nrc.nl nrcnext.nl nrcboeken.nl nrccarriere.nl nrclux.nl
Volg ons via:

Wanted: soldaten tegen cybercrime

Veiligheidsspecialisten op de Amsterdamse editie van Hack in the Box – festival voor computerkrakers.
Veiligheidsspecialisten op de Amsterdamse editie van Hack in the Box – festival voor computerkrakers. 
Automatisering/ICT, Beleid & Bestuur

Nederland heeft de oorlog verklaard aan de online criminaliteit, maar er is één probleem: er zijn niet genoeg ‘goede’ hackers.

Niks beters dan een flinke hack om de internetwereld wakker te schudden. Deze week was het weer raak: eerst werd het krachtige spionagevirus ‘Flame’ via Windows rondgestuurd. Een paar dagen later gaf sociaal netwerk LinkedIn (161 miljoen leden) toe dat de wachtwoorden van gebruikers waren gestolen. Dat trof onder meer drie miljoen Nederlandse LinkedIn-gebruikers.

Inmiddels weten Nederlandse bedrijven en overheden hoe kwetsbaar ze zijn voor cybercrime. Door een lange reeks inbraakschandalen in het afgelopen jaar is er nu een grote vraag naar hackers, naar de góede hackers: zogeheten whitehats of ‘ethische hackers’ die helpen het netwerk te beschermen. Zij zijnschaars, blijkt uit een rondgang langs sleutelfiguren in de veiligheidsindustrie.

Als gevolg van een hack bij KPN hadden twee miljoen Nederlanders begin dit jaar tijdelijk geen toegang tot hun e-mail. KPN zoekt nu tientallen specialisten om de infrastructuur te beveiligen. Ook multinational Shell werft extra IT-experts om zich beter te beschermen tegen cyber-aanvallen. Er bestaat reële angst dat een nieuw virus zoals Stuxnet (dat schade aanrichtte aan het Iraanse kernprogramma) olieplatforms, pijpleidingen en bedrijfsgeheimen in gevaar brengt. Zoals een veiligheidsexpert het uitdrukt: „Shell wil geen Chinezen in het netwerk.”

Ook Nederlandse banken ronselen beveiligers. Ze proberen zich te weren tegen de groeiende fraude bij internetbankieren (vorig jaar 35 miljoen euro schade, drie keer zoveel als in 2010). Daarnaast zijn overheden bezig op grote schaal uit te breiden, opgejaagd door de geslaagde hack bij DigiNotar, waarbij aan het licht kwam hoe kwetsbaar de veiligheidscertificaten waren die door dit bedrijf (ook voor de overheid) werden aangemaakt, door een reeks lekke overheidssites en door continue aanvallen van Anonymous-actievoerders.

Het Team High Tech Crime van de Nationale Recherche groeit van 30 naar bijna 120 mensen, het ministerie van Defensie heeft 50 miljoen euro uitgetrokken, onder meer voor extra ‘cyberreservisten’ – soldaten in de strijd tegen cybercriminaliteit; ze hebben militaire taken en moeten de Nederlandse infrastructuur en het NAVO-netwerk beschermen tegen inmenging van buitenaf. De reservisten zijn hackers die in het bedrijfsleven werken maar in geval van nood oproepbaar zijn.

Meer organisaties die hackerstalent zoeken: een Europees cybercenter in Den Haag en het gloednieuwe Nationaal Cyber Security Centrum. Ook de security-tak bij ICT-dienstverleners is ‘booming’ omdat het bedrijfsleven doordrongen is van de risico’s.

„Iedereen zit te vissen in dezelfde vijver”, zegt Patrick de Graaf, beveiligingsexpert van CapGemini Consulting. Hij omschrijft de meest schaarse groep: „De toppers, die creatief denken en kwaadaardige software uit elkaar trekken om te kijken hoe ze die zelf kunnen toepassen.” Vindingrijke hackers zijn gewild: wie weet hoe je moet inbreken, weet ook hoe je je daartegen kunt beschermen.

Ronald Prins, als directeur van veiligheidsbedrijf Fox-IT betrokken bij bijna alle grote cybercrime-incidenten, vergelijkt beveiliging met „struikeldraadjes spannen”; de plekken kiezen waar je inbrekers kunt betrappen. „Je moet hackersgedrag herkennen en echt wel een jaartje meedraaien om te weten wat het trucje van de dag is.”

De beste beveiligers zijn volgens hem vaak „jongens met een bijna autistisch enthousiasme om uren in chatgroepen rond te hangen. Ze houden ervan te laten zien dat ze slimmer zijn dan anderen. Op hackersfestivals zitten ze in een kringetje te kijken of ze een slot open krijgen.”

