Zoals vaak gebeurt, hebben de computerinbrekers een zwakke plek benut in software, in dit geval software die het Nederlandse leger gebruikt. Het voorval draait om een programma dat bedoeld is om werknemers van buitenaf veilig te laten inloggen op het netwerk van een bedrijf of organisatie. Zo’n virtual private network (VPN) is een beveiligd lijntje waarover gegevens versleuteld — en dus onleesbaar voor anderen — heen en weer gaan.
In de VPN die het leger gebruikt bleek evenwel een gaatje te zitten. Zo ontstond er een bres in de beveiliging van het netwerk. Zo kregen de hackers vermoedelijk maandenlang toegang tot circa vijftig computers van defensie.
Het Nederlandse leger is, net als miljoenen anderen, wereldwijd klant van Fortinet. Deze grote Amerikaanse specialist in computerbeveiliging levert software en hardware die rommel als virussen en spam moeten tegenhouden, maar ook cybercriminelen en spionnen. Fortinet sloeg in december 2022 alarm over een gat in zijn VPN-software. In Nederland sprak het Nationaal Cyber Security Centrum (NSC) van een fout met een hoog risico. Alle gebruikers van het Fortinet-VPN kregen het advies om als de wiedeweerga te patchen, een softwarepleister van de fabrikant te plakken, die de boel weer afsluit.
Dat laatste heeft defensie verzuimd.
Het is niet leuk om te moeten toegeven dat je bent betrapt met de broek op de enkels. De militaire inlichtingendienst MIVD waarschuwde vorig jaar nog voor Chinese spionage bij bedrijven en universiteiten. MIVD-directeur Jan Swillens zei dinsdagavond in Nieuwsuur dat de krijgsmacht wil laten zien dat een computerinbraak iedereen kan overkomen. Hij hoopt dat iedereen ervan doordrongen is dat het gevecht tegen hackers nooit ophoudt en ieders inspanning vereist. Swillens haalde een oude wijsheid uit de computerbeveiliging van stal: ‘Je hebt bedrijven die gehackt zijn en die dat weten. En je hebt bedrijven die gehackt zijn.’
Dat is inderdaad de vraag. In de computerwereld bestaat 100 procent veiligheid niet, zegt Swillens. Er stonden volgens hem geen geheimen op het vijftigtal computers, die gebruikt werden voor algemeen onderzoek, anders had de inbraak zich misschien niet voorgedaan. Swillens: ‘Zodra het geclassificeerd wordt, schakelen we over op hoger beveiligde netwerken.’
Specialisten in computerbeveiliging beamen dat een hermetische afgrendeling niet bestaat. Maar in dit geval heeft het leger zitten suffen, zeggen ze. De zwakke plek zat niet rechtstreeks in een computer, die vanwege de duizenden stukjes software die erop draaien veel kwetsbaarder is. De malware stond op een netwerkapparaat. Die weer veilig maken met een patch rekenen specialisten tot het ‘laaghangende fruit’ van de cyberbeveiliging.
Opmerkelijk is ook dat het leger lucht kreeg van het lek na een melding, niet bij een routinecontrole. Dat betekent dat als de hackers hun sporen nog beter verborgen hadden gehouden de krijgsmacht misschien veel later achter de inbraak was gekomen, met alle gevolgen van dien.
Dat op de aangetaste computers geen geheimen stonden, vinden de experts ook geen ‘verzachtende’ omstandigheid. In computersystemen is alles met elkaar verknoopt. Criminelen en spionnen kunnen zo’n minder goed beschermd netwerk gebruiken als springplank naar delen waarop wel gevoelige gegevens staan.
Wat er op de vijftig besmette computers precies stond gaat de buitenwereld niet aan. ‘We willen ze niet wijzer maken’, laat een zegsman van het ministerie van Defensie weten. In ‘zijn algemeenheid’, zegt Swillens, zijn de Chinezen gebrand op zoek ‘technologie en kennis die in Nederland aanwezig is’.
Het is waarschijnlijk dat de hackers bij toeval op de defensiecomputer zijn gestuit. Het gros van de cyberspionage lijkt in niets op de hightech-capriolen uit de Mission Impossible-films. Het kraken van de automatisering is geautomatiseerd. Hackers gebruiken software die continu aanklopt op computers en netwerken om te testen of er ergens een deurtje op een kier staat, omdat de eigenaren hebben verzuimd om updates en patches te installeren. Pas als zo’n robot ergens een beveiligingsgat aantreft, gaan hackers gerichter te werk.
‘Dat hebben we terug kunnen rechercheren’, zei Swillens. Meer wil defensie er niet over kwijt. Het is bekend dat er wereldwijd grote cyberbendes actief zijn, die niet alleen data stelen om geld af te persen van bedrijven en organisaties, maar ook klussen uitvoeren voor regeringen. Die bendes hebben vaak een handelsmerk, of patronen waaraan ze zijn te herkennen: dat kan de methode zijn die ze veelal gebruiken of het ‘gereedschap’ dat ze inzetten (de software) of de schaal waarmee ze computersystemen aanvallen.
De belangrijkste reden voor de omweg heet ‘plausibele ontkenning’. Als cybercriminelen met hun vingers in de koektrommel worden betrapt, kan een regering zeggen dat ze daar niks mee te maken heeft. Dat gaat niet als het spoor van een computerinbraak terugloopt naar de bijvoorbeeld een ministerie, een spionagedienst of een legerkamp in Beijing.
Om u deze content te kunnen laten zien, hebben wij uw toestemming nodig om cookies te plaatsen. Open uw cookie-instellingen om te kiezen welke cookies u wilt accepteren. Voor een optimale gebruikservaring van onze site selecteert u "Accepteer alles". U kunt ook alleen de sociale content aanzetten: vink hiervoor "Cookies accepteren van sociale media" aan.
U bent niet ingelogd
Antwoord op al uw vragen
Updates, wijzigingen en klachten
Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2024 DPG Media B.V. - alle rechten voorbehouden