Een hack in het systeem is de nachtmerrie van elke organisatie, zeker als dat systeem gevoelige informatie bevat. Gisteravond besloot het Openbaar Ministerie (OM) alle systemen van het internet los te koppelen vanwege een “kwetsbaarheid” waar “ook werkelijk gebruik van is gemaakt”. Het OM liet vanavond weten dat nog onduidelijk is hoe lang het onderzoek naar het lek gaat duren. Hoe kon dit gebeuren? En wie – of wat – kan achter de hack zitten?
Het was een vreemde dag voor iedereen die vandaag met het Openbaar Ministerie te maken had. Medewerkers konden niet inloggen, officieren van justitie konden niet bij dossiers van zaken, burgers die een afspraak hadden bij justitie werden weer naar huis gestuurd. “Het is een heel zwaar middel”, zegt Christo Butcher, cybersecurityadviseur bij Fox-IT, over de loskoppeling van het internet. “Een organisatie ligt vrijwel stil door deze stap.”
Toch vindt de expert het geen paniekreactie van het OM. “Het is een heel effectieve manier om een cyberaanval tegen te houden. Als een organisatie achter de hack komt, is vaak nog onduidelijk hoe die hack heeft plaatsgevonden en welke systemen zijn aangetast. Het is dan heel moeilijk om fijnmazig de aanval tegen te houden. Alles afkoppelen is dan soms de keuze die wordt gemaakt.”
Citrix
Het Nationaal Cyber Security Centrum (NCSC) waarschuwde het OM vorige maand en begin deze maand al voor de kwetsbaarheid in Citrix, een softwareprogramma waarmee gebruikers toegang krijgen tot de systemen van het OM. Na onderzoek blijkt dat er “ook werkelijk gebruik is gemaakt van deze mogelijke kwetsbaarheid”, aldus justitie vandaag.
Een systeem als Citrix is regelmatig doelwit van aanvallen omdat het op de grens zit tussen het internet, waar iedereen toegang tot heeft, en de interne systemen van organisaties. Butcher: “Aanvallers gaan op zoek naar organisaties met dit soort systemen om daar binnen te komen.”
In Nederland gebruiken ruim 1300 organisaties Citrix. “Toen de kwetsbaarheid bekend werd, konden bedrijven dat oplossen. “Patchen”, noemen we dat. Hoe langer je daarmee wacht, hoe kwetsbaarder je bent. In de meeste systemen is dit gepatcht, maar het NCSC adviseert organisaties desondanks: doe onderzoek, ook als het al is opgelost.”
Wie zit erachter?
Butcher noemt twee type daders voor wie het binnendringen van zo’n systeem interessant is: cybercriminelen en daders die het doen voor spionage-doeleinden. “Cybercriminelen willen vaak snel geld verdienen, bijvoorbeeld door een organisatie af te persen: ‘wil je toegang tot je informatie? Dan moet je betalen’.”
“Spionage is venijniger. Daarbij gaat het vaak om langetermijndoelen: de aanvaller wil lang onopgemerkt binnen blijven. In het verleden hebben we spionage-aanvallen gezien die jarenlang onopgemerkt waren doorgegaan.”
China
In het geval van spionage komt vaak China in beeld als dader, zegt de deskundige. Hij benadrukt dat hij geen informatie heeft dat China aast op informatie van het OM, maar er zijn in de IT-wereld wel signalen dat China op deze manier organisaties binnendringt.
Eén manier waarop kan worden achterhaald wie erachter zit, is door zogenoemde ‘honeypots’ op het internet te plaatsen: systemen neerzetten die lijken op, in dit geval, Citrix. “In de afgelopen weken zijn er inbraakpogingen gezien op die ‘surrogaat’-Citrix-systemen”, zegt Butcher.
Onderzoekers kunnen vervolgens aan de hand van kenmerken nagaan waar die hackers vandaan komen. “Een heel simpele is: wanneer werken ze? Als een Chinese staatshacker hier achter zit, zijn dat vaak ambtenaren die gewoon van 9 tot 5 werken, in de Chinese tijdzone. Op die manier verzamelen we veel puzzelstukjes voordat we kunnen zeggen: waarschijnlijk zit China hierachter.”
Hoe lang de loskoppeling van het internet bij het OM nog duurt, hangt af van de complexiteit van de systemen en van hoe diep de hackers zijn binnengekomen. “Hoe eerder je de aanval detecteert, hoe beperkter de schade. Pas als je zeker weet dat de aanvaller eruit is, kun je weer online.”
