Plus

Grapperhaus: ‘Eén zwak plekje in je beveiliging kan al misbruikt worden’

Het kabinet wil bedrijven kunnen waarschuwen als die door hackers worden aangevallen met gijzelsoftware. De wet staat dat nu niet toe, maar minister Grapperhaus (Justitie) wil dat veranderen. ‘Cybercrime wordt in een rap tempo lucratiever dan drugscriminaliteit.’

Minister Ferd Grapperhaus. Beeld ANP
Minister Ferd Grapperhaus.Beeld ANP

Als de politie bij een nachtelijke surveillance een voordeur wagenwijd open ziet staan, mogen de agenten de bewoners van het huis waarschuwen. Maar als het Nationaal Cyber Security Centrum (NCSC) ziet dat hackers via een zwakke plek in de ‘digitale dijk’ een bedrijf willen binnensluipen, mag dat instituut geen alarm slaan.

De wet stelt nu dat het NCSC aan de bel mag trekken als ‘vitale infrastructuur’ – denk aan drinkwatervoorziening of elektriciteit – in gevaar is. Maar bij andere bedrijven en instellingen, zoals ziekenhuizen of voedselleveranciers, zijn die mogelijkheden zeer beperkt. Daarover was minister Ferd Grapperhaus van Justitie en Veiligheid zelf ook wat verbaasd. “Toen ik dat hoorde, heb ik nog gevraagd of het wel klopte.”

Bij de wet uit 2016 werd gedacht: laten we het klein houden, zegt Grapperhaus, de overheid geen te grote rol geven. Maar het probleem is in een paar jaar tijd vele malen groter geworden. “Weet u wat de schade van cybercriminaliteit wereldwijd is? Zesduizend miljard dollar.”

Cybercrime, zegt de CDA’er, wordt in een rap tempo lucratiever dan drugscriminaliteit. “Het zijn georganiseerde misdadigers die op hetzelfde niveau opereren als Rusland, China en Iran.”

Daarbij, zo waarschuwde de Nationaal Coördinator Terrorismebestrijding en Veiligheid maandag in het Cybersecuritybeeld, vormt ransomware, gijzelsoftware, steeds meer een bedreiging voor de nationale veiligheid. Bij deze vorm van digitale criminaliteit worden de bestanden op een computer door kwaadaardige software versleuteld waardoor de gebruiker er niet meer bij kan tot er losgeld is betaald. Vervelend als je op je eigen pc niet meer bij je foto’s kunt, maar desastreus als een bedrijf geïnfecteerd raakt en in één klap niets meer kan doen.

Lege kaasschappen

Kaasliefhebbers merkten daar in april nog de gevolgen van. Na een hack met ransomware bij een logistiek bedrijf konden er geen bestellingen worden gedaan, geen nieuwe producten worden besteld. Het gevolg: een tijd lang lege schappen op de kaasafdeling in de supermarkt. Dat soort gevolgen moeten met de wetswijziging tot het verleden behoren.

De snelste mogelijkheid om na zo’n hack je IT-systeem weer een het werk te krijgen, is meestal door het losgeld te betalen – vaak in bitcoin of een andere cryptomunt. Toch geeft Grapperhaus het ‘heel strikte advies’ dat niet te doen. “Als je losgeld gaat betalen, houd je het verdienmodel in stand.” Bovendien, doceert Grapperhaus, weet je als bedrijf nooit of de internetcrimineel zich aan de afspraak houdt en de versleutelde bestanden weer vrij geeft. “We weten allemaal uit spannende films, meestal met Tom Cruise in de hoofdrol, dat iemand die wordt afgeperst met compromitterende foto’s wel een envelop met afdrukken krijgt, maar nooit de negatieven.” Dat kan bij ransomware ook, wil hij maar zeggen. “Je weet nooit zeker of de crimineel écht uit je systeem verdwijnt. Misschien creëer je dan het probleem dat ie het in de toekomst nog eens probeert. Je hebt immers al een keer betaald.”

Na de ransomwareaanval op de gemeente Hof van Twente in 2020 bleek bijvoorbeeld het wachtwoord voor het ICT-systeem met het doodeenvoudige ‘welkom2020’ beveiligd te zijn. Grapperhaus, hoofdschuddend: “Eén zwak plekje kan al misbruikt worden. Het wachtwoord moet niet te raden zijn en periodiek worden aangepast.” Ook niet herleidbaar naar een persoon. “Kies voor de pincode van je telefoon dan de geboortedatum van je kat.”

Als het tóch misgaat, moet een bedrijf straks gewaarschuwd kunnen worden. “In heel urgente gevallen door het NCSC zelf, en anders door de eigen sectororganisaties.” Dat is ingewikkeld, zegt Grapperhaus, omdat er dan ook persoonsgegevens worden gedeeld. “Daarom moeten de randvoorwaarden juist in de wet worden vastgelegd, zodat de Kamer de minister een draai om de oren kan geven als het misgaat.”

WhatsAppfraude

In de coronacrisis nam digitale criminaliteit een vlucht, stelt de NCTV. Zo kregen veel mensen WhatsApp-berichtjes van het ‘nieuwe’ telefoonnummer van hun ‘zoon’ of ‘dochter’ met de vraag ‘even snel’ een bepaald bedrag over te maken. De afzender was dan helemaal niet zoon- of dochterlief – die wist van niks – maar een gewiekste crimineel die met minimale moeite geld op een rekening bijgeschreven zag worden.

Grapperhaus werd via WhatsApp ook een paar keer lastiggevallen. “Eén keer deed iemand zich voor als één van mijn ambtenaren. Ik heb toen onmiddellijk gebeld: wat is dít voor berichtje? Toen bleek zijn WhatsApp te zijn gehackt.” Het gevaar zit dus in een klein hoekje. “Je moet er als gewone burger ook waakzaam op blijven.”

Bijna alles in onze samenleving is digitaal bepaald, benadrukt Grapperhaus. “Een analoge terugvaloptie is er vaak niet of zeer beperkt. Dat realiseren we ons veel te weinig.”

Grapperhaus heeft wel eens ‘een boze droom’ waarin slimme thermostaten hartje winter op afstand worden uitgezet. “En dat mensen dan doodvriezen.” Andere doemscenario’s: dat de matrixborden op snelwegen door kwaadwillenden worden overgenomen, met ongelukken tot gevolg, of de bevoorrading van supermarkten.

Maar hij heeft ook ‘een mooie droom’. Dat bedrijven die hun digitale zaakjes op orde hebben met een speciaal logo kunnen laten zien dat zij ‘safe’ zijn. Dat kost veel geld. “De Cyber Security Raad heeft gezegd dat er 800 miljoen euro extra voor nodig is om dat helemaal in de samenleving door te voeren. Dat is aan het nieuwe kabinet, maar ík ga ze niet tegenspreken.”

null Beeld REUTERS
Beeld REUTERS
Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden