Advertentie
interview

'Overheid moet zelf gaan hacken'

Ronald Prins ©Jan Rosseel

Als we de dreiging van cyberterreur ernstig nemen, moeten politie en inlichtingendiensten zelf in staat zijn om de hackers te hacken. Dat zegt de Nederlandse security-expert Ronald Prins.

Prins is de oprichter en de CEO van Fox-IT, het Nederlandse beveiligingsbedrijf dat in 2013 bij Belgacom een uiterst gesofistikeerd spionagevirus ontdekte. Dat zogenaamde Regin-virus was zo goed als zeker afkomstig van de Britse en Amerikaanse spionagediensten, GCHQ en NSA, die erop uit waren het internationale communicatieverkeer dat loopt over het netwerk van Belgacom-dochter BICS te monitoren.

Prins houdt over de Belgacom-zaak de lippen stijf op elkaar, maar waarschuwt dat die gemediatiseerde zaak maar het tipje van een ijsberg is. ‘Er hebben in België en andere West-Europese landen de jongste tijd verschillende geavanceerde aanvallen plaatsgevonden. Belgacom was er een van, maar zeker niet het enige. Momenteel zijn slechts een aantal partijen tot zo’n aanvallen in staat, maar we gaan ervan uit dat ze gemeengoed worden. Het past in het voortdurende kat-en-muisspel waarbij hackers en beveiligingsfirma’s elkaar steeds een stap voor proberen te blijven.’

Wat maakt die aanvallen zo geavanceerd?
Ronald Prins: ‘Het gaat om operaties waarin heel veel tijd en geld werden geïnvesteerd, en waarbij elke stap tot in de perfectie werd voorbereid. Vergelijk het met de mechaniek van een Ferrari tegenover die van een gewone auto. De malware wordt op een heel onopvallende manier binnengesmokkeld en is heel moeilijk weg te halen. Bovendien is het motief van de aanvallers vaak onduidelijk.’

Wie zit erachter? Inlichtingendiensten zoals de NSA?
Prins: ‘Enerzijds heb je enkele grote landen die zelf gesofistikeerde malware ontwikkelen, zoals Rusland en de inlichtingendiensten van de Five Eyes-landen (VS, VK, Canada, Australië en Nieuw-Zeeland, red.). Anderzijds zien we mengvormen ontstaan tussen hackersgroeperingen en inlichtingendiensten van kleinere landen, die elkaars expertise proberen binnen te halen. Een voorbeeld daarvan zagen we in Nederland met de hack van Diginotar, een bedrijf dat de beveiligingscertificaten bijhield van onlineoverheidstoepassingen. Daar zagen we dat de Iraanse overheid samenwerkte met individuele hackers. Ze waren er vooral op uit een certificaat te stelen om te kunnen inbreken bij Google. Het gevolg was wel dat het vertrouwen van de Nederlandse burgers in een aantal overheidstoepassingen weg was.’

Ronald Prins ©Jan Rosseel

De digitale samenleving wordt erg kwetsbaar.
Prins: ‘We weten niet meer waarvan we precies afhankelijk zijn en waarop de overheid haar aandacht moet richten. Een tijdelijke internetpanne lijkt op zich niet zo heel erg, maar het betekent ook dat je niet meer elektronisch kunt betalen. Straks komen met het ‘internet der dingen’ ook onze koelkasten, televisies, auto’s en treinen online. In Spanje wil men na een groot treinongeluk de machinist vervangen door een computer. Maar mensen vervangen door computers maakt de wereld niet per definitie veiliger. In Nederland heeft de regering de ambitie uitgesproken om tegen 2018 zowel het meest gedigitaliseerde land te zijn, als het land met de beste cyberbeveiliging. Ik zeg dat je één van de twee kunt realiseren, maar niet alle twee tegelijk.’

Hoe kunnen we ons wapenen?
Prins: ‘Door veel meer te investeren in digitale veiligheid. De VS en het VK doen dat al, misschien omdat ze dankzij hun eigen inlichtingenwerk heel goed beseffen waartoe hackers in staat zijn. President Obama heeft zopas 14 miljard dollar extra uitgetrokken voor cyberveiligheid. De Amerikanen hebben onlangs de operatie Cleaver blootgelegd, waarbij Iraanse hackers wilden inbreken in vitale infrastructuur. En in Duitsland werd een hoogoven beschadigd door hackers die in het netwerk van een staalfabriek waren binnengeraakt.

Mensen vervangen door computers maakt de wereld niet per definitie veiliger.

Men weet dat die dreigingen bestaan. Toch doet men er weinig aan. Uitgerekend de Amerikaanse inlichtingendienst NSA heeft in januari een lijst met tips gepubliceerd voor organisaties die zich willen beschermen tegen destructieve malware. Wie die tips toepast, zou het de NSA zelf moeilijker maken om in te breken.’

Niemand wil gehackt worden door de NSA, maar tegelijk is ze de enige die in staat is ernstige dreigingen op te sporen.
Prins: ‘Da’s inderdaad een lastige zaak om mee om te gaan. Ik denk dat we van de NSA moeten leren hoe goed ze zijn, zodat we ons met die kennis beter kunnen verdedigen. Want er is altijd wel een andere vijand die er ook iets uit zal leren.’

Ronald Prins ©Jan Rosseel

Heeft de overheid voldoende wettelijke middelen om de nieuwe dreigingen aan te pakken?
Prins: ‘Ik vind dat we de inlichtingendiensten de mogelijkheid moeten geven om zelf het internet te monitoren en op zoek te gaan naar vijanden, kwestie van onze kritische infrastructuur te beschermen. Soms zijn daarbij zelfs offensieve maatregelen nodig, waarbij men zelf kan hacken of onder een dekmantel opereren. Vandaag heeft de overheid op dat vlak minder middelen ter beschikking dan de privésector. Dat klopt niet.’

Veel schendingen van de privacy gebeuren door hackers uit landen als Rusland of Roemenië. Die kan je alleen bestrijden door hen zelf te hacken.

‘Ook de politie moet in sommige situaties kunnen inbreken op computers. Kijk naar een zaak als Rex Mundi (de hackersgroep die bedrijven probeert te chanteren met gestolen klantendata, red.). De politie krijgt die zaak niet opgelost, omdat er geen fysieke aanknopingspunten zijn. De enige mogelijkheid om die hackers te vinden is door zelf in te breken op hun pc. En dat mag niet van de wet.’

Daar zullen privacyactivisten het niet mee eens zijn.
Prins: ‘Nee, maar ik zie vandaag al hoeveel schendingen van de privacy gebeuren door hackers uit landen als Rusland of Roemenië. Die kan je alleen bestrijden door hen zelf te hacken. In Nederland is er een wetsvoorstel om actief hacken mogelijk te maken. Ik vind wel dat dat strikt beperkt moet blijven tot de strijd tegen cybermisdaad. Sommigen willen die methode uitbreiden naar drugsdelicten, maar daarvoor heeft men voldoende andere middelen ter beschikking. Actief hacken is een paardenmiddel, dat je beperkt mag gebruiken.’

Lees verder

Advertentie
Advertentie
Advertentie
Advertentie

Gesponsorde inhoud

Gesponsorde inhoud