Het is oorlog maar niemand die het ziet
Page 22
De Verenigde Staten en Groot-Brittannië wijzen Rusland later aan als dader. Een statement met grote gevolgen.
*
Het Amerikaanse verzekeringsbedrijf Zurich American weigert een claim van 100 miljoen dollar van voedselgigant Mondelez — producent van onder meer Oreo-koekjes — uit te keren. Hoewel digitale aanvallen normaal gesproken worden vergoed, meent de verzekeraar dat hier sprake is van een ‘oorlogsdaad’ en die valt niet onder de verzekering.
Mondelez moet 1700 computerservers vervangen en 24.000 laptops. Ook bij andere bedrijven is de schade gigantisch. De Amerikaanse farmaciegigant Merck lijdt volgens een eigen schatting 870 miljoen dollar schade. Het Witte Huis denkt dat de totale impact wereldwijd minimaal 10 miljard dollar is.
Een deel van de verklaring voor de enorme schade is te vinden in de Verenigde Staten zelf. Na Snowden zijn de Amerikanen nog zeker tweemaal grote hoeveelheden geheime documenten kwijtgeraakt. Daartussen zaten ook voorname hackwapens van de CIA en NSA — die in handen zijn gekomen van een hackerscollectief. Software die nog niet ontdekte kwetsbaarheden gebruikt om door de beveiligingshekken van computers en telefoons te komen. De wapens van de moderne tijd.
Stel je eens voor dat alle Windows-computers met één zo’n wapen over te nemen zijn. Dit bedreigt de veiligheid van alle internetgebruikers wereldwijd. Bij NSA-medewerkers staat deze methode ook bekend als ‘vissen met dynamiet’.
Een van de hackwapens is een levensgevaarlijke exploit die een beveiligingslek in Windows gebruikt. Zo kan de NSA Windows-computers overnemen en er kwaadaardige software op installeren. De Amerikanen gebruiken dit wapen op dat moment al zeker vijf jaar voor spionage. Als blijkt dat de software gestolen is, doet de NSA een tijdlang niets. Pas als de dienst vermoedt dat de gestolen software openbaar zal worden, wordt Microsoft ingelicht: repareer dit beveiligingslek alsjeblieft, anders zal het gigantische schade aanrichten.
Microsoft roept in het voorjaar van 2017 elke Windows-gebruiker op zo snel mogelijk een update te installeren. Vlak daarna publiceert de hackersgroep de software van de NSA. De eerste aanval is in mei: een gijzelvirus gebruikt de beruchte exploit. Windows-gebruikers die de update niet hebben uitgevoerd, worden getroffen: niet alleen de parkeergarages van Q-Park Nederland en de informatieborden van de Duitse spoorwegen weigeren dienst, maar complete autofabrieken vallen stil, net als Britse ziekenhuizen. Patiënten worden geëvacueerd. Het digitale wapen keert zich als een boemerang tegen het Westen in een aanval die wordt toegeschreven aan Noord-Korea. Maar de grote klap moet dan nog komen.
Een maand later trekt opnieuw een verwoestend virus de wereld over. Dit keer worden onder meer de Rotterdamse haven, Amerikaanse ziekenhuizen en de controlesystemen van de kerncentrale in Tsjernobyl getroffen. Het feit dat het wapen van de ene Windows-computer naar de andere springt, verklaart deels waarom het sabotagevirus van Oekraïne overgaat naar andere landen en niet alleen bedrijven met M.E.Doc raakt. Containerbedrijf Maersk werkt in Oekraïne met boekhoudprogramma M.E.Doc. Als Russische hackers via M.E.Doc hun virus loslaten gaat het langs gekoppelde systemen naar Kopenhagen en daarna naar dochterbedrijf APM Terminals in Rotterdam.
Nu de oorzaak bekend is, blijft er nog één prangende vraag over: hoe kon de schade in de Rotterdamse haven zo groot zijn? Waar bij sommige bedrijven alleen de computers met M.E.Doc op zwart gaan, valt APM Terminals compleet uit. Opmerkelijk voor een grote speler die een cruciale schakel vormt in het mondiale scheepverkeer.
