Cyberexperts buigen zich als detectives over de landelijke storing bij overheidsdiensten. Bekend is dat het probleem in het defensienetwerk zit, maar de oorzaak is niet klip-en-klaar. ‘Het verschil tussen een natuurlijke en een bewust veroorzaakte verstoring is niet makkelijk te bepalen.’
Op luchthaven Eindhoven werd water uitgedeeld aan gestrande reizigers, het Nationaal Cyber Security Center (NCSC) kon urenlang geen beveiligingsadviezen uitsturen en paspoortaanvragen kunnen vandaag ook niet doorgevoerd worden. Dit alles heeft één oorzaak, maar welke? ‘Geen idee’, aldus premier Dick Schoof.
Dat is opvallend: de ict-infrastructuur van de overheid is juist opgebouwd om te voorkomen dat ‘een storing’ in ‘een datacenter’ zo veel diensten tegelijkertijd kan platleggen. Bovendien doken de eerste problemen dinsdagavond al om half elf op, vertelt voormalig AIVD-toezichthouder Bert Hubert. ‘Het is echt ongebruikelijk dat iedereen nog steeds als een kip zonder kop rondrent.’
Over de auteur
Frank Rensen is wetenschapsjournalist en schrijft voor de Volkskrant over technologie, van sociale media en cybersecurity tot wetgeving en games.
Het gaat om een defect in het ict-netwerk van het ministerie van Defensie, waar veel van de getroffen partijen – de kustwacht, marechaussee, de aan een militaire vluchtbasis verbonden vluchthaven Eindhoven – gebruik van maken. Dit defensienetwerk, ‘de Haagse ring’, is een lus fysieke kabels die de overheid gebruikt als veilig afgesloten internet.
Op het eerste gezicht lijkt het alsof een storing in een datacenter, dat data van kabel naar kabel sluist, de boel inderdaad kan stilleggen, maar dat is nou juist niet het geval, vertelt Hubert: ‘Als een datapakketje van A naar B wil op de lus, maar er is ondertussen een breuk, kan het pakketje gewoon via de andere kant om de breuk heen.’ Dat is juist waarom de Haagse ring een ring is.
De vraag blijft dus: hoe kan één storing in één datacenter zoveel verschillende partijen raken?
Sabotage, bijvoorbeeld van een netwerk-apparatuur, kan het niet zijn geweest, denkt Hubert. Dankzij het ring-ontwerp is een lokale breuk geen probleem. Maar een – enigszins uitgebreide – cyberaanval is niet uit te sluiten: ‘Het verschil tussen een natuurlijke en een bewust veroorzaakte verstoring is niet makkelijk te bepalen’, zegt hij.
Als Hubert moet speculeren, houdt hij het bij ‘menselijke incompetentie’. Mogelijk pakte een softwareupdate – ‘typisch iets dat je om half elf ’s avonds doet om zo min mogelijk mensen dwars te zitten’ – verkeerd uit. Zo’n update moeten ict’ers altijd eerst uittesten in een digitaal lab, om na te gaan of het netwerk wel goed reageert op de vernieuwde software. ‘Maar ja, soms doen mensen die test niet.’
Defensie werkt al maanden aan compleet nieuwe ict-infrastructuur, en wel met Atos, een Frans ict-bedrijf dat met financiële problemen kampt, zoals blijkt uit de jaarcijfers van het bedrijf. Zowel Defensie als de Sociale Verzekeringsbank, ook een afnemer van Atos, werken aan plannen om het eventuele faillissement van Atos op te vangen.
Dit scenario – dat, met nadruk, hoogst speculatief is – klinkt als de recente Crowdstrike-storing, waarbij één softwareupdate wereldwijd miljoenen computersystemen platlegde. Dat zou hier kunnen spelen, denkt ook hoogleraar cybersecurity Michel van Eeten (TU Delft), ‘maar alleen als Defensie de leverancier is van een stuk software waar alle getroffen partijen afhankelijk van zijn.’
Volgens Van Eeten is andere mogelijke oorsprong een defect in de DNS-dienst, het ‘telefoonboek’ dat computers in het netwerk gebruiken om met elkaar te kunnen communiceren. Deze diagnose past bij het ‘storingsbeeld’ dat ambtenaren niet meer kunnen inloggen en hulpverleners niet met elkaar kunnen communiceren.
Maar ook voor dit scenario geldt: het telt alleen als alle getroffen organisaties gebruikmaken van één DNS-dienst. ‘Dat is nauwelijks voor te stellen’, zegt Van Eeten: ‘Je mag hopen dat we met zo’n afhankelijkheid wel rekening houden.’
Geselecteerd door de redactie
Source: Volkskrant