Vrolijk word je er niet van: van het lezen van 'Cybercrime en cyberwar. De toekomst van de misdaad in een wereld die altijd online is' van Marc Goodman. Eerder nerveus van al dat online onheil dat plaatsvindt in onze steeds meer gedigitaliseerde samenleving. En wat er nog op ons afkomt door de slinkse handelswijze van slimme cybercriminelen. Toch ziet Goodman een uitweg: naast burgerparticipatie is de tijd rijp voor een Manhattan-project voor digitale veiligheid.
Berichtgeving over cybercriminaliteit en de gevaren van internet is de laatste tijd niet meer weg te slaan uit de landelijke media. Een greep: diverse DDoS-aanvallen, het Facebook-Cambridge Analytica-dataschandaal, talloze wachtwoorddiefstallen, de trollen van muzikant Dotan, de opsporing van een pornohacker, de schending van de privacy van Barbie in het Haga Ziekenhuis, babyfoons die zijn af te luisteren en twee cybercriminelen uit Woerden die met hun gijzelsoftware uiteindelijk tegen de lamp liepen.
En dan worden we ook nog bang gemaakt door de Amerikaanse en Britse veiligheidsdiensten voor een aanstaande aanval van Russische staatshackers op onze Westerse kritieke infrastructuur. In Nederland zouden 1362 routers kwetsbaar zijn voor Russische infiltratie, waaronder een regionaal glasvezelnetwerk voor zorgverleners in Noord-Holland.
Firma List & Bedrog
Volgens de Amerikaanse cyberexpert/publicist Marc Goodman staat ons nog veel meer narigheid te wachten. In zijn kloeke boekwerk ‘Cybercrime en cyberwar. De toekomst van de misdaad in een wereld die altijd online is’ (Karakter Uitgevers) beschrijft hij hoe de ‘wettelozen van Moore’ beschikken over grote, fijnmazige netwerken en elke gewenste technologie voor eigen gewin kunnen inzetten of ondermijnen.
Dat doen ze vrijwel ongestraft en hun optreden vormt een gevaar voor onze wereld, die steeds fijnmaziger ‘vernetwerkt’ is en voor het functioneren steeds afhankelijker wordt van technologie. Hij spreekt van een florerend crimineel superorganisme, aangestuurd vanuit het darkweb, het zenuwcentrum van de Firma List & Bedrog. Waarbij kwetsbare en onbetrouwbare it de omstandigheden heeft gecreëerd voor een toekomstige wereld vol misdaad en maatschappelijke onveiligheid.
Het boek bestaat uit twee hoofddelen (en een afsluiting): een deel over de gevaren van de digitale wereld en het andere over de toekomst van de misdaad. Was het eerste deel al verontrustend, uit het tweede deel spreekt weinig hoop: elk ict-novum, hoe geavanceerd ook, wordt uiteindelijk door cybercriminelen misbruikt.
Eén voorbeeld, het boek staat er vol van: bij het gebruik van vingerauthenticatie komt toch snel de gedachte boven: maar wat nu als iemand anders je vinger afhakt; dan kan die toch met jouw ‘gehackte’ vinger in een systeem komen? Zo’n situatie lijkt voorbehouden aan tv-crimi’s en speelfilms maar volgens Goodman is dit in het echt al een aantal keren voorgekomen. Zo zouden Maleise bendes de vingerherkenning van de Mercedes S-klasse hebben omzeild door de vingers van de eigenaren met kapmessen af te hakken.
Noord-Koreaanse hackers
Wie dus bijgepraat wil worden over hoe gevaarlijk het internetverkeer de laatste decennia is geworden, is bij Goodman het juiste adres. Hij bespreekt de risico’s in alle breedte, variërend van het verkopen van je gegevens door Facebook, Google en andere sociale netwerken, stalking via internet, online oplichting, systeemhacking en cyberspionage tot bitcoin-witwaspraktijken, digitale bankroverij, cyberspionage, verkrachting na een online date en moordaanslagen waarbij het adres via internet was achterhaald.
De auteur haalt vele voorbeelden aan, bekend en minder bekend, waaronder Noord-Korea dat met een leger van zesduizend hackers onder meer verantwoordelijk is voor de datalekken bij Sony. En natuurlijk Stuxnet, de door Amerikanen en Israëli’s gebouwde computerworm die Siemens-apparatuur in Iraanse kerncentrales aantastte met als uiteindelijk doel om het nucleair programma van Iran te saboteren. Wel zijn het vooral voorbeelden uit de Verenigde Staten, Engeland en het Oostblok; een schandaal als de bij ons beruchte maar toch ook internationale Diginotar-affaire wordt helaas niet genoemd.
