Vorige week werd het onderwijs van de TU Eindhoven gestaakt door een hack. Daarnaast kampten universiteiten en hogescholen in heel Nederland met een DDoS-aanval. En nu koppen de kranten ook nog over ‘de naderende Q-day’. Wat is er aan de hand? Lector Cybersecurity Raymond Slot biedt duidelijkheid.
Eerst over Q-day: iets waar je misschien nog nooit van hebt gehoord. Vorige week kopte De Telegraaf: ‘De wereld zet zich schrap voor naderende Q-Day: ook AIVD waarschuwt dat quantumcomputers alles op z’n kop kunnen zetten.’
Wat is Q-day?
Raymond Slot, lector Cybersecurity, legt het uit. ‘Tegenwoordig wordt al het internetverkeer versleuteld, dat heet encryptie.’
Zo komt jouw bericht of mail niet in handen van anderen. ‘Dat maakt het internet veiliger. En als iemand toch informatie wil “aftappen”, kan hij soms bij basisinformatie komen, maar die niet lezen.’
Het probleem is dat meerdere partijen bezig zijn om geavanceerde computers te bouwen, onder andere in China en Amerika: quantumcomputers. ‘Als die eenmaal werken, dan zouden ze slimmer zijn dan een deel van de encryptie-modellen. Daardoor kan een groot deel van de informatie op internet open komen te liggen.’
Hoelang duurt dat nog?
‘Dat is koffiedik kijken,’ zegt Slot. ‘Het is complex om zo’n computer te bouwen en de ontwikkeling staat nog in de kinderschoenen. Ik denk dat het nog tien jaar duurt, maar het zou sneller kunnen gaan. Of juist langzamer. Twintig jaar.’
Wat zijn de gevolgen?
‘Bedrijven en organisaties zijn nu druk bezig om hun beveiliging beter te maken, zodat ook zo’n quantumcomputer die niet kan “kraken”. Maar tegelijkertijd slaan we nu informatie op die in de toekomst geopend kan worden.’
Denk aan een map met e-mails of appjes die je nu niet kunt openen omdat ze nog beveiligd zijn, maar met zo’n computer over tien jaar dus wel. ‘Als iemand later alle mails van de overheid of grote bedrijven kan decrypten (uitpakken), dan is dat ernstig.’
‘Het kunnen privacygevoelige documenten zijn zoals notulen van ministerraden, besluiten van presidenten en nieuwe technologieën die in handen vallen van verkeerde personen zoals geheime diensten of actiegroepen. Op dit moment zijn er geruchten dat zoiets gebeurt. Het is nu in het nieuws, doordat bedrijven bezig zijn hun beveiliging aan te passen.’
Moeten we ons zorgen maken?
‘Ik kan me voorstellen dat niet alle diensten op hetzelfde hoge niveau zijn te beveiligen. Maar aangezien er nu al veel bekendheid aan wordt gegeven, verwacht ik dat overheden en techbedrijven hier al mee bezig zijn.’
De millenniumbug bleek achteraf ook mee te vallen.
Hij vergelijkt het met de millenniumbug, toen men bang was dat de computers zouden uitvallen tijdens de wisseling van het jaar 1999 naar 2000. ‘Daar zijn voorzorgsmaatregelen genomen en het bleek achteraf mee te vallen. Als we nu goede voorzorgsmaatregelen nemen, zal het effect ook minimaal zijn.’
Op de vraag of we dingen niet beter offline kunnen opslaan, in een kast of kluis, antwoordt Slot: ‘Ja, het is wel veilig, maar ook onpraktisch. Misschien alleen voor supergeheime zaken, maar verder is het onrealistisch.’
Cyberaanvallen
Q-day duurt dus nog even, en over de gevolgen kunnen we alleen maar speculeren. De DDoS-aanvallen en hacks laten niet op zich wachten en zijn meteen merkbaar. Vorige week kampten universiteiten en hogescholen in heel Nederland met een DDoS-aanval, waardoor het internet slecht werkte. En het onderwijs van de TU Eindhoven werd gestaakt door een hack.
Het is drastisch om alles dicht te gooien, maar wel veilig.
Waarom haalde de TU Eindhoven haar netwerk offline?
‘De Universiteit van Maastricht werd in 2019 platgelegd door een hack. Ze moest geld betalen om weer in alle data en mail te kunnen. Sindsdien hebben hogescholen en universiteiten maatregelen genomen om dit te voorkomen. Een daarvan is het detecteren van aanvallen, nog voordat hackers binnen zijn gekomen. Alsof je een inbreker aan het slot hoort morrelen, zonder dat hij binnen is.’
