Waar Oleksandr Potii wakker van ligt? Een fysieke aanval op het hart van de it-infrastructuur van Oekraïne. Nu de Russen problemen hebben in de grondgevechten, verwacht de securitytopman van Oekraïne een flinke toename van het aantal cyberaanvallen om zijn samenleving te destabiliseren. ‘Maar er staat een grote coalitie klaar om ons bij te springen en te ondersteunen.’ Poti was eind oktober in Brussel aanwezig bij de conferentie 'Tomorrow's Silver Lining: Cyber Resilience, Cyber Defence, and New Technologies', waar Computable een exclusief interview met hem hield.
24 februari 2022: Russische troepen lanceren raketaanvallen op een aantal Oekraïense steden in het kader van een ‘speciale militaire operatie’, zoals Russisch president Poetin het omschrijft. De oorlog is begonnen, niet alleen over de grond maar nog iets vroeger ook in cyberspace. In de weken vóór de inval werden meerdere Oekraïense servers van overheid en financiële instellingen bestookt met een lawine van ddos-aanvallen, volgens het Britse National Cyber Security Centre het werk van GRU, de Russische militaire inlichtingendienst.
‘De opzet was duidelijk’, zegt Potii, plaatsvervangend voorzitter van de State Service of Special Communications and Information Protection of Ukraine. ‘Onze communicatiesystemen vernietigen, vooral de militaire. Tactisch was dit wel nieuw voor de Russen, die link tussen cyberaanvallen en fysieke oorlogsvoering, maar helaas voor hen mislukte dat omdat we een goed cyberweerbaar systeem ontwikkeld hadden dat bestand was tegen dergelijke agressie’. Het volume van de aanvallen blijft vandaag nog wel erg hoog, hackers die banden hebben met het Russische leger hebben sedert de start van de invasie meer dan tweehonderd cyberaanvallen uitgevoerd op Oekraïne.
Ook elders in Europa
Ook Navo-lidstaten zoals Estland, Litouwen en Montenegro hebben te kampen gehad met dergelijke aanvallen. ‘Het lijkt niet meer dan logisch dat ook andere landen hiermee te maken krijgen’, legt Potii uit. ‘Cyberspace kent immers geen grenzen en als hackers Oekraïne aanvallen, kan en zal dat vaak escaleren naar andere naties die Oekraïne steunen. Daarom is het zo belangrijk dat wij samenwerken en gezamenlijke research en incident responsegroepen opzetten om de cyberweerstand in zowel Oekraïne als Europa te verhogen. De eerste aanzet daartoe is gegeven in het Memorandum of Understanding voor cybersecurity dat wij op 22 augustus ondertekend hebben met Polen. Daarin is niet alleen plaats voor het delen van informatie en ervaringen maar ook voor onder meer gezamenlijke oefeningen en opleidingssessies.’
Potii beklemtoont ook het belang van de 29 miljoen euro financiële steun die de EU eind september toegezegd heeft om het Oekraïense cyberbudget te versterken. En het Verenigd Koninkrijk kondigde op 1 november jl. aan dat het samen met enkele industriële partners al enige tijd geleden het Ukraine Cyber Programme heeft opgezet ter waarde van zo’n 7,4 miljoen euro. De bedoeling is om met de expertise van grote securityfirma’s incident response-support te bieden tegen de cyberaanvallen, en de toegang van hackers tot vitale netwerken te blokkeren.
Microsoft
Oekraïne krijgt ook steun van vele internationale privéondernemingen en enkele van de grootste cybersecuritybedrijven zoals Microsoft dat begin november nog een extra honderd miljoen dollar toezegde (en daarmee zijn totale steun sedert het begin van de vijandelijkheden al op meer dan vierhonderd miljoen bracht). Microsoft wil ook volgend jaar ervoor zorgen dat overheidsinstellingen en andere cruciale sectoren in Oekraïne hun digitale infrastructuur kunnen blijven gebruiken via de Microsoft Cloud. Potii: ‘Wij hebben ook een uitstekende samenwerking opgezet tussen de Oekraïense overheid en de publieke sector in andere landen zoals Polen, Roemenië en Slovenië, en met grote overheidsinstellingen zoals het Cybersecurity and Infrastructure Security Agency in de Verenigde Staten’.
