Authenticatie-tool DigiD ligt meerdere dagen per week onder vuur van ddos-aanvallers. Criminelen, maar ook ethische hackers en zelfs hobbyisten kopen via zogenoemde booter-sites stresstests voor netwerkverkeer en voeren die uit op de systemen van de overheid. Doordat het Rijk nauw samenwerkt met internetdienstverleners en security-leveranciers zijn die pogingen weinig succesvol, vertelt de chief information security officer (ciso) van Logius, Theo van Diepen.
Computable spreekt het hoofd informatiebeveiliging van Logius in het kader van ‘oktober security-maand’. Normaal opereert de ict-beheerder van de rijksoverheid op dit vlak vooral in de anonimiteit. Maar voor die gelegenheid doet het een boekje open over aanpak van ddos-aanvallen op onder meer DigiD.
‘In 2013 hebben we de pijn gevoeld van ddos-aanvallen op DigiD’, refereert Van Diepen aan de aanvallen die de authenticatiedienst destijds platlegden. Waar het jaar er voor ddos-aanvallen vooral slachtoffers maakten onder banken en bedrijven in het buitenland, richtten de aanvallen zich sinds 2013 steeds meer op doelwitten binnen de Nederlandse overheid. De ciso benadrukt dat er destijds alleen basale maatregelen waren om ddos-aanvallen aan te pakken Die situatie is inmiddels wel veranderd. Er zijn steeds vaker specifieke methoden om aanvallen te mitigeren, al blijft Van Diepen bewust voorzichtig met het geven van details over die aanpak.
‘De tijd van pleisters plakken is voorgoed voorbij’, aldus Van Diepen. Er is een security operation center (soc) opgezet waar externe beveiligingsexperts en Logius-medewerkers samenwerken. Ook is door intensieve samenwerking tussen overheid, internet service providers (isp’s) en security-aanbieders de weerbaarheid vergroot. Er wordt op de telkens veranderende tactieken van aanvallers geanticipeerd. ‘Het is een kat-en-muis-spel geworden’, aldus de ciso over die wisselwerking tussen beveiligers en aanvallers waarin op steeds nieuwe aanvalstechnieken steeds nieuwe verdedigingsmechanismen volgen en vice versa.
Booter-sites
De inzet van booter-sites is op zich niet nieuw en werd in 2013 ook al gebruikt, maar het gebruik van zo’n stresstest die online eenvoudig wordt aangeschaft door criminelen, ethisch hackers en hobbyisten, is enorm gegroeid. Werden er eerder nog botnets van gecompromitteerde computers ingezet, nu kopen criminelen voor een paar bitcoincenten een stresstest die wordt ingezet om systemen plat te leggen, vertelt Van Diepen. Hij ziet dat aan de tijdsduur van de aanvallen die vaak vijf minuten is.
De ciso: ‘Garanderen dat we altijd beschermd zijn kun je nooit, dat is gebleken, maar we doen onze uiterste best.’ Hij zag tussen 2020-2021 soms een aantal keer per week zijn systemen onder ddos-vuur liggen. Die aanvallen worden ook steeds groter. ‘In 2013 ging het netwerk soms al onderuit bij anderhalve gig per seconde omdat de capaciteit van de lijnen dan bereikt was. Nu zien we aanvallen van boven de 100 gigabit per seconde.’
‘Hygiëneslag bij isp’s’
Door nauwer samen te werken met internetdienstverleners wordt verkeer bij een verdachte situatie of een plotselinge explosie aan data, omgeleid. Dataverkeer uit de VS of China kan worden afgesloten als er plots allerlei data uit die landen komen De meeste mensen loggen namelijk vanuit Nederland in op DigiD. Het is dus niet aannemelijk dat er plotseling enorm veel verkeer uit die landen komt.
Hij spreekt ook van een ‘hygiëneslag’ bij isp’s. Eerder waren er internetdienstverleners die onder het mom van een ‘open internet’ niet optraden tegen plotselinge schommelingen in netwerkverkeer via hun internetverbindingen. Er werd ‘gewoon’ een rekening gestuurd als limieten werden overschreden. Maar inmiddels zijn ze alerter geworden doordat ze de gevolgen van ddos aan den lijve hebben ondervonden, vertelt hij. ‘In die jaren speelde capaciteitsproblemen nog niet zo een rol, maar inmiddels wel. Die partijen zijn dus zelf ook gebaat bij het aanpakken van misstanden omdat ze er zelf ook de gevolgen van ondervinden.’
Samenwerken
Door samen op te trekken in oefeningen en kennisuitwisseling wordt er veel expertise uitgewisseld. Met partners van de antiddos-coalitie (www.nomoreddos.org) waaronder bijvoorbeeld SIDN, de Belastingdienst en bankenm worden zogeheten red-team-oefeningen uitgevoerd. Ook op wetenschappelijk niveau wordt naar ddos gekeken. Uit onderzoek van Universiteit Twente is de ddosdb.org ontstaan. Daarin staan details van verschillende aanvallen.
Uit analyses van die data ontstaan nieuwe inzichten en kunnen aanvallen sneller aangepakt worden. Soms zelfs al voordat aanvallen plaatsvinden doordat kwetsbaarheden in systemen zijn gedicht. Ook het pan-Europese Concordia-initiatief wisselt informatie uit om partijen, die risico lopen, vooraf te waarschuwen. ‘Vanuit Logius gezien is ddos nog steeds een grote dreiging, er zijn zeshonderd partijen aangesloten op DigiD. Een aanval op Logius is een aanval op de digitale samenleving’, benadrukt Van Diepen.
Theo van Diepen
Theo van Diepen startte in 2008 als gedetacheerd projectleider voor het programma Digitale Werkomgeving Rijksdienst, bij de overheid. Daarvoor deed hij werkervaring op als netwerkspecialist bij Epson en PinkRoccade en techconsultant bij KPN. In 2013 startte hij bij Logius. Eerst als als netwerkarchitect, daarna als security officer voor infrastructuur en sinds 2018 als ciso voor de hele organisatie.
Logius
Logius bestaat vijftien jaar en heeft meer dan zevenhonderd medewerkers in dienst waaronder vijfentwintig specialisten in informatiebeveiliging. Het jaarbudget (2021) van Logius is 235,8 miljoen euro. De dienst valt onder het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
Naast DigiD en Mijn Overheid biedt Logius andere dienstverlening zoals digipoort, diginetwerk, bsn-koppelherkenning, authenticatie en het afsprakenstelsel pki-overheid.
De organisatie werkt doorlopend aan het in de lucht houden van belangrijke systemen die functioneren om burgers, bedrijven en overheden zaken met elkaar te laten doen.
