel

Professor Michel van Eeten van de TU Delft, deskundige op het gebied van IT en bestuurskunde, relativeert overigens het gevaar van dit botnet.

Volgens hem ging het hier om een ongerichte aanval, waarbij het de cybercriminelen vooral te doen was om bankgegevens en inlogcodes. Dus niet gericht op specifieke bedrijfsgeheimen. "Een schot hagel" noemt hij het. De kans dat dit soort informatie gebruikt zal worden om bedrijven lam te leggen, acht hij daarom niet groot.