Nederland staat er wat security betreft niet slecht voor, stelt RSA-directeur Corné van Rooij gelijk gerust. De Benelux-manager van de Amerikaanse securityleverancier zegt dat beveiligingskennis én -maatregelen in ons land redelijk op niveau zijn bij grote ondernemingen en overheden. “Die zitten aan de bovenkant van de middenmoot, qua volwassenheid van de securitymarkt." Dat komt neer op aanwezigheid van beveiligingssoftware, goed gebruik daarvan en kennis over ict-security in het algemeen.

Banken voorop

De financiële sector in Nederland, de banken, staat nog een niveau hoger. “Nederlandse banken lopen voorop. Want we doen veel aan internetbankieren hier, dat is echt een commodity [massagoed - red.] geworden." De Nederlandse overheidssector, zowel overheden zelf als inlichtingendiensten en politie, staat volgens Van Rooij ook sterk.

De RSA-districtmanager voor de Benelux en Zwitserland legt uit dat met bovenstaande categorieën de doelwitten wel zijn geschetst. “Het is absoluut niet zo dat alle bedrijven in Nederland nu bang moeten zijn. Gemeenten, staalproductiebedrijven en raamkozijnleveranciers zijn, met alle respect, niet interessant. Daar valt niets te halen."

Inbraak bij RSA zelf

Maar wel bij grote ondernemingen, met kostbare kennis en data. Dat stellen chief security officers (cso's) van dergelijke organisaties ook zelf. Geruchtmakende inbraken zijn er al geweest. Denk aan internetreus Google, die eind 2009 werd aangevallen. En denk aan RSA zelf, die begin dit jaar is gepakt door cyberinbrekers. Dat heeft weer geleid tot - weliswaar afgeslagen - aanvallen op Amerikaanse defensiebedrijven. Bij de Google-hack van eind 2009 zijn ook diverse andere ondernemingen in de VS op de korrel genomen.

In Nederlands zijn reuzen als ASML, Philips en Shell mogelijke doelwitten. Allemaal bedrijven met zeer kostbare interne informatie, zoals resultaten van dure proefboringen op nog te veilen olievelden. Of data over eigen technologie of eigen ontwerpen. Waardevolle gegevens voor concurrenten, beurshandelaren en eventueel ook overheden.

Indirect doelwit

Grote bedrijven zijn daarbij niet alleen zelf en direct doelwit. Denk aan een apparatuurfabrikant die onderhoud van zijn producten heeft uitbesteed. Informatie over zijn machines, ook de nieuwste modellen met de modernste technologie, is dan 'buiten de deur' beschikbaar. Mensen weten volgens Van Rooij wel dat ze financiële gegevens moeten beschermen, maar technische informatie nog niet - of niet goed.

Aanvallers gebruiken namelijk zij-ingangen om bij kostbare informatie te komen. “Ze komen echt niet via de firewall, want dat valt op. Dat is net als met een vrachtwagen een bank binnenrijden; dan kun je niet alle kluisjes leegroven." Of eigenlijk: dat éne kluisje. “Dat is bij ons ook gebeurd." Van Rooij vertelt dat de RSA-inbrekers heel doelgericht te werk zijn gegaan. Andere interne 'kluisjes' zijn genegeerd, voor die éne.

'Hoe vaak gekieteld?'

Een cruciale vraag is volgens Van Rooij dan ook: “Hoe vaak worden we gekieteld?" Nederland staat er op beveiligingsgebied niet slecht voor, maar dat zegt nog niet alles. Dat 'kietelen' betreft niet alleen rechtstreekse cyberaanvallen, maar ook hoe vaak er verkennende activiteiten plaatsvinden. Daarmee worden organisaties en bedrijven in kaart gebracht, om er binnen te kunnen dringen. Het uiteindelijke doel is dan het buitmaken van hele specieke informatie, of sabotage.

