Minstens 60 apparaten die onderdeel zijn van de vitale infrastructuur van Nederland, zijn kinderlijk eenvoudig te hacken. Dat blijkt uit een nieuw rapport dat de Universiteit Twente opstelde in opdracht van het Ministerie van Justitie en Veiligheid. 

‘Sommige apparaten zijn met een simpele string van karakters te kraken. Dit kan iedereen doen’, stelt Aiko Pras, één van de onderzoekers achter het rapport. Met zijn team onderzocht Pras hoe het stond met de veiligheid van vitale infrastructuur in Nederland. Dat zijn energiecentrales, bruggen, sluizen en andere fysieke dingen. Al die dingen hebben computers, sensoren of camera's die vastzitten aan het internet, om ze bijvoorbeeld op afstand te besturen of te controleren.
 

Apparaten zijn makkelijk te vinden

En daarin zit de fundamentele fout van de huidige structuur volgens Pras. ‘Dat we zestig kwetsbare apparaten vonden in ons onderzoek, is zorgelijk. Maar belangrijker is dat we ruim 1000 apparaten konden vinden via het internet. Dat is gevaarlijk; alsof je dagelijks tientallen mensen uitnodigt om op bezoek te komen in een kerncentrale. De kans bestaat dat er dan één van de bezoekers wegglipt en aan de knoppen draait; daarom is er niet veel bezoek naar een kerncentrale. Maar in de cyberwereld staan we dit wel toe.’  

In Duitsland of het Verenigd Koninkrijk zijn ze al veel verder op cybersecurity, wij lopen echt achter. En dat komt doordat er weinig politici met verstand van digitale infrastructuur zijn.

Pras en collega’s gebruikten een soort Google voor systemen die vast hangen aan het internet. ‘Een website waar iedereen heen kan.’  Het team weet echter niet wat die 1000 apparaten precies doen, of welk deel van vitale infrastructuur ze beheren. Maar als een kwaadwillende hacker schade wil berokkenen, kan hij lukraak hacken tot het raak is. 
 

Afgesloten internet

Voor Pras is dit rapport een pleidooi om vitale systemen van het openbare internet te halen. ‘Je moet ze een afgesloten, minder toegankelijk soort internet geven. Dat kan vrij eenvoudig; denk aan de locatie-systemen in Netflix of Youtube, die bepaalde content blokkeren in verschillende landen. Als je de vitale systemen alleen toegankelijk en vindbaar maakt voor Europeanen, is er al een stuk minder gevaar.’ 

Technisch is dat allemaal mogelijk. China doet dat op vergaande wijze door sociale media-kanalen en ongewenste foto’s of nieuwsberichten te blokkeren. ‘Dat willen we natuurlijk niet in Nederland. Maar voor dit soort kritieke infrastructuur moet er iets veranderen. Ik was vroeger ook een voorstander van een radicaal open en toegankelijk internet. Maar de wereld is veranderd, en dat moet je erkennen.’ 
 

Politici weten te weinig

Pras hoopt dat hij Nederlandse politici ervan kan overtuigen om de regels te veranderen. ‘In Duitsland of het Verenigd Koninkrijk zijn ze al veel verder op het gebied van cybersecurity. Wij lopen echt achter. En dat komt doordat er weinig politici met verstand van digitale infrastructuur zijn. Maar ik hoop dat dat snel verandert, en dat er niet wordt gewacht tot een grote hack. Want dan zal iedereen na afloop zeggen: ‘hoe kon dit gebeuren?’’

Beeld: jaydeep_