Slot vermoedt dat dit ‘morrelen’ bij de TU Eindhoven het geval was. ‘Het is drastisch om alles dicht te gooien, maar wel veilig. IT-specialisten kunnen dan nagaan hoe de hackers wilden inbreken en dat stukje nog beter beveiligen.’
Is dit een gerichte aanval op de universiteit?
Waarom iemand juist de TU Eindhoven wilde hacken, is speculeren, zegt Slot. ‘Criminele bendes doen dit als verdienmodel. Ze sluiten bestanden af en eisen dan geld, vaak bitcoins, voordat ze alles weer openen.’ Het kan ook dat een partij specifieke informatie van de TU wilde inzien. ‘De TU werkt samen met partijen van ASML en heeft kennis van bijvoorbeeld chipmachines, die van strategisch belang kan zijn.’
Bij een DDoS-aanval (Distributed Denial of Service) wordt een systeem overspoeld met zoveel verkeer dat het niet meer te bereiken is. De enorme hoeveelheid digitaal verkeer zorgt er ook voor dat andere systemen vastlopen. Woensdag was ook een aanval gericht op het SURF-systeem.
En die DDoS-aanval van afgelopen week, wat bereikt iemand daarmee?
Dat kan van alles zijn, maar het gaat gewoonlijk niet om het geld, zegt Slot. Waarschijnlijk geen criminele bende dus. Eerder een student op een zolderkamer die boos is op zijn school, of hack-tivisten die een bepaalde boodschap hebben en zo in de publiciteit willen komen. Ze hoeven daarvoor niet handig te zijn: ‘Iedereen kan voor een paar honderd euro een DDos-aanval bestellen op het dark web.’
Mensen die geen technische kennis hebben, kunnen dus hacks kopen.
Komen er in de toekomst steeds vaker hacks en DDoS-aanvallen?
‘Het wordt steeds makkelijker. Mensen die geen technische kennis hebben, kunnen hacks kopen.’
Daar zit een hele industrie achter, die steeds groter groeit. ‘Onder andere van de maffia. Het beeld is dat evenveel geld met cybercriminaliteit als met verdovende middelen wordt verdiend.’
Het is heel moeilijk te traceren, en dat maakt het zo lastig. ‘Er is een soort ondergrondse oorlog gaande, maar dan niet met wapens, maar met cyberaanvallen.’ Bedrijven hebben voortdurend te maken met aanvallen en moeten zich online verdedigen.
Hoe groot is de kans dat zoiets als bij de TU ook hier aan de HU gebeurt?
‘Die kans is er, die kun je nooit uitsluiten’, zegt Slot. Het gaat altijd om een afweging van goede beveiliging en het budget dat we ervoor over hebben. ‘Militaire omgevingen zijn heel veilig, maar daar worden miljoenen euro’s in gestopt. Dat geld heeft de HU niet. Daarom schat het zelf in wat een realistisch niveau van beveiliging is en wat daarvoor nodig is.’
Slot gaat er vanuit dat de HU goede beveiligingsmethoden heeft. Net als op de TU zou een mogelijke hack hier al vooraf worden gedetecteerd. ‘Als er normaal internetverkeer over het interne netwerk loopt, zie je bepaalde patronen. Wil iemand het netwerk aanvallen, dan zie je een nieuw patroon. Dat hoeft niet per se een inbraak te zijn, maar er moet wel goed gemonitord worden welke informatie er dan naar buiten gaat.’
Of criminelen eerder informatie of persoonsgegevens van de HU zouden willen stelen, weet Slot niet. ‘Bij elke organisatie of bedrijf is het mogelijk om persoonsgegevens te stelen. Die kan een crimineel voor een paar cent per gebruiker verkopen. Met tienduizenden mensen telt dat wel op.’ En wat bij de Universiteit van Maastricht gebeurde (het versleutelen van bestanden en geld eisen om het weer te openen) kan ook hier gebeuren.
Waar gaat het heen, als het hacken steeds makkelijker wordt?
‘Niet alleen hackers worden beter, maar de beveiligingsindustrie ook.’
Toch lukken er veel hacks wel. ‘Dat komt vaak vanwege onvoldoende aandacht vanuit het algemene management van bedrijven voor dingen als cybersecurity.’
Er komt dit jaar een Europese richtlijn die bedrijfsdirecties verantwoordelijk stelt om voldoende budget beschikbaar te stellen hiervoor. Ook zijn directies dan aansprakelijk als ze de digitale veiligheid niet op orde hebben. Slot verwacht dat dat flinke impact gaat hebben op organisaties. ‘Dat juich ik alleen maar toe.’
