Cy­ber­War: Next Sta­ge

In de pers kom ik een be­richt te­gen dat zo­wel ge­rust­stel­lend als alar­me­rend is: de V.S. heb­ben mal­wa­re ge­dropt in de con­tro­le-com­pu­ters van Rus­si­sche elek­tri­ci­teits­cen­tra­les en drink­wa­ter­voor­zie­nin­gen.

Die we­reld een klein beet­je ken­nen­de zal het hier niet bij zijn ge­ble­ven. Als je het mij vraagt ver­tel­len ze er ze­ker de helft niet bij. Ik ver­moed dat an­de­re gro­te in­fra­struc­tu­re­le za­ken even­eens zijn aan­ge­pakt, zo­als wa­ter­zui­ve­rings­in­stal­la­ties en ook de con­tro­le­sys­te­men van be­we­gen­de in­fra­struc­tuur, zo­als brug­gen, ge­ma­len en slui­zen. De mi­li­tai­re ob­jec­ten die door de V.S. ge­ïn­fil­treerd zijn wor­den uit stra­te­gi­sche en tac­ti­sche over­we­ging na­tuur­lijk ner­gens ge­noemd, maar ik neem aan dat ook die be­smet zijn.

De­ze ac­tie van het Ame­ri­kaan­se Cy­ber­Corps is een ant­woord op de aan­val van Rus­land op ge­lijk­soor­ti­ge sys­te­men in de V.S. en het dient ook als “straf” voor de be­moei­e­nis van Rus­land met de ver­kie­zin­gen van 2016 waar­bij Trump jam­mer­lijk aan de macht kwam. Ja­ren­lan­ge waar­schu­win­gen heb­ben vol­gens Was­hing­ton niet ge­hol­pen, en wie niet wil luis­te­ren moet vol­gens het Cy­ber­Corps dan maar voe­len.

Het ge­rust­stel­len­de aan het be­richt is de mel­ding dat de V.S. dus net zo goed in staat zijn om kri­ti­sche sys­te­men te hac­ken als om in de ei­gen ach­ter­tuin ge­hackt te wor­den. Een re­de­lij­ke ba­lans in ge­welds po­ten­ti­eel is nood­za­ke­lijk voor het be­te­re af­schrik­kings­ef­fect. Zo­iets was al de vi­ge­ren­de doc­tri­ne in de ja­ren 1950–1980, toen in ver­band met de nu­cle­ai­re be­wa­pe­ning van de V.S. en de U.S.S.R. het “MAD”-idee hip was: “Mu­tu­al As­su­red De­struc­ti­on”. De­ze doc­tri­ne houdt in dat geen su­per­macht zo gek zal zijn om een kern­wa­pen te ge­brui­ken, om­dat daar­mee ook ge­lijk de ei­gen ver­nie­ti­ging gra­tis en voor niets wordt ge­ga­ran­deerd.

Wie zich echt zor­gen wil ma­ken, le­ze dit boek…

Het ver­ont­rus­ten­de vind ik dat het MAD prin­ci­pe hier niet he­le­maal geldt, om­dat een Cy­ber­war veel be­perk­ter kan wor­den uit­ge­voch­ten en daar lij­ken de spel­den­prik­jes die nu wor­den uit­ge­deeld wel op te wij­zen. Ik heb nog wel de tijd van de kern­proe­ven mee­ge­maakt, maar in prin­ci­pe zijn die als on­der­deel van de non-pro­li­fe­ra­tie­ver­dra­gen te­gen­woor­dig ten streng­ste ver­bo­den. Een der­ge­lijk mo­ra­to­ri­um op hacks is mij (nog) niet be­kend. Wat dan ook nog het ge­val is, is dat de over­all be­vei­li­ging van kri­ti­sche sys­te­men ken­ne­lijk we­reld­wijd niet op or­de is, waar­door kwets­baar­heid op de loer ligt.

Er is voor ons spe­ci­aal nog een ex­clu­sief Ne­der­land­se re­den om Mos­kou niet met hun ten­gels aan on­ze con­tro­le­sys­te­men te la­ten zit­ten. Een goed ge­plaatste aan­val op een paar be­lang­rij­ke ge­ma­len kan er­voor zor­gen dat ons hal­ve land on­der wa­ter komt te staan. Als ik de baas was over ons wa­ter­be­heer dan zou ik al­le sys­te­men die daar be­lang­rijk in zijn af­kop­pe­len van het in­ter­net en er een ge­ï­so­leerd, al­leen lo­kaal toe­gan­ke­lijk net­werk voor op­zet­ten, dat geen en­ke­le ver­bin­ding met in­ter­net heeft. Een gei­nig de­tail: voor­dat in­ter­net be­stond was een der­ge­lijk sys­teem er al, met een ei­gen elek­tro­ni­sche in­fra­struc­tuur en een ei­gen pro­to­col: “Su­per­vi­so­ry Con­trol And Da­ta Ac­qui­si­ti­on” (SCADA). Om voor mij on­dui­de­lij­ke re­de­nen – het zul­len de kos­ten wel zijn ge­weest – is dit ro­buus­te sys­teem ver­van­gen met in­ter­net­kop­pe­lin­gen die wat vei­lig­heid be­treft toch aar­dig wat stap­pen te­rug zijn.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *