Hoe veilig zijn we eigenlijk, was de vraag op de 172-ste Diës viering van de TU. Nieuwe technologie biedt nieuwe mogelijkheden maar ook bedreigingen. Dat geldt zeker voor internetveiligheid, zegt hoogleraar cybersecurity Prof.dr.ir. Jan van den Berg (EWI/TBM): “De tijd van vrijheid, blijheid is voorbij.”
Tijdens zijn studie had Jan van den Berg twee grote liefdes die alsmaar om voorrang streden: wetenschap en politiek activisme. Na zijn afstuderen in Delft trok hij daarom met vrouw en hun twee zoontjes naar Mozambique om daar les te geven in wis- en natuurkunde. De oorlog in Vietnam was net gestopt en de wereld leek prettig maakbaar. Toch mondde het verblijf uit in een teleurstelling met de ‘lovely people of Mozambique’, zoals Bob Dylan ze bezong. Eenmaal terug uit Afrika (met nog een zoontje erbij) koos Van den Berg definitief voor de wetenschap, al was het Afrikaanse docentschap daar niet echt de ideale achtergrond voor. Pas in 2006 keerde Van den Berg terug naar de TU.
U bent in 1977 afgestudeerd. Dat is lang voor Internet en lang voordat computers gemeengoed waren. Hoe bent u in de internet veiligheid terecht gekomen?
Voor mij was de belangrijke doorbraak eind jaren ’90 toen web 2.0 opkwam. Je had web 1.0 dat midden jaren ’90 is ontstaan. Dat was passief. Er waren wel websites, maar je kon daar als individuele gebruiker, als leek, geen invloed op uitoefenen want dat was te ingewikkeld. Met web 2.0 werd het zo gemakkelijk dat je als gebruiker zelf content op het web kon zetten.
Wat waren de eerste voorbeelden daarvan?
Bedrijven begonnen e-commerce met dynamische content op eigen websites. En ook de social network sites kwamen toen snel op. Eindgebruikers kregen in de gaten dat ze iets op het web konden doen. Ze hadden de mogelijkheid om er leuke en minder leuke dingen te doen. Ergens in de afgelopen veertien jaar, na 2000 zeg maar, is de criminaliteit er in gekropen.”
Vorig jaar was een actief jaar voor minder leuke internetactiviteiten. We hadden de KPN-hack, DDOS aanvallen en de NSA openbaringen. Is het de selectieve waarneming of is er elk jaar meer aan de hand op internet?
“Ik denk dat er steeds meer aan de hand is, en dat het ook niet ophoudt. Eind jaren ’90 hadden we het nog helemaal niet over cybersecurity, toen hadden we het over informatiebeveiliging. Het ging immers over informatie. De cyberspace zoals we die nu waarnemen hadden we nog niet gecreëerd. We hebben onszelf in vijftien jaar tijd totaal afhankelijk gemaakt van ict. We hebben een wereld gemaakt waarin drie miljard mensen permanent aan elkaar vastgeknoopt zitten en waarin ze dus allerlei activiteiten met elkaar ondernemen. Ze kunnen niet alleen informatie uitwisselen, waar het ooit mee begon, maar ze doen er financiële transacties, ze vinden er hun vrienden en soms een geliefde. Bedrijven werken er samen. Noem maar op. Alles wat we in de werkelijkheid ondernemen hebben we ook in de virtuele wereld geplaatst, die daarmee een reële wereld is geworden en waar dezelfde zaken plaatsvinden als in de gewone wereld: diefstal, misleiding, berovingen, pesten. Noem maar op. Vergeet niet: er zitten echte criminele organisaties achter. De maffia op internet en dark markets. Daar zijn boekjes over geschreven waar je echt van schrikt.”
Wat bijvoorbeeld?
