Digitale veiligheid in tijden van cyberaanvallen

Digitale ambassade

“Mag ik bij jullie een digitale ambassade inrichten”, vroeg de CIO van Estland aan de rijks-CIO van Nederland toen hij hoorde van het initiatief in Nederland over te gaan tot consolidatie van overheids-datacenters. “Als Poetin mijn land digitaal binnenvalt kan ik in ieder geval terugvallen op de informatie die we nodig hebben om ons land administratief weer op orde te krijgen.”

Met de kennis van nu was dat een zeer valide vraag gecombineerd met een adequate oplossing.

Rusland viel Oekraïne binnen en trok niet alleen met zijn troepen de grens over, maar zet ook een leger van hackers in. Het belang van cyberveiligheid is in deze strijd enorm. Wiper malware schakelt Oekraïense overheidsdiensten en bedrijven uit door gegevens op systemen te verwijderen. Het NCSC waarschuwt dat deze malware ook Nederland kan treffen. Er zijn de afgelopen jaren al overheidsdiensten en bedrijven getroffen door vergelijkbare malware. Hoe zorgen we ervoor dat Nederland online blijft werken in tijden van oorlog?

Wiper malware vernietigt data en bedreigt beschikbaarheid diensten

De wiper malware die nu ingezet wordt, is een variant van het type cyberaanval dat, wanneer het een computer infecteert, de harddisk onbruikbaar maakt. Tegelijk worden de lokale- en netwerkback-ups vernietigd. Tot slot verspreidt de malware zich naar andere systemen. Zo kunnen gehele databases van organisaties onbruikbaar worden. In 2017 werd Oekraïne ook al geraakt door een aanval van wiper malware, NotPetya. Er zijn toen tienduizenden systemen van tientallen organisaties geïnfecteerd.

Tijdens de huidige invasie wordt gebruik gemaakt van twee andere varianten, IsaacWiper en HermeticWiper. Poetin roept dat ieder land dat intervenieert gevolgen zal ervaren zoals nog niet eerder gezien. Hoewel Nederland zich niet militair mengt in het conflict, legt het wel sancties op aan Rusland. Is het mogelijk dat Russische hackers binnenkort ook Nederlandse bedrijven en overheden raken met cyberaanvallen? Zijn onze overheden hier dan klaar voor? Is ons business continuity management voldoende op orde?

Een grootschalige cyberaanval is mogelijk en de gevolgen zijn groot

Het spreekt voor zich dat rijksoverheid en decentrale overheden voldoende beschermd moeten zijn tegen cyberaanvallen. De essentiële data die bij deze organen ligt mag niet verloren gaan. De gevolgen van zo’n verlies zijn desastreus, zoals we merkten bij het Hof van Twente. Op 1 december 2020 zijn in deze gemeente door malware de systemen en data vernietigd en back-ups versleuteld. Twintig jaar aan gemeentedata is verloren gegaan en de gemeente zelf was enkele dagen grotendeels offline. In hetzelfde jaar had de gemeente nota bene een security audit doorstaan.

‘‘Wat in Hof van Twente is gebeurd, kan iedereen overkomen”, berichtte toenmalig burgemeester Weerwind van Almere en voorzitter van de VNG Commissie Informatiesamenleving (nu minister voor rechtsbescherming) over de malware aanval. Maar juist in deze essentiële diensten dient de continuïteit gewaarborgd te zijn.

Ook Maastricht University, het NWO, de UVA en de Mediamarkt zijn vorig jaar getroffen door ransomware aanvallen. In elke situatie wisten hackers toegang te krijgen tot de interne data en back-ups en versleutelden deze. De single-point of failure van de databases gaf voor hackers de mogelijkheid om de organisaties plat te leggen. Die afhankelijkheid van één kritiek punt, zoals een database, zal de interesse van hackers blijven trekken. Daarmee blijft ook de dreiging van malwareaanvallen bestaan. Een potentiële oplossing voor deze dreiging haalt het kritieke punt weg en verdeelt de gegevens over meerdere partijen.

IT-inzichten die je niet mag missen

Als eerste op de hoogte zijn van de laatste IT-ontwikkelingen? Schrijf je in voor onze maandelijkse nieuwsbrief.

Samenwerken voor gedeelde veilige infrastructuur

Cyberaanvallen richten zich op zowel overheden als bedrijven. Om te werken aan een veiliger Nederland is de samenwerking tussen publieke en private organisaties dus essentieel. “De Nederlandse cyberaanpak is versnipperd”, vertelt ook Inge Bryan, managing director bij Fox-IT, in een artikel in de NRC. “een integrale aanpak tussen veiligheid en economie is nodig.”

Naar een gedeelde en dus veiligere infrastructuur

Een decentraal netwerk met een gedeeld grootboek biedt een alternatief voor de centrale database. Hiervoor wordt een netwerk van organisaties opgezet, bijvoorbeeld alle gemeenten in Nederland. Essentiële informatie van de ene gemeente kan binnen dit netwerk op de databases van andere gemeenten opgeslagen worden. Mocht een gemeente haar data verliezen, dan kan deze binnen het netwerk weer opgehaald worden. De opslag is volledig versleuteld en dus onleesbaar voor andere partijen. We voorzien een privé-netwerk met alleen bekende organisaties. Zo blijft er controle over de data en kan deze volgens AVG-standaarden opgeslagen worden. Fysieke opslag (op papier en in de kluis) van geprinte private keys (unieke code om eigen data te ontsleutelen) met een decentraal netwerk maakt het mogelijk om na een malware-aanval de data uit het netwerk op te halen en vanaf het papier uit de kluis te ontsleutelen.

Want ja, fysieke opslag van essentiële data buiten ieder netwerk voorkomt dat er via internet toegang verkregen wordt tot deze informatie. Hierbij kan inderdaad zelfs overwogen worden data geprint op te slaan in plaats van digitaal bewaren. Papier heeft namelijk een veel langere levensduur dan harddisks. Het klinkt old school, maar is daarom niet minder effectief.

En dan dat idee uit Estland: een digitale ambassade is bepaald geen slecht idee. Een digitale ambassade in de vorm van (private) cloudopslag buiten de landsgrenzen, waardoor zelfs in het geval van rampen of infrastructurele problemen de beschikbaarheid gewaarborgd is. Estland heeft dat inmiddels gerealiseerd en is in staat haar overheidstaken voort te zetten, na een digitale invasie door een vijandige mogendheid. En dat is recent weer een reële mogelijkheid geworden.

”Er is werk dus aan de winkel”, staat in de recent gepubliceerde Kamerbrief Hoofdlijnen Beleid voor Digitalisering. “Cybersecurity is een essentiële randvoorwaarde voor succesvolle digitalisering en daarmee een prioriteit van het kabinet.” We gaan verder bouwen aan digitaal Nederland. Het zou mooi zijn als we bij dat bouwen de schets uit dit artikel en de door Inge Bryan gesuggereerde integrale aanpak kunnen meenemen.

Dit artikel verscheen eerder op ibestuur.