De verklaring is even simpel als wrang: bij APM zag men de noodzaak van digitale beveiliging niet. Aan fysieke beveiliging geen gebrek: stevige hekken, 24 uur bewaking en enkel toegang na een aanmeldprocedure met vingerafdrukken. Maar digitaal is het een rommeltje. Het Terminal Operating System heeft tot 2015 geen antivirussoftware. De verbindingen met andere bedrijven, zoals met het moederbedrijf Maersk, staan niet achter een firewall. Er blijkt niet te worden gekeken of iemand de bevoegdheden heeft om toegang tot de belangrijkste operationele systemen te krijgen. Er worden geen penetratietesten uitgevoerd waarmee onderzoekers kijken waar de kwetsbaarheden in de digitale beveiliging zitten. Bij APM heeft de tijd stilgestaan.
Een jaar voor de aanval waarschuwen beveiligingsexperts het management van het bedrijf expliciet voor de zwakke beveiliging van het cruciale Terminal Operating System. Deskundigen verbazen zich over de onverschilligheid: de leiding van APM wil geen verbeteringen. Het betekent namelijk dat de terminals even stil moeten liggen tijdens een upgrade van het netwerk. En dat wil de directie niet. Over kennis van ICT-systemen beschikken de dagelijkse bestuurders nauwelijks. Inderhaast ingevlogen experts zijn dagen na de aanval nog bezig om de computers bij APM op gang te krijgen. De systemen zijn zo zwaar beschadigd dat één expert een code schrijft om in elk geval de kranen weer te kunnen bedienen. Dat lukt in de nacht van vrijdag op zaterdag, na bijna vier dagen.
De twee virussen die in het voorjaar van 2017 toeslaan, tonen niet alleen de zwakte van APM. Tal van bedrijven hadden twee maanden na het dringende verzoek van Microsoft de Windows-update nog altijd niet geïnstalleerd, waaronder mijn eigen werkgever De Persgroep. Toen het virus op een vrijdag in mei over de wereld raasde, deed de ICT-afdeling van De Persgroep niets. In het daaropvolgende weekend was er evenmin een update beschikbaar. Pas op maandagmiddag werd een alarmerende mail verstuurd dat er snel een update zou volgen. Die gang van zaken maakt een breder probleem zichtbaar: de onwil om digitale veiligheid serieus te nemen.
Net zoals bij de hack van KPN en de crisis rond certificaatbedrijf DigiNotar zorgt de onmacht in de Rotterdamse haven in Nederland voor een reality check: één zwakke plek kan de maatschappij ontwrichten. Met een beangstigende nieuwe les: er zijn hackgroepen die niet alleen de potentie van deze plekken kennen, maar ook bereid zijn hun tegenstanders daar te raken. De gevolgen nemen ze voor lief.
DEEL IV
Wie gaat ons beschermen?
12
Vechten zonder regels
Vijf jaar geleden wilde ik weten wat de gevaren van digitalisering zijn. Nu zit ik bij een afscheidsreceptie van Ronald Prins tussen spionnen, ministers en topambtenaren die elke dag met een online strijd bezig zijn. Enkelen heb ik vaker gesproken, de meesten ken ik van naam. Als Nederlandse spionage een gezicht heeft, dan ziet het er zo uit.
Hoewel Ronald Prins niet vies is van aandacht, staat hij onwennig aan een houten statafel. Voor de gelegenheid draagt hij een blauw pak en stropdas. AIVD-hoofd Rob Bertholee, oud-minister van Defensie Jeanine Hennis, korpschef van de Nationale Politie Erik Akerboom: een voor een schudden ze hem enthousiast de hand in het Scheveningse museum Beelden aan Zee.
Het is donderdagmiddag 8 maart 2018. Twee weken later zal Nederland zich in een uniek referendum mogen uitspreken over extra bevoegdheden voor de geheime diensten. Het debat over deze nieuwe wet is intens. Tegenstanders waarschuwen voor Stasi-achtige praktijken: iedereen zal straks worden afgeluisterd. Met name het ongericht mogen aftappen van internetverkeer — smalend een ‘sleepnet’ genoemd — is hun een doorn in het oog. ‘Stel je voor,’ zegt presentator Arjen Lubach in Zondag met Lubach, ‘vanaf nu krijg je elke keer als je je computer opstart dit pop-upscherm: vind je het goed dat de overheid al je chats en zoekopdrachten kan meelezen en opslaan? We gaan er in principe niets mee doen! Ja of Nee? Wat zou je klikken? NEE!’
