DDoS-aanvallen, waarbij hackers websites uit de lucht halen, zijn een belangrijk Russisch wapen in de oorlog tegen Oekraïne. Deze aanvallen verlopen vaak via een verzameling van honderdduizenden tot miljoenen kwetsbare slimme apparaten die met het internet verbonden zijn, zoals beveiligingscamera’s, slimme deurbellen en netwerk harde schijven. En ook die van jou kunnen misbruikt worden voor dat soort doeleinden. “Dit zou genoeg moeten zijn voor consumenten om zich af te vragen: ‘wat kan ik doen?’ Dit moet je namelijk niet willen”, zegt Dave Maasland, CEO van cyberbeveiligingsbedrijf ESET-Nederland.
Het is halverwege februari, vlak voor de invasie van Rusland in Oekraïne, en de spanningen lopen op dat moment hoog op. Rusland heeft net aangekondigd zijn militaire oefeningen bij de grens van Oekraïne te beëindigen, wanneer uit het kamp van Oekraïne berichten naar buiten komen over cyberaanvallen. Het ministerie van Defensie en twee nationale banken zijn geraakt door DDoS-aanvallen. Twee weken later, een dag voor de invasie, gebeurt het weer. Amerika zegt bewijs te hebben dat de aanvallen vanuit Rusland komen, het Kremlin ontkent. Ook na de invasie blijft Oekraïne last houden van DDoS-aanvallen.
Aan het begin van de oorlog was iedereen ervan overtuigd dat er naast fysieke oorlogsvoering ook veel gebruik gemaakt zou worden van cyberaanvallen. In een later stadium van de oorlog leek dit toch mee te vallen. Maar in een rapport van Microsoft dat vorige week verscheen, wordt dit ontkracht. Cybercriminaliteit speelt namelijk een grotere rol in de oorlog dan eerder werd gedacht, stelt de techreus. Zo worden cyberaanvallen gebruikt om fysieke militaire acties te ondersteunen. De aanval op een tv-toren in Kiev wordt door Microsoft als voorbeeld genoemd. Een groot mediabedrijf dat deze toren gebruikte om uit te zenden werd bestookt met cyberaanvallen op dezelfde dag dat de toren werd aangevallen met rakketen.
Psychologische impact
“DDoS-aanvallen zijn een belangrijk onderdeel in de hybride oorlogsvoering van Rusland tegen Oekraïne. Het heeft ook grote psychologische impact op de gewone burger van Oekraïne”, zegt Maasland. Hij geeft als voorbeeld de periode vlak voor de oorlog. “De burgers waren al bang, en opeens valt hun overheid om op digitaal gebied en daarnaast kunnen ze niet meer bij de websites van hun banken. Het feit dat er iemand is die op een soort aan-en-uitknop kan drukken en hun essentiële diensten kan uitzetten, geeft een enorm onheilspellend gevoel.”
DDoS staat voor Distributed Denial-of-Service en is een aanval waarbij websites bestookt worden met heel veel informatie waardoor de website overbelast raakt. Gedurende de tijd van de aanval werkt de website dan niet meer. Zulke aanvallen worden uitgevoerd via een zogeheten botnet, een soort robotleger van soms wel honderdduizenden tot miljoenen gehackte slimme apparaten die centraal worden aangestuurd. Deze apparaten bevinden zich in landen over de hele wereld, ook in Nederland. Alle slimme apparaten bij elkaar proberen tijdens een aanval tegelijkertijd een website te bezoeken om deze te overbelasten.
Het internet der dingen
The Internet of Things of in het Nederlands het internet der dingen, is een term die wordt gebruikt om producten aan te duiden die met het internet verbonden zijn. Denk bijvoorbeeld aan een bewakingscamera waarbij je de beelden vanaf een afstand kunt bekijken op je telefoon. Of aan een slimme deurbel die notificaties naar je telefoon stuurt wanneer er wordt aangebeld, je kunt dan zelfs online bekijken wie er voor je deur staat. Dat is misschien handig, maar de snelheid waarmee deze industrie zich ontwikkelt, heeft ook gevolgen. Verwacht wordt dat er in 2025 wereldwijd ongeveer 75 miljard slimme apparaten op de markt zullen zijn.
