Het is donker op straat. Twitter, Facebook, Gmail… niets werkt. Internetbankieren gaat niet meer. Bellen gaat niet meer. In de verte brandt een auto. Door de ijzige wind klinkt het gehuil van de buurvrouw. Het internet is getroffen door een cyberaanval. Nederland ligt plat. Totale onzin? Of toch een realistisch scenario?
Op het eerste gezicht zou je denken dat dit scenario rechtstreeks uit een film komt en geen enkele grond heeft in de werkelijkheid. Een aanval op een dergelijke schaal is nog nooit voorgekomen. Vrijwel alle datacenters in Nederland zouden tegelijk aangevallen moeten worden om een dergelijke impact te hebben. Maar hoe coördineer je zoiets? Waar halen die aanvallers de computercapaciteit vandaan? En daar komt nog bij dat al die datacenters vanzelfsprekend allerlei veiligheidsmaatregelen hebben getroffen om dergelijke aanvallen af te slaan. Kortom: onzin.
Terabits
Toch is een aanval op het internet in Nederland helemaal niet zo’n vreemde gedachte. Met name op het gebied van DDoS-aanvallen, ofwel het overspoelen van het netwerk met verkeer, zijn er de nodige ontwikkelingen gaande. Dergelijke aanvallen bereiken nu vaak niet meer traffic dan 10 Gigabit per seconde. Bovendien zijn veel DDoS-aanvallen gericht op specifieke webapplicaties, zodat er lang niet zoveel verkeer nodig is. Maar dat gaat veranderen.
Met de komst van internet of things (IoT) is er een groot aantal nieuwe apparaten bijgekomen en die apparaten zijn vaak slecht – of soms helemaal niet – beveiligd. Volgens een studie van HP is 70 procent van het ‘internet der dingen’ kwetsbaar om gehackt te worden. Al die apparaten kunnen dan onderdeel gemaakt worden van botnets en voor een DDoS-aanval worden ingezet. Met andere woorden: de capaciteit van DDoS-aanvallen gaat op korte termijn snel toenemen. Nu gaat het om Gigabits, maar in de toekomst hebben DDoS-aanvallen een volume van tientallen Terabits per seconde.
Voor de lol platleggen
Daar komt nog bij dat internetcriminelen steeds professioneler worden. Vroeger waren het vooral amateurs. En die zijn er nog steeds. De vijftienjarige Robin W. uit Ruurlo was afgelopen jaar bijvoorbeeld de ‘leider’ bij de DDoS-aanval op Ziggo. Als een script-kiddie al een netwerk voor de lol plat kan leggen, wat kan een ‘professional’ dan wel niet aanrichten?
Gevaarlijker zijn de criminelen die de laatste jaren actief zijn en DDoS-aanvallen te koop aanbieden. Daarnaast zijn hackers steeds vaker politiek gemotiveerd. Een mooi voorbeeld is Anonymous, de hackersbeweging die om de zoveel tijd weer een bedrijf platlegt omdat ze het ergens niet mee eens zijn. En ook steeds meer overheden laten zich op internet gelden. Landen hebben veel meer geld en resources om een cyberaanval volwassen en groots op te zetten. Het platleggen van een land is voor de op geld beluste crimineel niet interessant, maar voor politiek gemotiveerde types van terroristische organisaties kan het een serieus doel zijn.
Ark van Noach
In de toekomst kunnen we grootschalige DDoS-aanvallen van terroristen verwachten. Kan Nederland zich hier tegen verdedigen is dan de vraag? Nu al worden de mogelijkheden onderzocht om Nederland ‘af te koppelen’ van de rest van het internet door het ‘Trusted Networks Initiative’. Ook al vergaat de rest van de wereld, Nederland zou dan een veilige ark van Noach zijn.
Ook zijn er wasstraten die het verkeer van DDoS-aanvallen wegfilteren. Wij zijn zelf bijvoorbeeld deelnemer aan de NaWas (Nationale anti-DDoS Wasstraat). De capaciteit is op dit moment voldoende, maar er zit wel een grens aan de hoeveelheid verkeer dat gefilterd kan worden. De vraag is of we momenteel als land voldoende voorbereid zijn.
Wat kun je als bedrijf zelf doen?
Als bedrijf kun je ook maatregelen treffen. Toegegeven: als het internet plat ligt, ligt je concurrent ook plat. Maar het kan zeker geen kwaad om ervoor te zorgen dat je als bedrijf in staat bent toegang te houden tot je bedrijfskritische data en applicaties. Heb je bijvoorbeeld een rechtstreekse verbinding met je datacenter of cloudomgeving? Kan je gewoon doorwerken als het internet platligt?
Jezelf beschermen tegen een aanval van Islamitische Staat op cybergebied lijkt misschien wat overdreven, maar het is beslist een zinnige oefening om de weerbaarheid en het absorptievermogen van je bedrijf tegen een cyberaanval te onderzoeken. Want één ding staat vast: in de toekomst zullen er meer- en grotere cyberaanvallen plaatsvinden.