'Toezichthouders loopt het over de schoenen'
w
14
,v>V
'Ik ben niet van
het angstzaaien,
maar straks
is het te laat'
Nederlanders
worden ook
vaak thuis
'geransomd'
W\m
nauwelijks. Bedrijven die niet tot
de vitale infrastructuur worden
gerekend, zijn daarvoor afhanke
lijk van vrijwilligers."
Vrijwilligers? Ja. In veel gesprekken
over cyberveiligheid in Nederland
valt vroeg oflaat de afkorting DIVD:
Dutch Institute for Vulnerability
Disclosure. Een groep experts die
dagelijks doet wat de overheid
ogenschijnlijk nalaat: internet af
speuren naar kwetsbaarheden in de
systemen van bedrijven en instan
ties. Om ze vervolgens te waar
schuwen. Iedereen werkt onbe
taald, in weekenden en avonduren.
Victor Gevers (45) is een van de
aanvoerders van het leger DIVD-
vrijwilligers. Boomlang, met
staartje en donkere baard, gekleed
in een zwarte spijkerbroek, zwarte
Nikes en een zwarte hoody beves
tigt hij alle vooroordelen over hac
kers. Inmiddels zijn ze met zo'n
zestig man, onder wie veel profes
sionele cybersecurityspecialisten.
Ze doen hun werk uit bevlogen
heid.
Gevers werkt fulltime als inno
vatiemanager en in zijn vrije tijd
doet hij vrijwel niets anders dan
internet veiliger maken. ,,Ik begin
om 05.00 uur en werk tot 23.00
uur." Hij is een bekende in ethi
sche hackerskringen. Gevers kreeg
ooit wereldwijd bekendheid door
dat hij tot twee keer toe wist in te
loggen op het twitteraccount van
Donald Trump. Dat was spielerei.
Het werk van 'zijn' DIVD levert
een serieuze bijdrage aan de digi
tale veiligheid van ons allemaal,
zeggen experts.
Via chatkanalen stuurt hij alle
thuiswerkende vrijwilligers aan.
Ze verzamelen via allerlei contac
ten en blogs informatie over
nieuwe beveiligingslekken in soft
ware. Daarmee doen ze wat nie
mand anders in Nederland struc
tureel doet: met speciale software
speuren ze wereldwijd alle 4,2
miljard ip-adressen af om te kijken
waar die risico's nog niet zijn ver
holpen. Vaak vinden ze zo hon
derden tot duizenden bedrijven
en instanties die hun zaakjes digi
taal niet voor elkaar hebben. Die
worden zoveel mogelijk benaderd
en gewaarschuwd. Een flinke klus.
Gevers ziet veel slecht bevei
ligde systemen, ook bij organisa
ties die een belangrijke rol in Ne
derland vervullen, al wil hij ze
niet bij naam noemen. ,,Ik durf te
stellen dat bijna niemand het hon
derd procent goed doet. We moe
ten niet lullen, maar poetsen. Ik
ben niet van het angstzaaien, maar
straks is het te laat. Het internet
wordt steeds zieker. Wij (de vrij
willigers van DIVD, red.) kunnen
het al niet aan, en wij zijn vetera
nen."
Als criminelen een bedrijf gijze
len, stelen ze ook vaak data. Per
soonsgegevens, rekeningnummers
of misschien wel medische dos-
siers. Zelfs als je die data na een
aanval terugkrijgt, al dan niet na
betaling van losgeld, weet je niet
wat ermee is gebeurd. Een aantal
deskundigen waarschuwt daar
voor. Kun je bijvoorbeeld medi
sche gegevens, zoals iemands
bloedgroep, na een hack nog ver
trouwen? Wie garandeert dat er
niet mee is gerommeld?
Officieel moet een bedrijf dat
slachtoffer is van ransomware zich
melden bij de Autoriteit Persoons
gegevens (AP). ,,Maar dat doet niet
iedereen", weet voorzitter Aleid
Wolfsen.
