De Militaire Inlichtingen- en Veiligheidsdienst (MIVD) bracht gisteren, 4 oktober 2018, groots naar buiten dat ze een cyberoperatie door een team van de Russische militaire inlichtingendienst GRU op de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag heeft verstoord. Computable spreekt met Computable-expert Arwi van der Sluijs, directeur van securitybedrijf NFIR, over dit nieuws.
Bent u verrast over de aanval?
‘Totaal niet. Dit is wat geheime diensten doen. Van wat ik bij de persconferentie heb gezien, is er sprake van een basis-afluistertechniek. Wat ik wel opvallend vind, is dat de diensten het naar buiten brachten. Daarbij was het opmerkelijk dat er gesproken werd over ‘techniek die we nog niet kenden’, want de technologie die ze lieten zien, is al tien jaar oud. Toch denk ik niet dat het hier gaat om een verspreking, maar dat de directeur van de MIVD, generaal-majoor Onno Eichelsheim, wel wil laten merken dat ze meer weten, maar dit niet prijs willen geven.’
Volgens Van der Sluijs is het opvallend dat er zo feestelijk wordt gedaan over het pakken van wat hij het ‘Easyjetteam’ noemt. ‘Ze komen binnen met vlag en wimpel en zijn al vanaf het begin zichtbaar. Als overheid zou ik eerder bang zijn voor de mensen die ongemerkt ons land binnen komen.’
Zoals gezegd, is de securityman niet bepaald onder de indruk van de gebruikte techniek. ‘Ze zaten vlakbij het pand van de OPCW en ze hadden de ‘hack’ mijns inziens makkelijk vanuit hun hotelkamer kunnen doen en niet vanuit een auto. Ik vraag me zelfs af of deze hackers vanuit Rusland niet geofferd zijn, om de aandacht af te leiden van een grotere operatie. Het is zo opzichtig dat ik opzet vermoed.’
Kan de GRU gestopt worden?
‘Dat betwijfel ik. Eichelsheim sprak in de persconferentie van gisteren over ‘technieken die we nog niet kenden’. Wat dat dan zijn is mij onduidelijk, want wat ze gisteren lieten zien is allemaal al gesneden koek. Maar als ze echt onbekende technieken hebben ingezet, kan deze dienst niet zomaar gestopt worden.’
Hoe kan het dat zo’n organisatie als de OPCW toch te hacken blijkt?
‘We weten niet zeker of ze gehackt zijn. Het is nu onduidelijk of ze het netwerk zijn binnengekomen. Het was verstandig geweest om de hackers een week bezig te laten om te zien waar ze naar op zoek waren. Maar: we weten dus niet hoe het zit.’
Hoe ziet u de toekomst? Hoe gaan de verhoudingen tussen het Westen en Rusland zich op cybercrimegebied verder ontwikkelen denkt u?
‘Er is sprake van een klassieke wapenwedloop. Sowieso zou een organisatie als de OPCW wellicht geen wifi moeten gebruiken, maar via een vast netwerk moeten werken. Maar dan nog is er altijd een risico.’
Hij vervolgt: ‘We moeten meedoen aan deze wedloop en alle middelen inzetten die nu beschikbaar zijn. Ons leger heeft niet voor niets een cybersecuritytak. Om je tegen aanvallen te beschermen is het als land belangrijk om te monitoren, je moet weten wat er gebeurt. Daarnaast is het belangrijk om passende maatregelen te nemen. Een firewall of antivirus volstaat niet. Landen moeten miljoenen investeren in zogenaamde ‘intrusion protection- en detectiontechnologie’. Multinationals en grote banken gebruiken deze technologie al.’
Verder vindt Van der Sluijs het belangrijk om de procedures op orde te hebben. ‘Ons belangrijkste wapen tegen cybercriminelen is echter het delen van informatie. Je hebt nu al het Nederlandse Cyber Security Centrum dat met Computer Emergency Response Teams van bedrijven samenwerkt. Van deze publiek-private oplossingen moeten we het in de toekomst echt hebben. Het is hoog tijd dat we dit in Europees verband regelen. Dan krijgen we ook grip op terroristen en statelijke actoren. Ons Nederlandse cyberleger, wat nu een kleine honderd man telt en deels uit militairen en deels uit burgers bestaat is wat mij betreft een schoolvoorbeeld van hoe je informatie zou moeten delen. Het begin is er.’
Dhr. Van der Sluijs heeft gelijk dat het verhaal vele bodems kan hebben. De MIVD moet zich in eerste instantie zelf beveiligen, anders kunnen ze geen anderen beveiligen. De gespotte Russen kunnen geofferde patsies zijn, et cetera. Maar in veel gevallen worden er door beide kanten, knullige maar o zo menselijke fouten gemaakt. Geheime diensten begaan zelfs vergismoorden, dus zullen ze ook wel eens slordig sporen achterlaten. Wie het weet, die mag en zal het niet zeggen.
Maar tussen blunderen en grote risico’s nemen vanwege grote belangen, zit een groot grijs gebied. Dat geldt bijvoorbeeld bij het aanbieden van een geloofwaardige honeypot of het “gecontroleerd” laten hacken. Dat is bij een OPCW om een aantal redenen erg moeilijk te regelen. Ik zou het laatste niet laten gebeuren, maar dat is aan die organisaties en niet aan een MIVD. Organisaties zoals de OPCW kunnen beter geen wifi gebruiken. De inspanning om wifi te bewaken en te beveiligen, zijn veel hoger. Een bezuinigingsronde kan je defensie volledig ondermijnen. Oude techniek is vaak veel veiliger.
Dat de MIVD dit naar buiten bracht is puur uit opportunistische bewegingen. Want daarmee laat zij zien aan het publiek dat zij actief zijn en het sluit aan bij de opiniëring t.a.v. Rusland. De conclusies van Van der Sluijs lijken correct te zijn dat er veel tamtam om niet zo gek veel wordt gedaan.