Hackerscultuur

Een van die bijeenkomsten is de Hack in the Box-conferentie, die eind mei in Amsterdam werd gehouden. De beste computerkrakers ter wereld lieten zich in de watten leggen in het vijfsterrenhotel Okura. Het Apple Jailbreak Dream Team stal de show met een nieuwe kraak van de iPhone. De teamleider, een jongen die zich MuscleNerd noemt, zou al door Apple benaderd zijn voor een baan. Dat wekte verbazing onder medehackers. Want er is een discrepantie tussen de anarchistische hackerscultuur – een nerdy wereld van energiedrankjes, nachtenlang doorwerken en een voorliefde voor games – en het gereguleerde bestaan bij een IT-bedrijf of opsporingsdienst.

Bij ITQ, een beveiligingsspecialist uit Wijk aan Zee, zoeken ze „dehackers die hun wilde haren kwijt zijn”, zegt Barry van Kampen, een expert die zichzelf ook nog steeds met trots hacker noemt. „We moeten mensen hebben die een klant duidelijk te woord kunnen staan en niet meteen beginnen over een SQL-injection [veelvoorkomende kwetsbaarheid op websites, red.] ”

Hackers balanceren vaak op de grens van wat wel en wat niet mag – de enige manier om te kijken of ze een beschermmuur kunnen slechten. „Een hacker met een klein smetje is geen probleem”, zegt Ronald Prins. Maar een veroordeling voor computerinbraak kan hij niet verkopen aan zijn klanten. Een veroordeelde hacker komt bij Fox-IT niet aan de bak en dat geldt ook voor de rest van de veiligheidsindustrie.

Maar, zegt Prins: een van zijn talentvolle medewerkers was in 2002 betrokken bij het verstoren van de chatsessie van prins Willem-Alexander en prinses Máxima. Prins: „Hij is nu een specialist die we ook regelmatig uitlenen aan de politie omdat-ie zo goed is.” Dat leidde nog tot hilariteit toen de kroonprins onlangs een bezoek aan Fox-IT in Delft bracht.

Patrick de Graaf van CapGemini vergelijkt het werken met hackers met het „opvoeden van katten – die gaan ook hun eigen gang”. Volgens De Graaf gedijen hackers in een werksfeer waar je respect verdient door kennis van onderwerpen te hebben. „Maar uiteindelijk moeten ze wel luisteren naar wat de baas zegt. Of de generaal.” Het ministerie van Defensie, weet De Graaf, twijfelt nog hoe de cyberreservisten ingelijfd moeten worden: „Moet je zo’n reservist de basistraining laten doorlopen en de hindernisbaan opsturen?”

Boeven vangen

Werken voor een overheidsorganisatie is spannend, zegt Pim Takkenberg, van het High Tech Crime Team, van de Nationale Recherche. „We hebben een goede naam opgebouwd. Je kunt bij ons boeven vangen, dat is een extra motivatie om te solliciteren.”

Met een speurtocht naar de niet-bestaande cybercrimineel Johnny D03 wist hij de eerste zestig vacatures te vullen. Volgens Takkenberg hét bewijs dat de overheid een aantrekkelijke werkgever is voor experts – bij de term ‘hacker’ voelt hij zich niet prettig: „Hacken is strafbaar, kijk maar in het woordenboek. De nieuwe generatie IT-specialisten bestaat niet alleen uit introverte personen die op zolderkamertjes moeilijke dingen zitten te doen. Je haalt ze er in de kroeg niet uit.”

De politiesalarissen zijn marktconform – „36-urige werkweek, 13de maand” – maar de belangrijkste bonus is dat digitale rechercheurs weten dat ze een hoger doel dienen als ze ’s ochtends in de rij staan voor de afslag Driebergen: kinderpornonetwerken platleggen en criminelen de pas afsnijden.

Er is een tekort aan studenten die kiezen voor een carrière in cybersecurity. Fontys Hogeschool in Eindhoven is goed voor 12 procent van alle 20.000 informatici met een hogeschooldiploma in Nederland. „We zouden vier keer zoveel studenten kunnen afleveren”, zegt directeur Ad Vissers. „We hebben veel buitenlandse leerlingen, maar voldoen nog niet aan de vraag van de arbeidsmarkt.”