En dat gebeurt steeds vaker bij bedrijven, zij het dan wel de grotere ondernemingen. “Doelen kunnen overheden, criminele organisaties of bedrijven zijn." Zoals ook securityleverancier RSA zelf, die het doelwit was van een complexe en langlopende operatie, een zogeheten 'advanced persistent threat' (APT). Het slachtoffer heeft die aanval in een zeer laat stadium pas opgemerkt.

Maandenlang verkennen

Van Rooij vertelt dat voor complexe aanvallen zoals deze gespecialiseerde partijen worden ingehuurd. “Die voeren ruim vantevoren verkenningen uit. Bij RSA waren de aanvallers al zeker 6 maanden bezig om de interne ict in kaart te brengen. Op het moment van de aanval zelf waren er 30 man tegelijk actief."

Dat moment was het daadwerkelijke stelen van de informatie over de encryptiesleutels van de SecureID-tokens. De aanval, eigenlijk dus een stille inbraak, is toen ontdekt en deels tegengehouden. De RSA-inbraak was eigenlijk niet een doel op zichzelf; het was een middel om aanvallen op andere doelen beter te kunnen ondernemen. “Om bij die defensiebedrijven binnen te komen, wat overigens niet is gelukt."

Dat mislukken wijst hij toe aan de onvolledigheid van de gestolen RSA-data, de meerlagigheid van de SecureID-beveiliging én aan de tijd tussen de RSA-kraak en de aanvallen op onder meer Lockheed Martin. De defensiebedrijven waren een stuk waakzamer geworden en hebben de verkennende activiteiten vroeg opgemerkt.

Bij zo'n verkenning gaat het in eerste instantie niet eens direct om de gebruikte ict van het doelwit. Een veelgebruikt middel is het grasduinen door bijvoorbeeld LinkedIn, om te zien wie bij een multinational werkt bij de afdeling waar de gewilde data zich bevindt. Denk aan de afdeling research en development van een zeer gespecialiseerd bedrijf als ASML, dat productieapparatuur ontwerpt en maakt voor geavanceerde chipproductie. Waardevolle informatie voor bijvoorbeeld een achterlopende concurrent of een opklimmend chipbedrijf in de snelgroeiende Aziatische markt.

'Net als geheime diensten'

Het blijft volgens Van Rooij voorlopig wel bij high-profile doelwitten: de echt grote bedrijven met heel waardevolle kennis en data. Met dus “gróte opbrengsten." Dat omvat ook criminele organisaties, zeker in de cybersfeer. “Die criminelen hebben hun eigen tools, hun eigen zero-days. Dat is hún intellectueel eigendom."

De gespecialiseerde cyberinbrekers die zich laten inhuren voor grote, stille klussen opereren dan ook “net als geheime diensten". Die mensen etaleren zichzelf niet op sociale netwerken als LinkedIn. Het is een ander slag hackers dan diegenen die over hun security-ontdekkingen bloggen, presenteren of ze demonstreren. “Zij praten ook niet met andere hackers over hun werk. Het is 100 procent hun belang om dit volledig stil te houden."

“Het zijn hechte teams van specialisten, vaak elk met een eigen expertise. En die werken gewoon bij elkaar op een kantoor." Het zijn geen individuen die elkaar via internet opzoeken en helpen, aldus Van Rooij. Het zijn 'crews', voor cyberkraken. “Óf ze werken voor overheden, óf ze zijn overheid, óf het zijn spionagebedrijven." Laatstgenoemde is dan een cyberequivalent van beveiligingsbedrijven voor topgeheime zaken of huurlingenorganisaties voor bepaalde conflicten.

Die cyberspecialisten opereren afgezien van hun strikte geheimhouding als een gewone bedrijfstak, vertelt Van Rooij. Met afspraken en contracten, mogelijk met een vaste kostenvergoeding voor het uitvoeren van een operatie en dan bonussen als de inbraak echt succesvol is.

