Europa heeft ambitieuze plannen om de cyberveiligheid in de lidstaten op een hoger niveau te brengen. Tot de speerpunten behoort een veiliger dns-service. Meer precies, een soort adressenboek voor internet dat de mogelijkheid biedt internetgebruikers beter te beschermen tegen cyberaanvallen.
Die mogelijkheid bestaat eruit door niet langer verbinding te leggen met computers van bijvoorbeeld hackers. Zoekopdrachten die leiden tot de infectie van je computer worden dan niet ‘vertaald’ in ip-adressen van domeinen waarvan bekend is dat ze worden gebruikt voor malware-verspreiding of schadelijke operaties.
Als het aan de liberale Europarlementariër Bart Groothuis ligt, wordt deze EU-dienst het liefst vandaag nog werkelijkheid. ‘Je krijgt hierdoor een veilig schild rondom de EU’, aldus Groothuis, door het industrie-comité van het Europees Parlement (EP) aangesteld als rapporteur cyberbeveiliging. In die rol reageert hij binnenkort namens het EP op de voorstellen die de Europese Commissie heeft gedaan voor de nieuwe Richtlijn voor de beveiliging van netwerk- en informatiesystemen, kortweg NIS-2 geheten.
Groothuis: ‘Door de kennis van nationale cybersecuritycentrums te gebruiken voor een veilige dns-dienst zou de EU het voorbeeld van het Verenigd Koninkrijk kunnen volgen, dat al zo’n service voor zijn vitale sectoren heeft. Ook België kent met Belnet een dergelijke voorziening voor universiteiten en kennisinstellingen.’
Clicks
Dat een Europese dns-strategie geen overbodige luxe is, bewijzen de cijfers. Bert Hubert, medeoprichter van PowerDNS, zei onlangs dat ’de nieuwe ideële Zwitserse dns-aanbieder Quad9 met de cyber threat intelligence van IBM een half procent van het verkeer tegenhoudt dat het routeert. Dat lijkt op het eerste gezicht weinig maar betekent dat een op de tweehonderd keer reële risico’s worden vermeden. Nu loopt bijna alles standaard via de Cloudflare of Google DNS die niet controleert op eventuele malware op sites waarmee je wordt verbonden en bovendien fors geld verdient aan clicks en browsegedrag van internetgebruikers.
Domeinen en ip-adressen waarvan honderd procent zeker is dat ze je computer infecteren, moeten bij zo’n service worden geblokkeerd. Deze dienst wordt gevoed met kennis van bijvoorbeeld commerciële bedrijven of politie en inlichtingendiensten. Daar moet nog een separaat proces voor worden opgetuigd. Gebruik van dergelijke dns-aanbieders moet op vrijwillige basis, vindt Groothuis, hoewel dat voor vitale sectoren anders kan liggen.
Grote chunks
Daarnaast moet de kern van internet weerbaarder worden gemaakt tegen de groeiende ddos-aanvalscapaciteit. Dns root-servers moeten daar aanzienlijk betere beveiliging tegen krijgen, maar ook de ruggengraat van internet moet sterker. Zijn voorstel is om het border gate protocol, dat grote chunks van internetverkeer routeert (per blok, per autonomous system), beter te beschermen met een resource public key infrastructure (rpki). Een rpki is een systeem voor de uitgifte van digitale certificaten dat de routing infrastructuur van internet veiliger maakt. Dat biedt een manier om broninformatie voor internetnummers (zoals ip-adressen; resource slaat op ip-adressen en dergelijke) te verbinden met een ’trust anchor’.
Groothuis: ‘Dat stopt het merendeel van de ddos-aanvallen waarmee we nu te maken hebben. Bovendien voorkomt het bgp-gijzelingen, het kapen van grote stromen internetverkeer. Landen als Rusland en China doen dat om gerichte stromen internet verkeer langs hun internethubs te leiden voor bijvoorbeeld interceptie of spionage dan wel gerichte injectie van pakketjes malware. Rpki tekent met certificaten de stromen internetverkeer waardoor deze moeilijker zijn in te zetten voor ddos-aanvallen of het kapen van internetverkeer voor spionage.