“Nou, betaalde mensen die daarmee bezig zijn. Je kunt een DDoS[i] attack met een botnet[ii] laten uitvoeren. Een botnet kun je voor een paar uur of een paar dagen huren voor een bepaalde prijs. En dan wordt je ook nog verteld hoe je die financiële transactie zo moet doen dat je niet getraceerd wordt. Via een anonieme server kom je daar ook terecht en daar kun je dan zero-days[iii] kopen.”
Ergens zitten dus slimme jongentjes dat allemaal uit te puzzelen voor dubieuze bazen?
“Ja, die worden daarvoor betaald en daar zit weer een heel slim netwerk achter in de zin dat mensen elkaar ook niet kennen. Het zijn natuurlijk ingewikkelde vertrouwensrelaties. Ze zitten anoniem met elkaar te communiceren maar op het moment dat jij iets bestelt en je krijgt geleverd op betaling, dan ontstaat toch een netwerk waarmee je aan de slag kan. In de werkelijke maffia is de baas bij de gewone mens ook niet bekend. Ik ben er geen expert in, maar ik weet wel dat het zo ongeveer gebeurt. Onze afhankelijkheid van ict neemt alleen maar toe en wat mijn grootste angst is dat ook de grote infrastructuren steeds meer verweven raken: elektriciteit, wegen, havens, waterwerken en industrie. We hebben een heel ingewikkelde samenleving gebouwd die we zelf niet helemaal meer in de smiezen hebben.” <streamer>
Zo hoor je ook wel eens dat het niet zo slim is om alle elektronica in je huis aan internet te hangen. Inclusief je thermostaat, je bewakingssysteem en straks je koelkast.
“De kwetsbaarheid neemt toe en er ontstaat ook een verantwoordelijkheidsprobleem. Ik was laatst bij een internet service provider. Die zeggen: vroeger hadden we de verantwoordelijkheid tot het eerste kastje in het huishouden. Daar hing dan een tv aan, een PC en misschien een laptop. Vandaag de dag hangen daar tien, vijftien apparaten aan. In een beetje domotica-omgeving haal je dat makkelijk. En dan kan het zo zijn dat er een van die systemen geïnfecteerd is met malware[iv] (kwaadaardige software, red.) en zich vervelend begint te gedragen. Eigenlijk zou de provider dan het liefst dat ene device willen afsluiten. Maar dat mag niet van de privacywaakhond. Dat is een interessant dilemma en in feite hebben we niet goed vastgesteld hoe de verantwoordelijkheden liggen. De gebruiker zegt: ‘Ja hé, veiligheid. Ik heb een PC gekocht, die moet zelf maar zorgen dat die virusvrij blijft. Ik ga daar niet voor betalen.’ Maar hoezo niet eigenlijk? We moeten toch ook onze auto’s APK laten keuren. Dat vindt inmiddels iedereen doodnormaal om zelf ook een bijdrage te leveren aan de totale veiligheid op de weg. In het digitale domein is het besef er nog niet. De boer moet in het najaar toch ook zijn sloten schoonmaken om de waterhuishouding op orde te houden voor het algemene belang.”
Wat voor gebruikersverplichtingen bedoelt u?
“Het algemene idee is dat internet een nieuw domein is naast weg, water, lucht en ruimte waar allemaal verkeersregels gelden. Dat is al iets anders dan alleen vrijheid blijheid. Dat kan betekenen dat er verplichtingen komen met betrekking tot software of het gebruik van apparaten. Dat je misschien een jaarlijkse APK verplicht stelt voor je PC. Waarom niet?”
In uw intreerede zei u dat 100 procent veiligheid niet bestaat en dat het aan de politiek is om acceptabele risiconiveaus te bepalen. Maar daar heeft de politiek toch geen benul van?
“Als je het zo formuleert is het probleem moeilijk op te lossen omdat het te groot is. Mijn voorstel zou zijn om per domein de afhankelijkheid van internet in kaart te brengen en daarop risiconiveaus vaststellen.”
Aan welke domeinen denkt u dan?