Onwetende opdrachtgever

Vroeger waren de opdrachtgevers voor complexe cyberaanvallen overheden en landen. Tegenwoordig zijn dat ook bedrijven, die hebben dat op grote schaal omarmd, vertelt de RSA-directeur. Terwijl de cyberhuurlingen en hun technieken breder worden ingezet, is er volgens Van Rooij geen sprake van een massamarkt, cyberaanvallen zijn nog geen massagoed.

Verder is zo'n opdrachtgever vaak grotendeels onwetend van het inhuren van deze cyberspecialisten. Maar weinig mensen zijn betrokken “Het is een kleine groep, aan de top, die ervan weet." Van Rooij trekt de vergelijking met het Britse voicemail-hackschandaal van roddelkrant News of the World (NotW). Het lijkt hem onwaarschijnlijk dat elke NotW-redacteur hiervan wist. De afgeluisterde informatie kwam op die redactie mogelijk binnen onder de noemer 'tip van een anonieme tipgever', stelt hij zich voor.

Nederland doelwit

Maar hoe groot is het gevaar van cyberspionage en -sabotage voor Nederland? “Onze expertise en volwassenheid helpt", om cyberaanvallen af te slaan. “Maar we zijn wel targets, want we zijn een kennisland. We denken misschien dat dat niet zo is", verwijst Van Rooij naar Nederlandse bescheidenheid - of nuchterheid. Hij stelt dat Nederland in vergelijking met bijvoorbeeld België meer een kenniseconomie is en dus een doelwit.

“Grote ondernemingen zijn daar nog niet zo goed op ingericht", waarschuwt de RSA-topman. “Overheden, security-instanties en banken wel, maar bedrijven niet." Hij wijst naar commerciële organisaties met 30.000 mensen of meer in dienst, met r&d-afdelingen van bijvoorbeeld 400 man. “Zijn die mensen goed getraind, goed ingelicht?", vraagt hij retorisch.

Binnendringen gebeurt echter lang niet altijd direct, maar meestal via een collega. Zoals bij RSA, waar malware bij werknemers is bezorgd via een zeer doelgericht mailtje; 'spear phishing'. De daarmee gevangen vissen waren niet direct mensen met toegang tot de gewenste informatie. Wel gebruikers waarlangs het internet netwerk verder is verkend, het verkeer is afgeluisterd en er uiteindelijk dieper is doorgedrongen in het bedrijf.

'Netwerk splitsen'

Hoe ver moeten bedrijven dan gaan in het afschermen van hun informatie, en hun mensen? “In ieder geval zo'n hele afdeling r&d, die moet op een apart netwerk zitten: compartimentaliseren." In de praktijk gebeurt dat maar weinig. Het druist namelijk in tegen “de trend om netwerken zo plat mogelijk te houden. Dat is om de beheerkosten te drukken."

Het zou ook voor een onderzoeksteam van 'maar' 10 man, eventueel nog gesitueerd in een ver land, noodzakelijk zijn om een apart, beveiligd netwerk te hebben. De kosten daarvoor verhinderen dat vaak. Bovendien brengt goede security nog meer kosten met zich mee: compartimentalisering van de interne infrastructuur, training van de werknemers, monitoring van de eigen ict, en constante controle, luidt het advies.

Risico afwegen

“Security is het afwegen van risico. Net als bij een verzekering kijk je dan ook naar de kosten. Het is een rekensom", die soms heel anders uitvalt. Van Rooij noemt het voorbeeld van sommige gemeenten die hun eigen gebouwen niet volledig verzekeren. Omdat dat duurder is dan sparen voor een nieuw gebouw als er iets gebeurt met het huidige.

“Grote ondernemingen beseffen wel dat ze achterlopen, dat geven ze achter gesloten deuren ook wel toe." Hij stelt er vaak al bekende maatregelen worden geadviseerd, maar “die blijken in de praktijk vaak toch niet geïmplementeerd". Van Rooij geeft ronduit toe dat de inbraak bij RSA wel helpt om die boodschap te versterken. “Ja, want dit is er eentje uit het boekje."