Q&A Ronald Prins over China’s cyberdreiging

Media berichten regelmatig over ransomware, malware-aanvallen en cyberspionage. Hebben we enig idee hoe groot het probleem in Nederland precies is?

“Helemaal niet. Het bewijs is anekdotisch. Omdat het probleem slecht te kwantificeren is, voelen we de urgentie onvoldoende. Als we het zouden weten, zouden we de dreiging beter voelen.”

“Laat ik het zo zeggen: bij red team exercises (waarbij wordt gepoogd in te breken zoals bv Chinezen dat doorgaans doen; FS) kwamen we in 95% van de gevallen bij wat we hebben wilden. We konden 20 miljard overmaken. Sluizen openzetten. Dus die kwetsbaarheid is er.”

“Momenteel wordt Nederland overspoeld met ransomware. Hof van Twente, Universiteit Maastricht, NWO en Mandemakers Groep stonden in de krant. Maar ik zou nog vijftig gevallen kunnen noemen. We weten dat wat we zien maar een fractie is.”

“Bij spionage hetzelfde laken een pak. Ik kon twee jaar meekijken bij de AIVD en ik ben me doodgeschrokken. Dat was mijn motivatie om weer een bedrijf te beginnen. Want de diensten zien een hoop, maar weten niet wat ze ermee moeten. Stel de AIVD ziet dat er in een bepaald bedrijf spionage plaatsvindt. Spionagesoftware is zo ontwikkeld dat een doorsnee ICT’er het niet opmerkt. De dienst moet dan indicators of compromise prijsgeven en dat willen ze niet omdat ze daarmee aan hackers laten weten dat ze zijn ontdekt. Een bedrijf dat wordt vertrouwd door de diensten kan daar een intermediaire rol in spelen. Zo gaat het in de VS ook: FireEye krijgt tips van de NSA en gaat naar bedrijven toe en zegt: jij hebt een probleem. Zo’n bureau kan geheime trucjes binnen de inner circle houden, maar ingrijpen op een manier dat de aanvaller dat niet doorheeft.“

 

De laatste jaren wordt China uitdrukkelijk genoemd in dreigingsanalyses. Logischerwijs zou je veronderstellen dat economische cyberspionage al decennia aan de gang moet zijn. Hadden we dat niet in de gaten?

“Dat zou je denken, hè? Stelen is voor een land dat op achterstand staat de snelste manier om vooruit te komen.”

“Wat me wel opgevallen is dat als we toen langskwamen bij grote bedrijven je vaak meewarig werd aangekeken. Ze vonden het niet zo erg. Soms had ik idee dat ze liever hadden dat we weer weggingen. De dagelijkse leiding is erg met kwartaalcijfertjes bezig. Als je een security breach hebt, dan is dat niet zo goed nieuws voor je aandeelhouders. Tegenwoordig zijn het juist de aandeelhouders die ons erbij sleuren. Die zitten er voor de lange termijn in. Bedrijfsspionage is toch death by a thousand cuts. Als je niet oppast besta je over paar jaar niet meer.”

“De dreiging is overigens niet alleen digitaal. Er lopen nog steeds mannetjes en vrouwtjes door bedrijven en instellingen die op hun dooie gemak data kopiëren. Soms is spionage ook hybride. Je kunt je systemen nog zo goed beveiligd hebben, als er iemand in je bedrijf rondloopt die voor een paar honderd euro bereid is een usb-stick in een computer te steken sta je machteloos. Een mooi voorbeeld is een organisatie waar de computers helemaal los van internet stonden, maar de nachtwakers wilden Netflixen en hebben toch verbinding met het internet aangelegd. Dan sta je wel te kijken.”

 

Een groeiend deel van alle cyberdreigingen wordt toegerekend aan China. Hoe kun je in de praktijk vaststellen waar een aanval vandaan komt?

“Er wordt weleens wat gegokt. Er zijn ook valse vlag operaties. De beste manier om het te zien is over de schouder van jouw vijand meekijken. Als je eenmaal sporen hebt, dan kun je die in het vervolg ook herkennen.”

“Iedere groep heeft zijn eigen vingerafdruk. Het klinkt heel simpel, maar werktijden en feestdagen verraden al veel. In geen land ter wereld gaan hackers iedere nacht werken om zo te verhullen in welke tijdzone ze zich bevinden. Soms zie je opeens een stukje taal in hun malware. Ze schamen zich ook niet per se. Noord-Korea en Iran willen graag laten weten dat het van hun komt.”

