Wetenschap

‘Cyber operaties maken deel uit van de Oekraïne-oorlog’

Wat kunnen we verwachten van digitale oorlogsvoering na de militaire invasie van Oekraïne? Cybersecurityprofessor Michel van Eeten verwacht verdere ontwrichting door malware.

“Je mag aannemen dat de cyberverdediging sterk afhankelijk is van wat er fysiek gebeurt.” (Foto: Mika Baumeister / Unsplash)

Wat kunnen we verwachten qua cyberoorlog vanuit Rusland?
“Er is sprake van een grootschalige invasie. Dan mag je aannemen dat cyberoperaties daar deel van uitmaken. Dan zou ik denken aan pogingen om gericht dingen te doen zoals het uitschakelen van commandocentra van het Oekraïense leger. En daarnaast ongericht malware (kwaadaardige en schadelijke software, red.) verspreiden om computers te saboteren waardoor allerlei organisaties ophouden te functioneren. Een beetje zoals de aanvallen die we een paar jaar geleden hebben gezien in Saudi-Arabië tegen Aramco. Daar zijn op één dag 30 duizend computers onklaar gemaakt. Ik vermoed dat ze dat soort tactieken hier ook overwegen. Het is richting overheidsinstellingen, banken en bedrijven in het algemeen dat zij die brede verstorings- en ontregelingsacties zullen uitvoeren. Ik las zelfs een tweet van een onderzoeker die zei dat er al malware in omloop was die dat probeerde te doen.”

Ik las dat er eerder een cyberaanval heeft plaatsgevonden op het elektriciteitsnetwerk. Kunnen we dat weer verwachten?
“In beginsel wel, maar ik denk dat als je eenmaal met een invasie bezig bent, dat het elektriciteitsnetwerk heel makkelijk is plat te leggen. Daar hoef je geen complexe aanval voor te ondernemen. Met een paar granaten ben je klaar.”

Het Nederlandse Defensie Cyber Security Centrum zou Oekraïne ondersteunen in de cyberoorlog. Wat hebben zij ter beschikking?
“Dat aanbod hebben ze een paar dagen geleden gedaan. Daar reageerde Oekraïne wat afwachtend op, omdat niet duidelijk was wat het behelst. Nu lijkt het erop dat er één persoon van het cybercommando beschikbaar is. Die kan in zijn eentje niet veel uitrichten. Maar waar de hulp nuttig bij zou kunnen zijn, is coördinatie. Je moet je voorstellen dat als zo’n land zichzelf digitaal wil verdedigen, dat het enorm helpt als je in het buitenland allerlei partijen hebt die meehelpen om bijvoorbeeld verkeer af te vangen wat op jou afkomt. Of informatie met jou deelt over malware die zij detecteren. Dan heb je de netwerken nodig tussen de operationele cyberspecialisten. Dat ga je niet via allerlei hiërarchische processen doen met het ministerie van Defensie. Die specialisten of hackers hebben allemaal vertrouwde netwerken met elkaar. Dat gaat op basis van persoonlijke relaties. Dus als je daar mensen neerzet, nemen die een netwerk mee aan contacten met andere cyberspecialisten die zinnige dingen kunnen doen als zo’n land digitaal aangevallen wordt. Dus in dat opzicht kan ik me voorstellen dat één specialist, wat op zich natuurlijk heel mager is, iets zinnigs kan bijdragen als hij daar zou zijn.” 

‘Juist als het land onder vuur ligt is coördinatie een stuk moeilijker’

Maar dan moet hij daar ter plekke zijn?
“Je kunt ook wel vanuit Den Haag werken, maar juist als het land onder vuur ligt – zowel fysiek als digitaal – is de coördinatie opeens een stuk moeilijker. Als je er fysiek bent, en je kunt meekijken en meepraten met de mensen daar, dan kun je daarna de mensen in het buitenland veel effectiever mobiliseren. De informatieoverdracht is ingewikkelder op afstand. In vredestijd kan dat prima, maar in oorlogstijd is dat ingewikkelder. Dan heeft fysieke nabijheid wel een voordeel ook omdat je aan de binnenkant van het netwerk zit daar. Stel dat allerlei verbindingen straks onbruikbaar worden, hoe kom je dan nog in contact met mensen die ter plekke zijn? Het doet me denken aan een incident van dertien jaar geleden in Estland dat te lijden had van grote DDOS-aanvallen. Daardoor was het land in feite afgesloten van het internet, omdat de verbindingen vol zaten met afvalverkeer.”

Door die DDOS-aanval?
“Precies. En toen is een aantal westerse cyberspecialisten, vrijwilligers uit de hackers en security community, daar op eigen initiatief naartoe gevlogen. Want die hadden contact met een aantal Estse specialisten en zijn ter plekke gaan helpen, en hebben hun internationale netwerk georganiseerd. Die coördinatie bleek toen, zo volgt uit studies achteraf, goed gewerkt te hebben.”

Hoe gingen ze te werk?
“Zodra je merkt dat de datalijnen vollopen, dan ga je kijken waar dat dataverkeer vandaan komt. Dan zitten er aan de andere kant van die datapijpen, dus waar het aanvalsverkeer vandaan komt, normale bedrijven. Daarmee kun je contact opnemen en vragen of ze aanvalsverkeer willen afvangen en weggooien.” 

Kan het Nederlandse centrum iets wat ze in Oekraïne niet kunnen?
“Nee, Oekraïne is digitaal best ontwikkeld. Maar waar je op zo’n moment tegenaan loopt is dat je in heel korte tijd heel veel informatie moet verwerken. Als je onder de voet gelopen wordt door een aanval en je netwerk slaat op tilt, dan heb je tekort aan capaciteit om dat allemaal bij te benen.” 

Wordt dit een korte slag, of iets van lange adem?
“Het is natuurlijk de vraag hoe dat militaire conflict verdergaat. Hoe lang houdt Oekraïne stand? Je mag aannemen dat de cyberverdediging sterk afhankelijk is van wat er fysiek gebeurt. En ik denk dat het fysieke element verreweg leidend is en digitaal dus volgend.”

Wetenschapsredacteur Jos Wassink

Heb je een vraag of opmerking over dit artikel?

j.w.wassink@tudelft.nl

Comments are closed.