De AP zou graag meer onder
zoek willen doen naar niet-ge-
melde datalekken, maar Wolfsen
is ook eerlijk. ,,Wij hebben te wei
nig mensen. Het loopt ons over de
schoenen. In feite geldt dat voor
alle instanties die toezicht houden
op de digitale wereld."
Ondertussen draaien Gevers en
alle vrijwilligers overuren. Hij is
moe, geeft hij toe. ,,Het voelt soms
alsof de wereld op onze schouders
rust." Ze hebben een erg hectische
periode achter de rug. De vrijwil
ligers probeerden vanaf april een
wereldwijde ramp te voorkomen.
Die kwamen ze op het spoor door
vrijwilliger Wietse.
Cybersecurity-expert Wietse
Boonstra zoekt in z'n vrije tijd
voor z'n plezier naar softwarefout-
jes. Zo ontdekt hij in april dat een
programma van het Amerikaanse
softwarebedrijf Kaseya zo lek is als
een mandje. Met die software
kunnen wereldwijd duizenden
it-bedrijven hun klanten op af
stand helpen. De dreiging is een
van de grootste van de laatste ja
ren: niemand verwacht aangeval
len te worden via het ei
gen it-bedrijf dat juist
voor veiligheid moet
zorgen. Over de hele
wereld lopen vele
tienduizenden bedrij
ven - duizenden in Ne
derland - gevaar slacht
offer te worden van rans-
omwarecriminelen. Tot
begin juli werken Boon
stra en medevrijwilligers
met Kaseya aan de oplossing.
Zij hebben de expertise in
huis die het Amerikaanse be
drijf mist.
Het lukt Boonstra en de anderen
net niet om het gevaarlijke lek op
tijd te dichten. Op vrijdag 2 juli
blijkt dat criminelen de gaten in
de beveiliging ook hebben gevon
den. Ze rollen hun ransomware
uit via ruim 2000 servers waarop
software van Kaseya draait. De
vrijwilligers van DIVD gaan als
een dolle aan de slag om potenti-
ele slachtoffers in te seinen: 'Zet je
server acuut uit!'. Binnen twee da
gen krijgen ze alle Nederlandse
servers offline. De schade blijft tot
een minimum beperkt.
Al snel zoeken de cybercrimine
len digitaal ook naar Boonstra.
Thuis merkt hij hoe via een Rus
sisch ip-adres zijn netwerk her
haaldelijk wordt gescand op zoek
naar ingangen. Zelfs inlichtingen
dienst AIVD waarschuwt de vrij
willigers: 'Jullie zijn een doelwit'.
De Achterhoeker neemt geen risi
co's. Hij legt thuis een alarmin
stallatie aan.
Het is een bijzondere tak van
sport die DIVD bedrijft. Op de
zwarte markt had Boonstra zijn
ontdekkingen kunnen verkopen
voor bijna vijftig bitcoin per stuk:
in totaal ruim vijf miljoen euro.
Nuchter zegt hij: ,,Ja, ik had miljo
nair kunnen zijn. Maar dan had ik
daarna altijd over m'n schouder
moeten kijken of ik niet zou wor
den opgepakt."
MAAR WAAR IS DE
OVERHEID DAN?
Zijn we in Nederland voor onze
veiligheid en het redden van onze
persoonsgegevens afhankelijk van
een stelletje vrijwilligers? De spin
in het web van de overheid voor
onze bescherming is het Natio
nale Cyber Security Centrum
(NCSC). Waar waren zij? Zij lagen
te slapen. Letterlijk. Althans, dat
zeggen de DIVD-vrijwilligers.