De VVD-politicus verwacht dat de voorstellen kritiek te verduren krijgen. Het ingrijpen in het internetverkeer is strijdig met het beginsel van netneutraliteit. Sommige burgers zijn tegen elke beperking op basis van de aard van de content of dienst. Internet wordt door hen beschouwd als een grondrecht waar onder geen enkele omstandigheid mag worden getornd. Daarnaast zou het de privacy schaden.
Groothuis is niet blind voor deze argumenten. Maar als voormalig hoofd Cybersecurity bij defensie weet hij hoe kwetsbaar onze infrastructuur is. Hij herinnert zich de uitbraken van WannaCry en NotPetya in mei en juni 2017. Deze door criminelen verspreide virussen kaapten computers over de hele wereld waardoor grote bedrijven stil kwamen te liggen. De schade van deze wereldwijde cyberaanval liep in de miljarden, terwijl de aanval eenvoudig gestopt had kunnen worden als dns-aanbieders de command & control-servers onbereikbaar hadden gemaakt.
Ook de Russische aanval op de supply chain die begon met de hack van Solarwinds en honderden overheidsinstellingen en (tech)bedrijven trof, heeft Europa wakker geschud. Het veiliger maken van de hele hard- en software-leverantieketen staat nu hoog op de agenda. Volgens Groothuis moeten nationale securityautoriteiten de mogelijkheid krijgen om een securityreview af te dwingen bij telecomproviders en aanbieders van vitale infrastructuur. Betrokken ondernemingen dienen zich daarbij te verantwoorden voor hun supply chain. De EU gaat niet dwingend voorschrijven hoe het moet. Aansprakelijkheid is chefsache, stelt Groothuis. De ceo moet op de security in zijn bedrijf worden aangesproken als hij er een potje van maakt. Deze kan de verantwoordelijkheid niet meer afschuiven op zijn it-staf.
Dam opwerpen
De EU wil ook een dam opwerpen tegen cyberaanvallen van statelijke actoren. De laatste tijd is veel veranderd. Technologie is geopolitiek geworden. Groothuis wijst op wetgeving in China en Rusland die bedrijven gebiedt informatie door te geven als hun inlichtingendiensten daar om vragen. Bedrijven als Huawei en Kaspersky moeten samenwerken als hun regeringen dat eisen. Groothuis spreekt van een groot risico.
Hij schaart zich ook achter het voorstel van de Europese Commissie om een groter aantal sectoren onder de NIS-richtlijnen (de Europese richtlijn voor netwerk- en informatieveiligheid) te laten vallen. De uitbreiding omvat de overheid en gezondheidszorg. Momenteel is op crisissituaties geen gezamenlijke response mogelijk. Zo vallen grote ziekenhuizen in de ene lidstaat niet onder de NIS-richtlijn waardoor geen beveiligingsmaatregelen of crisiscoördinatie zijn af te dwingen, terwijl in de andere lidstaat bijna elke zorgverlener onder de beveiligingseisen voor netwerk- en informatiebeveiliging valt.
Belangrijk voor de interne Europese markt is dat overal in de EU dezelfde minimumstandaarden voor cyberveiligheid komen. Over de hele linie moet er harmonisatie komen. Dat bevordert ook de oprichting van buitenlandse vestigingen. Bedrijven kunnen er daardoor op vertrouwen dat hun leveranciers van infrastructuur aan bepaalde veiligheidsniveaus voldoen.
Groothuis stelt voor kleine ondernemingen ook de oprichting van een online-dienst voor die snel kan checken of ze hun basisveiligheid op orde hebben. Deze zou moeten kijken of de mailserver goed is geconfigureerd. Ook biedt deze gratis dienst inzicht of de website https gebruikt, geen zichtbare kwetsbaarheden bevat en veilig gegevens uitwisselt. Tenslotte moeten bedrijven geholpen worden logging tools in te schakelen zodat bij een eventuele hack sneller inzicht is wat de schade is en hoe deze te verhelpen.
Groothuis rondt zijn rapport begin mei af. Dan kunnen andere Europarlementariërs het amenderen. De rapporteur bepaalt dan wat hij overneemt. Vervolgens komt het rapport plenair in stemming. Dan kan Groothuis over de cyberbeveiligingsrichtlijn namens het EP onderhandelen met de Commissie en Raad. In die zogenaamde triloog komt de wetgeving tot stand, waarna de Tweede Kamer de precieze uitwerking van de wet zal implementeren.