Is dit de digitale watersnoodramp die leidt tot een cyberdeltaplan?

ANP
Geschreven door
Paulus Houthuijs
Redacteur Online

"We hebben geen idee wat voor medicijnen mensen hebben gebruikt of welke allergieën ze hebben", zei een radeloze Britse dokter gisteren tegen de BBC.

De grote, internationale gijzelsoftware-aanval maakt nog eens duidelijk hoe kwetsbaar landen anno 2017 zijn. Of beter gezegd: steeds meer worden. Computers bij zeker zestien ziekenhuizen, overheden en bedrijven in 99 landen werden geblokkeerd door de ransomware. Een rode pop-up verscheen op het scherm met de tekst: betalen, of je verliest alle gegevens.

Zo werkt de afpersings-software

En dan hebben de slachtoffers volgens Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit, nog geluk gehad dat het criminelen waren die geld wilden. "Stel je voor dat bijvoorbeeld Noord-Korea zo'n grote aanval uitvoert en gelijk alle gegevens wist? De gevolgen zouden gigantisch zijn!"

Hij hoopt dat het een wake-up-call is om zo snel mogelijk de cyberveiligheid op peil te krijgen. "Je vraagt je af: als dit nog niet als ramp wordt gezien, wat dan wel?"

Update

De digitale gijzeling was vrij gemakkelijk te voorkomen geweest. De nieuwe systeemupdate van Microsoft tijdig installeren had volstaan. Toch was dat in de zestien Britse ziekenhuizen niet gedaan, waardoor het programma zich snel verspreidde.

Screenshot van de Nederlandse versie van de ransomware die wordt verspreid Screenshot

Het Nederlandse Nationaal Cyber Security Centrum (NCSC) adviseert dat updaten dan ook zo snel mogelijk te doen en de patch zo snel mogelijk te installeren. Bij het centrum zijn de sectoren zorg, financiën, waterbedrijven en elektriciteitsbedrijven aangesloten. Ze delen onderling informatie uit over cyberaanvallen. Zo waarschuwde het NCSC al vorig jaar uitgebreid over ransomware. Maar de precieze deelnemers uit de sectoren blijven anoniem.

Zorgsector

"De tegenhanger van openheid is reputatieschade", zegt hoogleraar Cyber Security Jan van den Berg van de TU Delft. Hij hoopt dat er een betere vertrouwensband ontstaat binnen de zorg en dat ziekenhuizen en andere zorginstanties nauwer gaan samenwerken. De sector is volgens hem nog te veel bezig met hoe je mensen kunt genezen en minder met de risico's van bepaalde technologie.

"Je kunt concluderen dat de zorgsector minder goed beveiligd is dan bijvoorbeeld de banksector." Daar wordt volgens Van den Berg beter samengewerkt om digitale gijzeling of diefstal te voorkomen.

De beruchte Carbanak-aanvallen in 2015 maakten nog eens duidelijk waarom dat zo hard nodig is. Met de aanval werd naar schatting een half miljard tot een miljard dollar gestolen. "Pinautomaten begonnen spontaan geld uit te spugen", zegt Van den Berg.

Ook het Internet of Things is een risico. Van waterkokers tot auto's en pacemakers tot sluizen; er zijn steeds minder apparaten die niet meer zijn aangesloten op het internet. Vroeger kon een hacker een paar computers platleggen. Nu een heel ziekenhuis, of meer, omdat alles aan elkaar geknoopt is.

"Daarom moet je ict-systemen beter beveiligen", zegt Jacobs. "Updates sneller uitvoeren, het patchbeleid echt op orde hebben en kritischer kijken naar wat we digitaliseren."

Pacemakers

Hij geeft een voorbeeld van pacemakers die per telefoon te besturen zijn. Het apparaatje, waarmee je je hartslag het juiste ritme geeft, is met een app op afstand bestuurbaar. "Als je als fabrikant zoiets op de markt brengt zonder heel sterke versleuteling ter bescherming, dan ben je echt fout bezig."

Hoogleraar Van den Berg vindt dat ook het geval bij connected cars (auto's die zijn aangesloten op het internet). "Op cybergebied is veel zo ongelofelijk slecht doordacht. De overheid geeft er weinig sturing aan en aansprakelijkheid is niet goed geregeld." Hij benadrukt dat de auto's niet makkelijk te hacken zijn, maar dat het zeker mogelijk is.

Sommigen zeggen: eigenlijk zou er weer eens een Watersnoodramp moeten gebeuren - in cyberspace

Hoogleraar Cyber Security Jan van den Berg (TU Delft)

Natuurlijk zijn er voordelen van de digitalisering. Het heeft ons enorme vooruitgang opgeleverd. Toch moeten we volgens het duo niet de ogen sluiten voor de risico's.

"Sommigen zeggen: eigenlijk zou er weer eens een Watersnoodramp moeten gebeuren - in cyberspace", zegt Van Den Berg. Want pas na een incident neemt een maatschappij doorgaans grote maatregelen. Volgens de Cyber Security-hoogleraar moet de overheid bijvoorbeeld meer geld steken in onderzoek naar de risico's.

Ook Jacobs vindt dat er meer oog moet zijn voor de nadelige kanten van het computertijdperk. Hij hoopt dat de gijzelsoftware mensen wakker schudt, maar koestert geen illusies. "Wake-up-calls werken wel, maar tijdelijk. De maanden erna wordt er een hoop aan gedaan, maar een jaar daarna..."