Zo oefent Nederland voor een grootschalige cyberaanval
Het betalingsverkeer valt uit, de borden op de treinstations zijn leeg en cruciale overheidssystemen werken niet meer. De onrust in de samenleving noemt toe. De dader? Een "voormalig Sovjetland, afhankelijk van gasexport".
Een echt grote digitale aanval kan ook de fysieke wereld treffen, en dus hebben 3000 werknemers van 120 overheidsinstanties en zogenoemde vitale bedrijven vorige maand geoefend met de reactie op zo'n scenario.
Naast de Rijksoverheid, gemeenten en veiligheidsregio's deden medewerkers van elektriciteitsnetbeheerder Tennet, energie- en drinkwaterbedrijven en internetproviders mee. Ook de inlichtingendiensten AIVD en MIVD waren aanwezig.
De NOS sprak tijdens de oefening met deelnemers en de organisatoren en kreeg een intern document met het - deels geheime - oefenscenario in handen. De belangrijkste conclusie van de oefening: de overheid moet beter bepalen welke organisaties en instanties het eerst geholpen moeten worden als het écht misgaat.
Achterdeurtje
Het scenario voor de oefening is geïnspireerd door de echte wereld: in veelgebruikte software blijkt een beveiligingsprobleem te zitten dat actief wordt misbruikt. Dat kwam de afgelopen jaren meerdere keren voor, maar in dit geval is het achterdeurtje bewust open gezet door een buitenlandse overheid. Het is daarmee vergelijkbaar met de beruchte cyberaanval op Oekraïne, die als neveneffect ook de Rotterdamse haven trof. Inlichtingendiensten zijn het erover eens dat Rusland achter die aanval zat.
Voor alle deelnemers is duidelijk dat het bij de oefening ook om Rusland gaat, al wil niemand dat hardop zeggen. Hester Somsen, directeur cybersecurity bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid: "We hebben ons laten inspireren door het cybersecuritybeeld, en gekeken: wat zou een realistisch scenario zijn?" In het bewuste rapport wordt Rusland 35 keer genoemd, vaker dan alle andere landen bij elkaar. "Het is geen fictief, ondenkbaar scenario", voegt Somsen toe.
Niet op papier
"Eigenlijk wilde ik de getroffen computers ook echt wipen", zegt Sam Berkhout, ethisch hacker bij beveiligingsbedrijf Fox-IT, die voor de oefening in de huid van de aanvaller kroop. Bij het wipen van een computer wordt de inhoud volledig gewist: een tactiek die door zowel criminelen als overheden, ook bij Oekraïne, is ingezet om maximale schade te veroorzaken.
Speciaal voor de oefening bouwde Berkhout software die op de computers van deelnemers werd geïnstalleerd. Deze software bevat ook al een achterdeurtje, dat in het oefenscenario door een corrupte medewerker is ingebouwd.
Het achterdeurtje zorgt ervoor dat de computer waarop het draait uiteindelijk wordt gewist, zodat de aanvallers hun sporen kunnen wissen. "Maar toen ik dat ook echt wilde inbouwen, werd ik wel even teruggefloten."
De deelnemende computerbeveiligers moeten dat achterdeurtje met zorg onschadelijk maken. Schakelen ze alle systemen of internetverbindingen uit, een vaak voorkomende reflex bij een grote digitale crisis, dan komt dat als een boemerang weer terug.
"Als de software nog draait, zal hij ook alles wipen", zegt Berkhout. Alle achtergebleven frauduleuze stukjes software moeten nauwkeurig worden verwijderd: als er op één computer nog een actief is, kan de fictieve aanvaller al naar binnen komen.
Fictieve Kamervragen
Toch is de oefening niet alleen bedoeld voor cybersecurity-experts, maar juist ook om de rest van de overheid en kritieke organisaties met zo'n crisis te laten oefenen. Er worden fictieve Kamervragen gesteld, journalisten willen antwoorden, en ook burgers beginnen zich te roeren.
Doel van de oefening is om de reactie van de overheid op een grote, succesvolle cyberaanval te testen. Belangrijk daarbij is om ook bestuurslagen binnen een overheid of kritieke organisatie te laten nadenken hoe ze daarmee moeten omgaan, zegt Somsen. "Nieuwe Europese regelgeving verplicht ook om daarover na te denken."
Bijzonder aan een grote digitale crisis is dat er veel meer onduidelijk is dan bij bijvoorbeeld een doorgebroken dam. "Daarbij is vrij snel duidelijk wat er aan de hand is", zegt Somsen. Eigen aan een digitale crisis is dat heel lang onduidelijk kan zijn waardoor de problemen precies worden veroorzaakt. Dat kan weer tot onrust leiden, ook onder de bevolking.
Er zijn in Nederland niet genoeg cybersecurity-experts om iedereen te helpen.
De belangrijkste uitkomst van de oefening is dat er, als puntje bij paaltje komt, niet duidelijk is welke organisaties als eerste geholpen moeten worden. "Er zijn in Nederland niet genoeg cybersecurity-experts om iedereen te helpen", zegt Somsen.
En dus moet er een lijst komen van organisaties die met voorrang geholpen moeten worden, omdat anderen daarvan weer afhankelijk zijn. "Elektriciteit is natuurlijk essentieel, maar ook zonder telecomverbindingen stopt alles met werken."
Voor de verdeling van olie en gas is er wel een crisisplan om in een noodsituatie schaarse middelen te verdelen. "Wie er als eerste geholpen moet worden? Dat is uiteindelijk een politieke beslissing."
Een andere uitkomst: het lukte ict-beveiligers bij de overheid snel om de oorzaak van de aanval te achterhalen en op te lossen. "Misschien wel iets te snel: ze dreigden het al op te lossen voordat de aanval nog echt goed moest losbarsten."
Alle bevindingen van de cyberoefening zullen volgend jaar met de Tweede Kamer worden gedeeld.