Toen op 2 juli de wereldwijde
ransomware-aanval begon en
honderden Nederlandse bedrijven
en organisaties direct gevaar lie
pen, volgde de complete cyberse-
curitywereld de ontwikkelingen
met open mond. Maar het NCSC
moest uren later door DIVD -
midden in de nacht - worden
wakker gebeld. ,,Aan de andere
kant van de lijn werd eerst zelfs
een beetje geïrriteerd gereageerd",
vertelt Gevers. De hoeders van
onze nationale digitale veiligheid
die letterlijk liggen te slapen. Het
is een symbolisch beeld, als je cri
ticasters beluistert.
Want het wordt nog erger. Me
teen toen DIVD-vrijwilliger
Boonstra de problemen met
Kaseya in april ontdekte, werd
ook het NCSC ingelicht.
Maar het NCSC zou de
informatie niet hebben
gedeeld met buitenlandse
veiligheidsdiensten. Onder
meer de Amerikaanse FBI en
Homeland Security waren in
juli naar verluidt behoorlijk geïr
riteerd. Toen het al te laat was,
moesten de Amerikanen via Ge
vers horen dat de Nederlandse
overheid al maanden van de drei
ging op de hoogte was.
0 1 0 0
0 1 0
11110 0 0'
10 0
0 1 10
1 1 0 0
10 10 1 0 0 0
[fl
0 0 1
\A
yJM
0 1
0 0
0 1
0 1
0 0 0 1
1 0 0
0
1 0 c
1 1 0 0
1 0 1 0
1 0 0
In de wereld van de cyberveilig
heid is dreigingsinformatie de hei
lige graal. Als je weet waar gaten
zitten in de beveiliging, kun je aan
de slag om die te dichten. Het
NCSC kan de gaten die ze ziet niet
van de daken schreeuwen, want je
wilt criminelen niet op de zwakke
plekken wijzen. Maar voor een
spin in het web mag het NCSC wel
opvallend weinig informatie de
len. Ze beschermt vrijwel uitslui
tend eigen overheidsinstanties en
organisaties die van cruciaal be
lang zijn voor onze maatschappij;
zoals drinkwaterbedrijven en
ZATERDAG 2 OKTOBER 2021
GO
VERVOLG VAN PAGINA 13
VRIJWILLIGERS DIE DOEN
WAT DE OVERHEID
OGENSCHIJNLIJK NALAAT
DE EXPERT IN BEVEILIGING
KAN ZELF MILJOEN
VERDIENEN
Het is voor cybercriminelen
lucratief om bedrijven plat
te leggen met ransomware,
er wordt vaak veel en snel
losgeld betaald. Toch blijkt
uit cijfers van het internatio
nale cybersecuritybedrijf Em-
sisoft dat consumenten ge
talsmatig nog vaker getroffen
worden. Je computer wordt
vergrendeld en al je familiefo
to's, financiële administratie
en andere persoonlijke be
standen zijn onbereikbaar.
Emsisoft heeft een tool waar
mee slachtoffers kunnen ont
dekken door welk type ran-
somware ze zijn getroffen.
Vorig jaar maakten 2855 Ne
derlanders daarvan gebruik.
Het vaakst (384 keer) werd
bij hen de 'STOP/Djvu-rans-
omware' aangetroffen. ,,Die
wordt via illegale software
verspreid en treft dus vooral
thuisgebruikers". zegt Emsis-
oft.
Consumenten betaalden voor
de ransomware van STOP
gemiddeld ruim vierhonderd
euro losgeld om weer toe
gang te krijgen tot hun com
puter. Voor thuisgebruikers
bestaat in veel gevallen ech
ter ook een oplossing om
zonder betaling weer bij de
gegevens te komen: met zo
geheten decryptors kun je de
boel ontsleutelen. Maar het is
wel oppassen geblazen: er
zijn ook 'nep-decryptors' in
omloop.
Op de website
nomore- ransom.org zijn be
trouwbare decryptors te vin
den. De site is een samen
werking tussen (internatio
nale) opsporingsdiensten en
de beveiligingsindustrie.
0 1 0
10 11 1 0
1
DREIGINGSINFO IS
DE HEILIGE GRAAL