In een speciaal ingericht testlab bij het Agentschap Telecom (AT) van het ministerie van Economische Zaken en Klimaat worden sinds begin dit jaar verschillende slimme apparaten getest op hun cyberveiligheid. Dat doen ze niet voor niets, want het is vaak nog niet goed op orde, zo schrijft het AT in haar pas gepubliceerde jaarverslag. Omdat veel apparaten die op de markt komen nog te kwetsbaar zijn, vormen deze “een groot risico voor de maatschappij.”
Nieuwe wetgeving
Vanaf augustus 2024 moeten slimme apparaten die binnen Europa op de markt worden gebracht aan een aantal veiligheidseisen voldoen. Hiermee zullen deze apparaten veiliger worden en daarmee minder makkelijk te hacken. Vanaf dat moment wordt het AT ook officieel toezichthouder op dit gebied. “Gezien de hoeveelheid van deze producten die op de markt komen, gaan we nu al aan de slag”, zegt Erik Lucas, hoofd van de afdeling markttoezicht van het AT. “Zo gaan we in gesprek met fabrikanten en importeurs, maar we willen ook bij consumenten de bewustwording omtrent de risico’s van slimme apparaten aanwakkeren.”
De tekst gaat verder onder het kader.
Omdat slimme apparaten verbonden zijn met het internet kunnen digitale inbrekers mogelijk meekijken op je bewakingscamera’s. “Je moet er niet aan denken dat kwaadwillende zo’n ding hacken en dan beschikken over de opnames”, aldus Lucas. Maar het kan nog erger: “Beelden van buiten het huis vind ik nog één ding, maar als je babyfoon gehackt wordt, dan vind ik dat toch wel weer wat anders. Er kan echt inbreuk gemaakt worden op je privé leefomgeving. Naast de persoonlijke consequenties kunnen gehackte slimme apparaten ook gebruikt worden voor DDoS-aanvallen zoals die op Oekraïne.”
Ook via Nederlandse apparaten
Sinds de eerste DDoS-aanvallen die op Oekraïne afgevuurd worden, houden analisten het internet extra goed in de gaten. Volgens het Amerikaanse bedrijf BadPackets, dat het internet afspeurt naar actieve DDoS-aanvallen, zijn ook Nederlandse slimme apparaten betrokken bij de digitale aanvallen die gebruikt worden in de oorlog. Wel laat Troy Mursch van BadPackets weten dat de hoeveelheid meevalt. Volgens Dave Maasland van ESET wil dat niet zeggen dat je je er daarom geen zorgen om hoeft te maken. “Er zijn twee belangrijke dingen. Ten eerste, ondanks dat de kans misschien klein is dat jouw apparaten gebruikt worden in een oorlog, is de kans er wel. Dat zou genoeg moeten zijn voor consumenten om zich af te vragen: ‘Wat kan ik doen?’ Als je je dan aan de andere kant beseft dat het oplossen van dit probleem ook niet al te veel moeite hoeft te kosten, dan moet je dit niet willen, dat jouw apparaten worden gebruikt in een oorlog.”
Probleem niet helemaal opgelost
Voor de sector is de komst van de nieuwe wetgeving in 2024 een belangrijke stap, maar daarmee is het probleem niet helemaal opgelost, erkent ook de toekomstig toezichthouder: “Het kan altijd dat er toch weer nieuwe manieren gevonden worden om slimme apparaten te hacken. Daarnaast is het echt een probleem dat er heel veel producten ook via webshops van buiten Europa worden gekocht, die niet aan de Europese veiligheidseisen hoeven te voldoen”, aldus Lucas. “Een ander probleem is”, zo vult Dave Maasland aan, “dat sommige slimme apparaten soms jarenlang meegaan. Als de nieuwe regelgeving van kracht wordt, betekent dat niet dat mensen hun slecht beveiligde apparaten ineens massaal in de prullenbak gaan gooien en nieuwe gaan kopen die wel goed beveiligd zijn.”