De kritische infrastructuur in Nederland is nog zeer matig beveiligd tegen cyberaanvallen; het hacken van een sluisdeur of inloggen op een beveiligingscamera: na twee jaar aandacht voor cyber security lukt het nog steeds niet om essentiële systemen echt goed te beveiligen. "Het zijn vaak hele robuuste apparaten die heel lang hun dienst moeten doen. Dat ze vaak heel lang moeten blijven leven conflicteert met de eisen van de ICT-veiligheid", zegt Fred Streefland van het European Network voor Cyber Security.
Urgentie
Het thema wordt met enige regelmaat besproken in de Tweede Kamer. En inmiddels lijkt de urgentie ook doorgedrongen tot Opstelten. "Als men spreekt over járen, dan vind ik dat te lang. Het gaat er in de kern om wat de risico's zijn voor onze vitale infrastructuur. Daar moeten we heel hard aan werken, dat is de awareness die je moet overbrengen aan alle partijen. Daar helpt zo'n debat kennelijk bij."
De bedoeling is om in geval van melding van misstanden de bal teruggelegd kan worden bij degene die verantwoordelijk is. "Die moet het op orde brengen. Als het een private partij is, de private partij en als het de overheid is, de betrokken overheidsinstantie. Er wordt een wet voorbereid waarin ook een centraal meldpunt is opgenomen." Hoewel D66-Kamerlid vanochtend zei dat het allemaal veel te lang duurt, lijkt het meldpunt er dus in ieder geval alsnog te komen.
Heel oud
Het probleem is dat veel van de tienduizenden systemen al heel oud zijn, zegt verslaggever Laurens Boven. "Die doen het dertig jaar en stammen vaak nog van vóór de internetgeneratie en zijn vaak helemaal niet gebouwd om op internet te worden aangesloten. En ze moeten het altijd doen, wat nog wel eens kan conflicteren met de ICT-beveiligingseisen. Ten tweede moet de veiligheid gemanaged worden door mensen: je moet passwords regelmatig veranderen."
Als je het IP-adres hebt van een systeem kun je het vaak direct benaderen, zonder te hoeven inloggen. Het probleem staat hoog op de agenda van het European Network voor Cyber Security - een coöperatie van het bedrijfsleven in Den Haag - maar ook dat gaat niet over één nacht ijs, zegt Fred Streefland van het ENCS. "We zijn er zeker nog niet, we kunnen niet zomaar even al die devices vervangen, maar er zijn vorderingen. Het zal nog jaren duren voordat we de kritische infrastructuur met veilige devices hebben uitgerust."
Stabiliteit
Floris Schoenmakers, 'bedrijfshacker' van Deloitte, toont Laurens Boven de afdeling die de systemen van klanten test op stabiliteit door grondige aanvallen te plaatsen. Hij schetst het probleem: "Er zijn tienduizenden voorbeelden van machines - verkeerslichten, waterzuiveringsinstallaties, lopende banden op Schiphol - die worden aangestuurd door een machine die op internet is aangesloten. Er is een methode om die machines te zoeken, met de speciale zoekmachine Showdan, een soort Google voor het wereldje."
Schoenmakers beschrijft de expose online devices van Showdan, die allerlei apparaten proberen te classificeren of te vinden op het publieke internet. Leken kunnen die zoekopdracht ook uitvoeren, al hebben die er niet veel aan: "Wat je terugkrijgt zijn allemaal IP-adressen én technische informatie over de server. Moeilijk is het niet om een apparaat te vinden, als je slimme zoektermen gebruikt."