De Universiteit Twente roept beheerders van vitale infrastructuren op om hun digitale weerbaarheid te vergroten. Hackers kunnen volgens de UT te eenvoudig toegang krijgen tot bijvoorbeeld elektriciteitscentrales, ziekenhuizen, bruggen, sluizen en kernreactoren, zo bleek recent uit onderzoek van e UT. Een oplossing heeft de universiteit ook: behandel vitale infrastructuren niet op dezelfde manier als het netwerk van bijvoorbeeld een winkel, maar verbind deze aan een veilig circuit waar hackers niet bij kunnen.
Veilige circuits, het klinkt mooi maar wat houdt dat eigenlijk in? ‘Eigenlijk hebben we het dan over een apart stukje internet dat losstaand te beheren is’, ligt Aiko Pras, hoogleraar internetveiligheid aan de Universiteit Twente, deze ontwikkeling toe. ‘Zoiets bestaat nog niet in Nederland. Alles is nu plat, met een paar verschillende aanbieders die in grote lijnen alle klanten hetzelfde behandelen. Aan zo’n gesloten netwerkstructuur gaat politieke besluitvorming vooraf en juist dat debat willen we nu aanjagen.’
Zestig systemen lek
Om deze politieke besluitvorming te beïnvloeden heeft Pras recent een onderzoek naar buiten gebracht waaruit blijkt dat in totaal zestig Nederlandse vitale infrastructuren meerdere zwakke punten hebben en zijn te hacken. ‘Het gaat veelal om relatief kleine systemen die gebruikt worden voor besturingsdoeleinden, maar wat er precies achter zit, weten we niet.’
Pras en zijn onderzoeksgroep in Twente wonnen een zogenaamde ‘call’ van de Nederlandse overheid; een opdracht van het ministerie om de vitale infrastructuren in Nederland onder de loep te nemen. Pras: ‘Allereerst onderzochten we hoeveel van dat soort vitale systemen in Nederland zijn te vinden door de hobbyist. Dat zijn er zo’n duizend. Vervolgens keken we hoeveel daarvan er ook daadwerkelijk kwetsbaar zijn, dus welke versies van bepaalde software draaien ze en kan je ze hacken? Dat bleken er dus zestig te zijn.’
Weinig Haagse ict-kennis
Een oplossing om vitale infrastructuren beter te beschermen is volgens Pras dus het koppelen met veilige circuits. Het is één van de belangrijkste aanbevelingen uit het omvangrijke rapport Online Discoverability and Vulnerabilities of ICS/Scada Devices in the Netherlands van Universiteit Twente, dat werd uitgevoerd in opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) van het Ministerie van Justitie en Veiligheid. Voor Pras is deze uitkomst van het rapport gericht op het voeden van het politieke debat over cybersecurity van vitale infrastructuren in Nederland. ‘Volgens ons moet de overheid zeggen: elk systeem dat vitaal is, moet niet onbeveiligd aan het openbare internet gehangen worden zodat kwaadwillende, eventueel buitenlandse hackers erbij kunnen. We signaleren al een tijd dat er in Den Haag relatief weinig kennis van ict zit. Slechts een paar mensen hebben er echt verstand van en besluitvorming gaat traag.’
Pras gaat de uitkomsten van het onderzoek van Universiteit Twente dus delen met de politiek in Den Haag. Ook worden de bevindingen gedeeld met de eigenaren van vitale infrastructuren in Nederland.