En het boek is in het Amerikaans in 2015 verschenen; de meest recente opzienbarende ransomware-zaken als Petya en Wannacry ontbreken daardoor. Een addendum had niet misstaan. Ook was het verstandig geweest als de uitgever een handzamer verkorte editie had uitgebracht om een groter publiek te bereiken; zo’n 550 bladzijden over cybercriminaliteit is best een lange zit.
Buurtvaders van cyberspace
U moet er als lezer dus even voor gaan zitten maar desalniettemin is ‘Cybercrime en cyberwar’ een onderhoudend, lekker weg lezend maar onheilspellend boek. Was u zich al niet bewust van de risico’s die aan online wereld kleven, dan wordt u het wel door het lezen van dit boek. Achterin staat nog een bijlage met cybersecurity-tips voor eindgebruikers.
Goodman sluit zijn boekwerk gelukkig wel enigszins hoopgevend af. In het afsluitende, derde deel ziet hij toch nog mogelijkheden om de strijd aan te gaan met cybercriminelen. Hij roept bijvoorbeeld leveranciers op om zelfherstellende systemen te ontwerpen opdat gebruikers niet zelf handmatig patches hoeven uit te voeren. Bestuurders en overheden zouden ook veel meer bezig moeten zijn met het inzetten van veerkrachtige systemen, die snel kunnen herstellen van een cyberaanval, in plaats van de krakkemikkige, kwetsbare technologie die ze vaak nog gebruiken.
Interessant is zijn punt over de publieke-private samenwerking. Niet alleen kunnen overheden en bedrijven elkaar helpen met kennisbundeling, wat al gebeurt in bijvoorbeeld het Amerikaanse Sinet (Security Innovation Network) of in Nederland via het Nationaal Cyber Security Centrum (NCSC). Ook burgers – ‘wisdom of the crowd’ – kunnen worden ingezet bij online misdaadbestrijding, vindt Goodman. Waar zijn de buurtpreventie en de buurtvaders van cyberspace, vraagt hij zich af.
Volgens de auteur kan het vermogen (cognitief overschot) van de wereldbevolking via crowdsourcing worden ingezet om cybercriminaliteit tegen te gaan. Elk land zou een burgerverdediging moeten oprichten waarbij goed gescreende vrijwilligers worden opgeleid in operationele en juridische zaken. Hij ziet hierin een rol weggelegd voor het ISC (International Information Systems Security Certification Consortium), een non-profitorganisatie met ruim honderdduizend gecertificeerde cybersecurityprofessionals wereldwijd.
Digitaal Manhattan-project
Als uitsmijter van het boek poneert Goodman de stelling dat er eigenlijk een Manhattan-project voor de digitale veiligheid moet komen, naar analogie van het Manhattan-project in de Tweede Wereldoorlog. Deze geheime operatie van de geallieerden had tot doel een kernwapen te produceren, als reactie op de dreiging dat nazi-Duitsland zo’n allesvernietigend wapen eerder had ontwikkeld nadat in 1939 bekend werd dat Duitse natuurkundigen hadden ontdekt hoe het uraniumatoom gespleten kon worden.
Goodman vraagt zich af waarom we zouden moeten wachten op een rampzalige cyberaanval die alles op zijn kop zet en waarvoor veel mensen al hebben gewaarschuwd. Hij wijst er op dat er in de VS al eerder voorstellen zijn gedaan om de knappe koppen bij elkaar te steken en een digitaal defensieproject op te zetten. Maar dat was in 2002, zo’n vijftien jaar geleden. Sindsdien is de digitale onveiligheid in de wereld alleen maar groter geworden. Hoog tijd dus voor een nieuw Manhattan-project, gericht op de digitale defensie. De urgentie is er; nu nog wachten op diegene die het voortouw neemt voor zo’n cruciaal project, besluit de auteur.
Ik mis de rollen van de VS, Israël en China t.a.v. overheidshackers. Die hebben vele malen grotere budgetten dan maffiose criminelen en net zo weinig morele beperkingen.
Dit probleem kan niet met een Manhattan-project worden opgelost. Het is een generatieprobleem. Waarbij de millenials en generatie Z nog naïever lijken te zijn als het om security gaat. Oftewel de komende decennia blijft het aanmodderen met halfslachtige oplossingen.