Voorstanders benadrukken dat Nederland veiliger zal worden door de wet: AIVD en MIVD mogen onder de oude wet niet zomaar internetkabels aftappen, terwijl veruit het grootste deel van de moderne communicatie juist via die kabels gaat. Het is dus cruciaal dat zij ruimere bevoegdheid krijgen om zo nuttige inlichtingen te verzamelen over terroristen en spionerende staten.
FOX-IT-directeur Prins bevindt zich midden in deze strijd. Hij werkte een jaar bij de AIVD, is een bekende deskundige en voorstander van de nieuwe wet. Bovendien wordt hij lid van een onafhankelijke commissie die toeziet op het werk van de geheime diensten. Die benoeming leidt echter tot kritiek: hoe kan iemand die zelf bij de AIVD werkte onafhankelijk oordelen over het functioneren van die dienst? In de aanloop naar het referendum speelt deze afkeuring over Prins’ benoeming her
en der weer op. Maar tijdens de receptie in Scheveningen is daar niets van te merken. De directeuren en topambtenaren die vishapjes van dienbladen pakken, maken zich niet druk over het referendum: die nieuwe wet voor AIVD en MIVD is hard nodig en de bevolking zal heus wel voorstemmen, is de teneur.
Ik ben de enige aanwezige journalist en aarzelde om te gaan. Geregeld ontvang ik uitnodigingen voor bijeenkomsten, seminars en afscheidsrecepties. Het merendeel zeg ik af. Een symposium over de ‘uitdagingen van de toekomst’ met bestuursvoorzitters? Liever niet. Een werkgroep van een politieke partij om de toekomstige cyberuitdagingen te bespreken? Niet met mij. Uitgangspunt is de journalistieke relevantie. Cru gezegd: levert het nieuwe inzichten op?
Het journalistieke belang is in dit geval evident. Prins’ bedrijf FOX-IT behoort tot de wereldtop. Zeven van de tien grootste Amerikaanse banken zijn er klant, net als de Nederlandse geheime diensten, ruimtevaartorganisatie NASA en de NAVO. FOX-IT beveiligt de notulen van de Nederlandse ministerraad en levert de apparatuur waarmee onze bewindspersonen veilig kunnen bellen. Op de bijeenkomst van Prins lopen interessante gasten rond, zoals medewerkers van de AIVD, Defensie en de MIVD.
Sommige journalisten vinden dat je afstand moet houden tot de personen over wie je schrijft. Ik wil juist dichtbij komen: om te weten wat ze drijft, waarom ze beslissingen nemen en of ze eerlijk zijn. Dat is de reden waarom ik Ronald Prins jaren geleden ben gaan volgen: wie over de digitale wereld schrijft, kan niet om de kwajongensachtige vijftiger heen die bij vele grote spionagezaken is betrokken. Het Amerikaanse magazine Politico rangschikt hem in 2018 onder de 28 invloedrijkste Europeanen. ‘Spion van de spionnen (…) die in het centrum staat van de digitale veiligheid van Nederland.’ Een land dat volgens Politico ‘hard op weg is een van de machtigste westerse landen in het digitale domein te worden’.
Prins denkt als een hacker en opereert als een ondernemer. Hij hangt aan zijn vrijheid. De AIVD, met zijn hiërarchie en regeltjes, voelde als een dwangbuis voor hem. Hij heeft goede contacten bij de AIVD maar schuift net zo makkelijk aan bij een debat op een studentenvereniging, een bestuursvergadering van Shell of hackers op een festival. Die veelzijdigheid vergroot de aandacht voor FOX-IT maar is ook Prins’ achilleshiel: voor de hackersgemeenschap staat hij te dicht bij de overheid, voor de overheid is hij te onvoorspelbaar.
Hij koketteert met het beeld van een snelle jongen. Zijn pasje bij FOX-IT heeft nummer 007. Wie FOX-IT belt en in de wachtrij belandt, krijgt de bekende tune van James Bond te horen. Als hij veertig wordt, organiseren zijn vrienden een feest in James Bond-stijl. En wanneer de NSA-affaire in 2013 losbarst, claimt hij een e-mailadres dat sprekend lijkt op dat van NSA-directeur Keith Alexander, keith.alexander@nsa.org. Alleen de domeinletters zijn anders. Mails die naar het adres gaan, eindigen in de mailbox van Prins. Zijn medewerkers zijn aan dit soort geintjes gewend. Als ze ongebruikelijke activiteiten op hun netwerken zien, zijn er twee opties: serieuze aanvallers of Ronald Prins die met iets illegaals zit te spelen.