“Tophackers proberen met VPN’s hun sporen te maskeren. Dan breek je bij die VPN in en zie je al het verkeer, ook als ze tussendoor even bij WeChat inloggen onder hun eigen naam.”

 

Je zegt over de schouder meekijken. Bedoel je dat figuurlijk of komt dat ook letterlijk voor?

“Huib Modderkolk heeft in zijn boek (Het is oorlog, maar niemand die het ziet; FS) verklapt dat we soms letterlijk meekijken. Als je erin slaagt webcams in het kantoor van hackers te kraken, dan kun je ook in hun computers kijken.”

 

Stomme vraag misschien, maar in de dreigingsanalyses vanuit de overheid mis ik eigenlijk de VS en het VK. Is die dreiging kleiner of praten we er liever niet over?

“Omdat er democratische verantwoording is, is het afbreukrisico van die landen groter. Daardoor werken ze doorgaans beter en zorgvuldiger om niet ontdekt te worden. En FireEye gaat natuurlijk niet vertellen dat ze de NSA zijn tegengekomen, dan zijn ze hun goede relaties kwijt.”

“We praten er liever niet over. Dat komt natuurlijk ook omdat we bondgenoten niet als dreiging ervaren. Zover ik weet doen de VS en het VK niet aan economische spionage. Maar er spelen ook strategisch belangen op het snijvlak van economie en politiek, denk aan de defensie- of autoindustrie. Dan wordt er uit strategisch belang toch in het bedrijfsleven gespioneerd. De Nederlandse dienst IDB heeft vroeger ook ten behoeve van Philips gespioneerd zodat die grote aanbestedingen kon winnen.” 

 

Het viel me op dat recente ransomware-aanvallen werden toegeschreven aan (aan de staat-verbonden) Chinese groepen. Dat lijkt me iets nieuws en waarom zouden echte cyberspionnen dat doen als ze daarmee de aandacht op zich vestigen?

“Ik ben het zelf nooit tegengekomen. De enige verklaring die ik kan bedenken is dat jongens die voor de staat werken proberen een extraatje te verdienen. Daar lopen ze wel een zeker risico mee. Ik vraag me af of men bovenin wel weet om wie het gaat. Dat is makke van contractors; je hebt geen zicht op wat ze nog allemaal nog meer doen.”

 

Wat zou de Nederlandse overheid moeten doen (of de EU) om de cyberdreiging te verminderen?

“Het onderwerp wordt gelukkig serieuzer genomen. Maar de aanpak is te versnipperd. Ik denk dat de overheid pro-actiever moet worden. Je moet het internet toch meer als publieke ruimte gaan zien. Op straat hangen ook camera’s, surveilleren agenten en als er wetten worden overtreden treedt de overheid op.”

“Alleen monitoren geeft wel een gevoel van controle, maar het zet natuurlijk geen zoden aan de dijk. Wat moeten de diensten nou met al die kennis? Als je het erover eens bent dat onze samenleving bedreigd wordt of dat economische belangen op grote schaal worden geschaad, dan kun je niet met je handen op je rug gaan staan toekijken. Daders aanhouden en veroordelen, die pakkans is er in de digitale wereld niet. Je moet barrières opwerpen waardoor ze jouw land liever overslaan.”

“Misschien moeten we wel terugslaan. Veel andere opties hebben we niet. Daarom zouden we het geweldsmonopolie van de overheid moeten inzetten: computers uitschakelen, naming and shaming. Economische spionage tegengaan zou een core activiteit van de inlichtingendiensten moeten zijn. Samenwerking met cybersecuritybedrijven. De ING’s en ASML’s weten het echt wel, hoor. Hun topteams zitten erop. Maar die bedrijven hebben weer toeleveranciers met 10 of 50 mensen en die bieden een route voor bijvoorbeeld Chinezen om toch binnen te komen. De diensten moeten daarvoor hun Indicators inzetten; wij herkennen verdachte pakketjes, stap naar die bedrijven toe en zeg dat ze er wat aan moeten doen.”

 

Nu je hier toch bent: op mijn blog vind je de achtergronden bij het nieuws en ontwikkelingen in China. Lezen is gratis. Maar je kunt mij wel helpen mijn werk te blijven doen door vrijwillig een donatie te doen via PayPal. Voor de mensen die dat al deden: bedankt!

dinsdag 7 september 2021