Open huis voor hackers

Overheids-ict zeer kwetsbaar

Een rode lappendeken met hier en daar een oranje of groen stuk. Op www. faalkaart.nl is een digitale plattegrond te zien met daarop een visualisatie van de kwaliteit van de digitale infrastructuur van Nederlandse overheden. De Faalkaart ‘laat zien hoe goed de overheid veiligheid toepast op haar websites’, legt de website zelf uit. ‘De kleur geeft aan hoe goed dit wordt gedaan. Rood is slecht, groen is goed.’ Het zou zomaar kunnen dat de kaart er bij het uitkomen van dit blad totaal anders uitziet dan bij het ter perse gaan, want de kaart wordt continu bijgehouden. Die kans lijkt echter niet groot, aangezien er weinig verandert als men de verandering in de afgelopen weken bekijkt.

‘Het rood lijkt niet echt minder te worden’, valt ook Aiko Pras op. Pras is hoogleraar internet security aan de Universiteit Twente en onlangs verrichte hij met een team onderzoek naar de kwaliteit van de Nederlandse ict-infrastructuur. Die blijkt kwetsbaar. En om daar misbruik van te maken, is niet eens veel kennis nodig: zelfs beginnende hackers kunnen vrij gemakkelijk een site saboteren. De maatschappij wordt steeds afhankelijker van de digitale infrastructuur, zonder dat er goed wordt nagedacht over de nadelen daarvan, waardoor de kwetsbaarheid steeds groter wordt.

Het onderzoek dat Pras met zijn team verrichtte, draait om netwerken waar bijvoorbeeld energiecentrales, waterleidingen en bruggen mee worden bestuurd (in vakjargon worden dat ICS- en SCADA-netwerken genoemd). De apparatuur die hiervoor gebruikt wordt, lijkt op laptops en telefoons in de zin dat het manieren zijn om toegang te krijgen tot een netwerk. Maar laptops en telefoons krijgen voortdurend updates en zijn dus goed beveiligd.

‘Iets dat waterdruk voor pompen controleert en gemaakt is voor tien jaar gebruik, krijgt vaak geen software-updates’, zegt Pras. ‘De fabrikant doet wel iets, maar dat gaat traag. ‘Zelfs áls de kwetsbaarheid bekend is, en er is een update beschikbaar, dan kun je nog steeds de afweging maken dat het vervelend is als de druk even wegvalt in Enschede en het daarom niet doen.’ Het probleem is niet alleen die apparaten zelf. Simpele gehackte apparatuur kan ook worden gebruikt worden om netwerken te saboteren.

‘Ik heb bijvoorbeeld 21 zonnepanelen op het dak die aangesloten zijn op optimisers. Dat soort kastjes kan met het internet praten. Die dingen kun je laten aanvallen door zoveel mogelijk informatie te laten sturen zodat niets meer reageert.’ Dit zijn de zogeheten DDoS-aanvallen. Er zijn al websites waar onervaren mensen zulke aanvallen kunnen kopen om een site te saboteren. Een ervaren hacker, kwaadwillende organisatie of vijandig land zou veel meer kunnen.

Basisfout
Eigenlijk is de omvang en de complexiteit te veel voor lokale overheden. ‘Gemeenten weten weinig van ict’, zegt Pras. ‘Op de Faalkaart zie je hoe slecht het met de ict van Nederlandse overheden gesteld is.’ De rode lappendeken. Rood is slecht, groen is goed. ‘De Fryske Marren heeft het goed voor elkaar’, zegt Pras, kijkend naar het groengekleurde polygoontje. De gemeente voert de lijst aan van gemeenten waar weinig risico’s zijn.

Amsterdam voert de lijst aan van gemeenten waar de meeste risico’s zijn: de ‘Top Fail 2019 week 34’. De Faalkaart loopt continu en automatisch lijsten af van gemeentewebsites en controleert welke veiligheidsproblemen er zijn. Pras klikt door op een van de Amsterdamse adressen waar een hoog risico is gevonden.