Prins is verslaafd aan actie. Zijn huis in Scheveningen staat vol met krakende portofoons zodat hij weet wanneer de reddingsbrigade uitrukt. Komt er een chemisch transport vanuit Syrië naar Rotterdam Airport, dan staat hij met zijn vrouw door het hek te turen. Als hij in 2007 met zijn auto — kinderen achterin — over de snelweg rijdt en een konvooi met donkerbruine verhuiswagens en politiemotoren ziet, trapt hij onmiddellijk het gaspedaal in en wurmt zich ertussen. Het zou weleens een stoet van de AIVD kunnen zijn, die op dat moment verhuist van Leidschendam naar Zoetermeer. Prins moet en zal zien hoe dat gaat. Wanneer het konvooi van de snelweg gaat, rijden geblindeerde auto’s hem op de afrit klem. Gemaskerde agenten houden hun handen op de wapens, waarop Prins snel de achterramen opent. Als de agenten de kinderen zien, ontspannen ze. Hij krijgt een waarschuwing.
Dat ongehoorzame brengt hem af en toe in de problemen. Hij rijdt weleens te hard en raakt een paar keer zijn rijbewijs kwijt. Ook belandt hij in de politiecel als hij met zijn drone boven een vuurwerkshow in Scheveningen vliegt. Het succes van FOX-IT, dat door de toenemende digitalisering het aantal klanten rap ziet groeien, heeft er niet onder te lijden; het Delftse bedrijf wordt in 2015 voor 133 miljoen euro gekocht door het Britse NCC Group. Medeoprichter Prins is in één klap 40 miljoen euro rijker.
Liever had hij geen afscheidsreceptie gehad, vertelt hij in een jolige speech. Drie jaar nadat FOX-IT werd ingelijfd door de Britten vertrekt hij. Hij wil zijn digitale kennis inzetten op plekken waar dat harder nodig is: bij de Kiesraad, Onderzoeksraad voor Veiligheid en de Autoriteit Financiële Markten. De Hagenees is direct en uitgesproken — zelfs familieleden schrikken weleens van zijn botheid, vertelt zijn vrouw Elsine van Os. De hackexpert zelf grapt, in het Nederlands, over het conservatisme van nieuwe eigenaar NCC Group. De Britse bestuursvoorzitter Chris Stone zit ook in de zaal. Prins: ‘Hij kan het toch niet verstaan.’
*
Zo’n receptie heeft een hoog ‘ons-kent-ons’-gehalte: ben je erbij, dan hoor je erbij. Iedereen is makkelijk te benaderen. Eén ding valt opnieuw op tijdens gesprekken: deze bestuurders, verantwoordelijk voor spionage én het veilig houden van Nederland, zijn zelf ook ongerust. ‘Waar we zoeken vinden we sporen van spionage. En we zoeken lang niet overal,’ zegt de een. Een ander: ‘Er is geen hightechbedrijf waar de Chinezen niet binnen zijn geweest.’ Weer een ander: ‘Ik vraag me weleens af waar deze wapenwedloop eindigt.’ Een merkwaardige paradox: geheime diensten weten meer, maar zijn tegelijkertijd onzekerder dan ooit. Een medewerker van een veiligheidsdienst vertelt dat hij thuis een stapel bankbiljetten bewaart. Als bij een digitale aanval betaalsystemen uitvallen kan hij nog eten kopen en benzine tanken.
Hun gedrag en manier van uiten is gevormd door de instituten die ze dienen. AIVD’ers zijn gesloten en zwijgzaam. Contact met buitenstaanders vinden ze doorgaans onprettig. Ze delen de wereld in twee categorieën in: ‘binnen’, voor alles wat bij de AIVD hoort, en ‘buiten’ voor de rest. Als ik met een inlichtingenmedewerker sta te praten, mengt AIVD-hoofd Rob Bertholee zich ogenblikkelijk in het gesprek en zegt half gespeeld, half ernstig tegen hem: ‘Niet te veel vertellen, hè?’
