Behandel vitale infrastructuren niet op dezelfde manier als een winkelnetwerk zou beschermen, bijvoorbeeld, maar bind ze aan een beveiligd circuit dat hackers niet kunnen doorbreken. Dit is een van de centrale aanbevelingen in een uitgebreid rapport getiteld "Online Discoverability and Vulnerabilities of ICS/SCADA Devices in the Netherlands, op basis van onderzoek uitgevoerd door de Universiteit Twente in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) van het Ministerie van Justitie en Veiligheid.

Vergeet de klassieke terroristische aanslag:de nieuwste dreigingen van vandaag komen van hackers en zijn gericht op elektriciteitscentrales, ziekenhuizen, bruggen, waterwegsluizen en kernreactoren. In recente jaren, elke grote internationale conferentie over cyberbeveiliging heeft hetzelfde gezegd. "We hebben veel geld uitgegeven aan digitale weerbaarheid, maar het werkt niet goed genoeg. We winnen niet, " zei Alex Dewdney, directeur cybersecurity voor Britse inlichtingendiensten, onlangs.

Hackers

Zijn deze zorgen terecht? Kunnen hackers ziekenhuizen en elektriciteitscentrales echt sluiten? "Vast en zeker, " zegt Aiko Pras, hoogleraar internetbeveiliging aan de Universiteit Twente. "Er zijn de afgelopen jaren verschillende vergelijkbare gevallen geweest. Herinner je je het incident in Oekraïne? Het oosten van het land werd getroffen door een stroomstoring die honderdduizenden mensen trof. Uit onderzoek bleek dat hackers verantwoordelijk waren, mogelijk uit Rusland."

Ook de Nederlandse overheid neemt dit soort dreiging serieus. Pras en zijn onderzoeksteam in Twente wonnen een oproep van de Nederlandse overheid om vitale infrastructuren in Nederland te onderzoeken.

“Eerst hebben we gekeken of iemand met een computer in Nederland toegang heeft tot dat soort vitale systemen, waarvan er ongeveer duizend zijn. Vervolgens hebben we onderzocht hoeveel van die systemen ook kwetsbaar waren, dat wil zeggen:welke softwareversies ze gebruikten en hoe hackbaar ze waren. We ontdekten dat 60 vitale systemen meer dan één zwak punt hadden en gehackt konden worden. Dit waren meestal relatief kleine systemen die voor controledoeleinden werden gebruikt; we weten niet precies wat erachter zat."

Wat betekent dit?

In hun rapport, Pras en zijn collega's geven twee interpretaties van deze ontdekking. "Ten eerste, het is schokkend. Stel dat een of meer van die zestig controlesystemen verantwoordelijk zijn voor iets heel belangrijks, zoals een sluisdeur of een elektriciteitscentrale? Aan het andere uiterste, echter, alle zestig systemen kunnen bedoeld zijn geweest om potentiële aanvallers aan te trekken:het kunnen 'honeypots, " ontworpen om een ​​systeem te beschermen door zijn aanvallers in een val te lokken. Dit is de normale gang van zaken in de wereld van cyberbeveiliging. Hoe dan ook, we delen onze bevindingen met de eigenaren van deze vitale infrastructuren."

Politieke keuze

Voor Pra's, echter, de belangrijkste uitkomst van het rapport is het stimuleren van het politieke debat over cybersecurity voor vitale infrastructuren in Nederland. "In ons zicht, de overheid zou moeten zeggen:vitale systemen mogen niet worden aangesloten op een open, openbaar internet, zodat kwaadwillende, mogelijk kunnen buitenlandse hackers binnenkomen. Sinds enige tijd we hebben gezien dat de Nederlandse overheid een vrij zwak begrip van ICT heeft. Slechts een paar politici begrijpen het probleem echt, en het besluitvormingsproces is traag."

Pras pleit voor een 'dedicated gedeelte van internet dat apart beheerd kan worden.' 'Zoiets bestaat in Nederland nog niet. Alles is uniform, met een paar verschillende providers die over het algemeen al hun klanten op dezelfde manier behandelen. Voor een gesloten netwerkstructuur moet eerst een politieke beslissing worden genomen, en dat is precies het debat dat we graag door dit rapport op gang zouden zien komen."