Er verschijnt een foutmelding van de browser: ‘Firefox heeft een mogelijk beveiligingsrisico gedetecteerd en is niet doorgegaan naar webcam.aebamsterdam.nl.’ ‘Firefox vertrouwt deze website niet’, zegt Pras, ‘omdat het certificaat ongeldig is.’ Wie klikt op ‘Geavanceerd’ ziet de uitleg dat het certificaat alleen geldig is voor fietsjerijk. fietsmaatjes2017.nl. ‘Ze hebben waarschijnlijk gewoon de site en het certificaat gekopieerd. Dat is een basisfout en dat zou niet mogen gebeuren.’

Meeste domeinen
Elger Jonker (35), de oprichter van de Faalkaart, weet waarom de hoofdstad bovenaan staat. ‘Amsterdam heeft by far de meeste domeinen van Nederland en ze hebben daar heel veel werk verzet om de risico’s te verhelpen.’ Hij wijst daarom naar het dal in de grafiek getiteld ‘Tijdlijn van risico’s en beschikbare diensten’. Die grafiek toont hoeveel risico’s er waren sinds ruim een jaar geleden. De lijn van Amsterdam daalt gestaag tot november 2018, maar stijgt in december plotseling enorm.

‘Toen ze hun sites op orde hadden’, zegt Jonker, ‘hadden we zoiets van: misschien zijn ze klaar voor de volgende stap. Eind 2018 hebben we alle domeinen toegevoegd waar Amsterdam 100 procent aandeelhouder van is. Bijvoorbeeld van het GVB of Carré of portofamsterdam.com. Daar waren ze niet blij mee. Het ligt gevoelig, dat snap ik op zich wel.’

Amsterdam laat weten het belang van initiatieven als de Faalkaart te onderschrijven en dat www.amsterdam.nl voldoet aan alle beveiligingsstandaarden. Over de lage score zegt de gemeente: ‘We begrijpen dat Faalkaart haar scope inmiddels heeft uitgebreid met websites en domeinen van organisaties en bedrijven die geen onderdeel zijn van de gemeentelijke organisatie. Deze organisaties en bedrijven zijn zelf verantwoordelijk voor de bedrijfsvoering en dus ook voor de veiligheid van hun websites en webapplicaties.’

Wie de details achter de scores wil weten, kan naar de ‘Risk summary table’ gaan. ‘Die is echt voor de nerds’, zegt Jonker. Naast de links staan beoordelingscategorieën zoals domeinnamen, certificaten en versleuteling, en de kleuren geven het ernst van het risico aan. Hoe beoordeelt de site eigenlijk welke risico’s ernstig zijn en welke niet? ‘Dat heeft met een aantal dingen te  maken, zoals de kans en de impact.

Het ontbreken van versleuteling, bijvoorbeeld, vinden we een ernstig risico omdat derde partijen dan de informatie zouden kunnen beïnvloeden. Maar bepaalde oude versies van Internet Explorer die niet meer ondersteund worden, vinden we niet ernstig. Er zijn misschien vijfhonderd mensen in Nederland die die versies gebruiken en de kans dat iemand daar misbruik van maakt is eigenlijk niet aanwezig.’

Paniek
De Faalkaart toont bewust geen problemen van het hoogst mogelijke technische niveau. ‘We proberen inzicht te geven in het absolute basisniveau van veiligheid. Stel, we zouden veel ernstigere problemen op de site plaatsen. Dan zien kwaadwillenden dat ook.’

Jonker richtte de site in drie dagen op toen hij iets moest voorbereiden voor de conferentie ‘In het hoofd van de hacker’ in 2016. ‘Er was een panel met hackers en ik was de minst bekende. Ik was er omdat mijn toenmalige werkgever een van de sponsoren was. ‘‘Die jongen die geld heeft betaald om er te zitten” – ik vond dat een matige propositie en ik wilde wat meer van mezelf laten zien. Dus ik besloot een eerder idee uit te werken dat ik had om een kaart van Nederland te maken. Bij de presentatie waren er tweehonderd chief security officers van gemeenten in de zaal en er brak paniek uit, mensen liepen naar buiten om te bellen – oh shit oh shit. In dat weekend zijn al 150 issues opgelost puur door ze zichtbaar te maken.’