Uit een recent rapport van SonicWall, ‘Mid-Year Update: 2022 SonicWall Cyber Threat Report’, blijkt dat in de eerste helft van dit jaar de hoeveelheid malware in Oekraïne uitzonderlijk sterk is toegenomen. In januari noteerde SonicWall nog 31.122 malwarepogingen in Oekraïne, in juni was de malwarevolume gestegen tot 5,8 miljoen of een toename met 18.386 procent (zie grafiek). ‘Als we de malware plots zien toenemen, weten we dat er weer een grote cyberaanval op komst is’, zegt Potii. ‘De Russen lijken vooral speciale dagen te kiezen zoals Victory Day op 9 mei, de dag dat in de Sovjet-Unie de overwinning op nazi-Duitsland gevierd wordt. En ook rond de recente bijeenkomst van de G20 noteerden we een stijging.’
Geen grote onderbreking
In toenemende mate zijn ook de fysieke aanvallen erop gericht de communicatie-infrastructuur van Oekraïne uit te schakelen. ‘Maar tot nog toe is dat niet gelukt’, beklemtoont Potii. ‘Onze communicatiesystemen doen het nog altijd prima, sedert het begin van de oorlog is er nog geen grote onderbreking geweest, zelfs niet in de bezette gebieden. Al blijft zo’n fysieke aanval op onze cruciale infrastructuur onze grootste bezorgdheid. Vooral nu de Russen problemen ervaren op de grond mogen we nog meer massieve cyberaanvallen verwachten.’
Opmerkelijk is dat het mobiele netwerk nog altijd werkt ‘en zelfs erg stabiel’, zegt Protii. ‘Het netwerk is nog nooit echt down geweest sedert het begin van de vijandelijkheden. En vrij snel hebben wij ook kunnen rekenen op het Starlink-satellietnetwerk van Elon Musk die duizenden toestellen aan Oekraïne geleverd heeft die vandaag zowel door de officiële instanties als door bedrijven en organisaties gebruikt worden. Starlink is ook van cruciaal belang om opnieuw internet ter beschikking te stellen van iedereen, ook voor de burgers. Overigens: ook ons financieel netwerk doet het nog altijd prima, bedrijven kunnen nog altijd transacties uitvoeren en de bevolking kan nog steeds bankverrichtingen doen. Dankzij it-specialisten die binnen en buiten het leger samen in de Security Service of Ukraine (SSU), zeg maar het statelijke cybersecuritycentrum, zich blijven inzetten om alle aanvallen af te slaan’.
Hybride oorlog
De term ‘hybride oorlog’ duikt overal op en betekent zoveel als het simultane gebruik van cyberaanvallen en fysieke militaire operaties. In een rapport dat Microsoft eind april publiceerde (‘Special Report: Ukraine, An Overview of Russia’s Cyberattack Activity in Ukraine’) worden verscheidene voorbeelden gegeven van dergelijke correlaties, zoals een e-mail die tijdens de aanval op Marioepol door een zogezegde inwoner van Marioepol naar de inwoners van de stad werd gestuurd met daarin de boodschap dat de Oekraïense overheid haar burgers in de steek liet – duidelijk met de bedoeling het vertrouwen van de bevolking in de regering te ondermijnen.
Maar ook lang vóór de start van de invasie begonnen de Russen al cyberacties op te zetten tegen organisaties in Ukraine zoals tegen supply chain-leveranciers om langs die weg niet alleen toegang te krijgen tot systemen in Oekraïne maar ook in Navo-lidstaten die handel drijven met Oekraïne. En eind vorig jaar drongen Russische hackers ook binnen in netwerken van Oekraïense energie- en it-leveranciers om later destructieve aanvallen uit te kunnen voeren, ter voorbereiding van de invasie.