Dat ‘goede’ hackers schaars zijn, ervaart ook Herbert Bos, hoogleraar netwerk- en systeembeveiliging aan de Vrije Universiteit van Amsterdam. „Ik krijg verschillende mails per week van bedrijven die zitten te azen op mijn studenten. We hebben te lang gedacht: dat outsourcen we wel. Maar Nederland heeft de kennis zelf nodig. Dat bewijzen de incidenten waarmee we de afgelopen tijd zijn doodgegooid.”

Volgens Bos leidde Nederland te veel wetenschappers op die zich richten op theoretische wiskunde en cryptografie – versleuteling van bestanden. „Maar dat zijn meestal niet de lekken in het systeem. Alsof we dokters opleiden die nooit een ziekte hebben bestudeerd. Er is behoefte aan mensen die echt weten hoe je een computer binnendringt.”

In de kamer naast het kantoor van Bos ontleden vier jonge studenten malware, kwaadaardige software. Ze proberen zo een ‘botnet’ van 200.000 besmette pc’s over te nemen, die misbruikt worden voor bankfraude. Ze weten 50.000 pc’s los te koppelen, maar uiteindelijk voeren de cybercriminelen een geslaagde tegenaanval uit.

Bos beaamt dat te weinig jongeren kiezen voor een carrière in cybersecurity, ook al kunnen talentvolle mensen zo aan de slag. De hoogleraar is blij dat de actievoerders van Anonymous het hacken „aansprekender” hebben gemaakt. „Dat vinden jongeren belangrijk. Het gaat niet alleen om geld of techniek, maar om wezenlijke dingen. Denk aan de Iraniërs die in de gevangenis worden gegooid omdat de digitale certificaten van DigiNotar gekraakt werden.”

Betere wapens

Zelfs al zouden er genoeg goede soldaten zijn om de cybercriminaliteit te bestrijden, dan nog worstelt Nederland met de vraag welke wapens die cybersoldaten mogen inzetten. Ronald Prins: „Stel, je weet dat een verdachte hacker op een Koreaanse chatgroep zit op te scheppen over een kraak. Jij en ik mogen meelezen. Maar de politie mag dat niet, omdat het opsporingshandelingen in het buitenland zijn.”

Ondanks het motto van het Team High Tech Crime – ‘Just do it’, vrij naar Nike – moeten de digitale rechercheurs voortdurend schipperen tussen technologische, juridische en politieke belangen, erkent Pim Takkenberg. „We moeten op eieren lopen, zeker als het gaat om privacy. Voor alle duidelijkheid: we plegen hier geen strafbare feiten. Maar er is wel behoefte aan meer specifieke wetgeving die minder aan de discussie overlaat als je computersystemen betreedt. Soms weet je gewoon niet in welk land een computer staat.”

Brancheorganisatie ICT pleitte vorige week voor een Deltaplan voor cyber security – in feite was het een omroep om meer geld uit te trekken voor beveiliging bij de aanbesteding van IT-projecten. Beter lekken voorkomen dan gaten repareren.

Want ook de Nederlandse overheid heeft er een handje van om bij aanbestedingen de beveiliging over het hoofd te zien. Er wordt binnen de beveiligingsbranche sowieso getwijfeld aan de slagkracht van de overheid: er zijn te veel organisaties, het ontbreekt aan mandaten. „Nederland is sterk verpolderd”, zucht Ronald Prins, die zelf bij de AIVD werkte. Hij verwijst naar de lekken bij gemeentelijke diensten die ICT-journalist Brenno de Winter verzamelde: die waren eenvoudig te voorkomen als het rijk niet elke gemeente zelf webdiensten in elkaar laat schroeven. Ook het continue inroepen van Fox-IT als digitale brandweer is een veeg teken, erkent Prins.

Hij pleit voor een samenwerkingsmodel als in Engeland, waar specialisten uit de publieke en private sector samen „het land bewaken”. Daarbij hoort ook de bescherming van bedrijven. „In de VS helpt inlichtingendienst NSA de banken te beschermen om te voorkomen dat cybercriminelen Wall Street omver trekken.”

Nu vallen kleinere zaken tussen wal en schip doordat de Nationale Recherche onvoldoende capaciteit heeft. In 2010 jaar werd in Haarlem het criminele Bredolabnetwerk opgerold, dat maar liefst 143 servers besloeg. Prins: „Wij hadden al gewaarschuwd toen het netwerk nog maar twee servers groot was. De politie kwam pas in actie toen er een klacht van de FBI kwam: weten jullie wel wat er in Haarlem staat te draaien?”

Auteur: Marc Hijink
Dit artikel verscheen in NRC Handelsblad op zaterdag 9 juni 2012, pagina 12 en 13
Foto: Olivier Middendorp

  Tags: , , ,