Hij kreeg vervolgens geld van het SIDNfonds, dat projecten steunt die het internet verbeteren (SIDN geeft de .nl-domeinnamen uit). Sindsdien onderhoudt hij de site met één andere persoon, en hij krijgt soms ondersteuning van nog twee anderen. ‘We zijn op zoek naar meer funding om te zorgen dat we verder kunnen blijven ontwikkelen. Dankzij het inzicht van het SIDN-fonds konden we starten, maar financiële steun vanuit de Vereniging van Nederlandse Gemeenten is er bijvoorbeeld niet.’

Het aandachtsgebied van de website zal binnenkort worden uitgebreid, laat Jonker weten. Er is hem gevraagd om alle ict van de Nederlandse overheid in kaart te brengen voor de NCSC One-conferentie die op 1 oktober in Den Haag begint.

Als een opa
De Faalkaart wijst op ict-verantwoordelijkheden aan het oppervlak, maar wat de hoogleraar betreft moet voor de dieperliggende, complexere structuren een nationale aanpak komen. ‘Ik denk dat je op een gegeven moment moet accepteren dat dingen te ingewikkeld zijn en nationale organisaties moet opzetten. Het hoeft niet eens een overheidsorganisatie te zijn, maar de overheid moet de spelregels bepalen.’ Hij laakt daarbij de houding van de rijksoverheid. ‘Ik heb Opstelten de internationale cybersecurityconferentie NCSC One zien openen alsof hij een opa is die voorleest uit andermans werk. Hier een agenda, daar een plan, dus ga gerust slapen. Het staat zo ver weg. Wat ik niet zie, is een plan vanuit het ministerie.’

Volgens Pras is de neiging om het over de schutting te gooien. ‘We doen alles met publiek-private samenwerking, maar de overheid heeft zelf geen visie en dan is het pure uitbesteding. Bedrijven zoals KPN en Ziggo gaan er dan geld aan verdienen en daar is niets mis mee: de rol van providers is om ons gewoon aan te sluiten op het internet. Ze kunnen wel zorgen voor beveiliging, maar dat doen ze niet als niemand het ze vertelt. De overheid moet er beter induiken en spelregels bepalen.’ Er kan bijvoorbeeld een afspraak gemaakt worden met providers dat sommige netwerken niet buiten Nederland te bereiken zijn. Waarom zouden interne systemen van overheden, voor bijvoorbeeld pompen of sluizen, vanuit het buitenland bereikbaar moeten zijn? En er is volgens Pras bovendien een ‘scala aan maatregelen’ waarmee providers kunnen zorgen dat de belangrijke apparatuur alleen met elkaar kan praten. Het wordt dan een Virtual Private Network.

‘Zie het als een bedrijventerrein. Er staat een groot hek omheen, waardoor je er niet zomaar in kunt. Er zijn een paar goed bewaakte plaatsen waar mensen monitoren of het goed gaat en in kunnen grijpen als er abnormaal gedrag vertoond wordt. Stel, er komt een Chinees binnen via een computer die op dat afgesloten netwerk zit. Zodra hij gaat scannen wat er allemaal op dat netwerk te doen is, is dat op te merken als abnormaal gedrag.’ Het probleem wordt voorlopig alleen maar groter met het Internet of Things, waar de kleinste huiselijk apparatuur op kan worden aangesloten. Heel gemakkelijk, maar zonder de juiste beveiliging zeer kwetsbaar voor misbruik. ‘Dat hangt aan het internet totdat het misgaat’, zegt Pras. ‘Want wie gaat regelmatig de software van een lamp updaten?’