MIVD’ers zijn opener en directer, maar ook bij hen spelen hiërarchie en groepsdynamiek een sterke rol. Ze praten in militair jargon over de online strijd die gaande is. De ‘offensieve potentie’ van tegenstanders, ‘verkenningen’ die ze waarnemen, ‘operationele details’ die niet mogen worden gedeeld en inlichtingen voor de ‘principaal’, oftewel de premier of president. De wereld is voor hen een voortdurend Stratego.
Deze topambtenaren vinden ruimere mogelijkheden voor AIVD en MIVD een vanzelfsprekendheid: om Nederland veilig te houden moet de overheid, net als in de fysieke wereld, op internet aanwezig zijn. Digitale spionage is voor de MIVD uitgegroeid tot belangrijkste prioriteit. Voor de AIVD staat het samen met terrorisme bovenaan. Zonder de nieuwe wet kunnen geheime diensten niet onderzoeken of aangetroffen malware ook elders in Nederland zit. Als ze Iraanse malware bij een technische universiteit vinden, mogen ze het Nederlands internetverkeer niet op kenmerken daarvan onderzoeken. Een belemmering die geheime diensten minder slagkracht geeft tegen buitenlandse spionage.
Privacy vinden ze eigenlijk een non-discussie. Burgers geven hun persoonlijke data vrijwillig aan Amerikaanse grootmachten als Facebook en Google. Vakantiefoto’s, telefoonnummers en adressen, screenshots van hun werkplek en datingsites met de meest intieme details; mensen delen veel over hun privéleven. De geheime diensten zijn vooral geïnteresseerd in de minder zichtbare communicatie van bepaalde mensen over wie ze een stuk minder weten. Het geloof in de overheid en haar regels is zo sterk dat deskundigen zich niet kunnen voorstellen dat die misbruik van haar macht zal maken. Een medewerker van een veiligheidsdienst: ‘Wij zijn geen Facebook.’ In hun toespraken benadrukken leidinggevenden het belang van veiligheid. Oud-minister Hennis vertelt dat ze in 2010 ‘nogal bleu’ de Tweede Kamer binnenstapte. Ze kwam uit het Europees Parlement, waar ze naam had gemaakt als privacyvoorvechter. In de Tweede Kamer ging ze zich bezighouden met veiligheid en de nationale politie. Haar naïviteit over
digitale gevaren verdween er snel, vertelt ze. Erik Akerboom memoreert in zijn toespraak de hack van DigiNotar als wake-upcall: vanaf dat moment begreep hij de kwetsbaarheid van de samenleving.
*
Ik worstel met de nieuwe wet en het referendum. Ik geloof dat de ambtenaren op de afscheidsreceptie van Ronald Prins handelen vanuit nobele motieven en Nederland oprecht willen behoeden voor rampspoed. Hun zorgen zijn begrijpelijk. Internet heeft een wapenwedloop ontketend met serieuze gevolgen. Dat heeft gevolgen voor de democratie, veiligheid en journalistiek maar de meeste mensen ervaren dat niet zo. Een hack van gevoelige documenten kan een maatschappelijke revolutie ontketenen, privégesprekken gaan door Chinese apparaten en desinformatie en nepnieuws ondermijnen de journalistiek.
Is de nieuwe wet een oplossing of jaagt Nederland de online strijd verder aan? AIVD en MIVD versterken met de wet hun greep op het internet. Ze gaan bij verschillende toegangspunten — en kijken daarvoor onder meer naar KPN en Vodafone/Ziggo — internetverkeer aftappen en filteren. De MIVD zit al in meer dan duizend buitenlandse computersystemen en zal met de nieuwe wet nog meer bevoegdheden krijgen. Met welke morele autoriteit kun je andere landen oproepen níét bij jou te spioneren als je het zelf ook doet?
De AIVD vergroot de digitale aanwezigheid in Nederland. Als de dienst een e-mail van een doelwit wil hebben, kan hij een telecomprovider hacken. Daarvoor moeten hackers van de AIVD eerst door de beveiliging van die telecomprovider heen breken, waarvoor kwetsbaarheden in software nodig zijn. De kwetsbaarheden zoekt de AIVD zelf of koopt hij in bij leveranciers van hacksoftware — een schimmige miljoenenmarkt die de onveiligheid op internet vergroot. Ook daarvoor bestaan nauwelijks regels: westerse landen mogen inkopen van wie ze willen. Alsof er een open handel is in verrijkt uranium.