“Nederland heeft via het topsectorenbeleid negen topsectoren[v] gedefinieerd. Die zijn van belang voor het land en ze zijn allemaal afhankelijk gemaakt van informatietechnologie. Laten we daar eens mee beginnen. Voor die sectoren de risico’s van ICT in kaart brengen en op basis daarvan een beleid ontwikkelen en maatregelen ontwerpen. Dat kan deels preventief maar ook detectief – dat is mijn eigen vakgebied. Ik zou heel graag willen dat we veel preciezer gaan monitoren wat er op internet gebeurt. Eigenlijk wat het NSA doet, maar dan met een helder doel en transparant.”
Een soort verkeerscontrolekamer inrichten?
“Ja, in feite wel. Zo’n cyber security control centre zou uiteindelijk zo moeten fungeren dat zij het overzicht hebben. Wat het NCSC (Nationale Cyber Security Center) nu doet is elk jaar een cyber security beeld presenteren. Dat is een rapport van 30 – 50 kantjes waarin wordt verteld wat er het afgelopen jaar gebeurd is. Als ik ze vraag: wat is de situatie in cyberspace nu, dan is er geen antwoord beschikbaar. Hooguit een beetje in de financiële sector. Daar houdt een bedrijf als Fox-IT alle financiële transacties realtime in de gaten. Ze proberen afwijkende patronen te onderscheiden. Als je dan het gevoel ontstaat dat er iets niet klopt – wat er echt aan de hand is weten ze zelf ook meestal niet, daarvoor is veel domeinkennis nodig – dan waarschuwen ze de bank dat ze er naar moeten kijken. De bancaire wereld is misschien de eerste die cyber situation awareness, zoals dat heet, goed oppakt.
Denkt u dat er na het NSA-schandaal nog steun te krijgen valt voor zo’n monitoringsprogramma?
“Daar sla je de spijker op z’n kop. Toen ik daar van hoorde dacht ik: het ergste gevolg is nu het wantrouwen in de overheid op dit onderwerp. We hebben alleen vertrouwen in de overheid als die transparant is. En die moet er voor Internet net zo goed komen als op het gebied van politieoptreden. Als een politieman zich misdraagt, kan hij in de problemen komen. Die mate van transparantie moeten we ook voor de nieuwe domeinen zien te ontwikkelen. Maar zonder monitoring van wat er op internet gebeurt is het dweilen met de kraan open tegen de cybercriminaliteit. Dan loop je altijd achter de feiten aan. Ik denk dat er geen ontsnapping is. Op het moment dat we die digitale wereld willen, en die willen we allemaal, dan moet je de consequentie nemen. Als je er veilig in wilt opereren, dan ook moet kunnen monitoren. Dat is mijn boodschap: we moeten leren met het nieuwe vijfde domein om te gaan. Dat hebben we ook met de andere domeinen gedaan toen het eerste vliegtuig vloog en de eerste auto reed. Moest je opeens rechts gaan rijden. Ja hallo, ik mag toch rijden waar ik wil? Ik weet nog dat je een veiligheidsgordel om moest doen. Nou, Nederland was te klein voor al het verzet. Of een helm op. We weten inmiddels niet anders.”
CV
Jan van den Berg (1951) studeerde wiskunde en natuurkunde aan de TU Delft en was tegelijkertijd actief in de nationale studentenbeweging. In 1977 studeerde hij af en ging lesgeven (in wiskunde, natuurkunde en ICT) aan HBO-scholen in Breda en Eindhoven. Tussendoor werkte hij 2 jaar op een middelbare school in Mozambique. In 1989 stapte hij over naar het Econometrisch Instituut van de Erasmus Universiteit voor onderwijs en onderzoek op het gebied van data-analyse, complexe systemen, econom(etr)ie, en informatiebeveiliging. Hij promoveerde in 1996. Tien jaar later stapte hij over naar de TU waar hij juli 2013 werd benoemd tot hoogleraar cyber security bij de faculteiten EWI en TBM. Op 13 december j.l. hield hij zijn intreerede inclusief een gesimuleerde hack.
[i] DDos – distributed denial of service – een server raakt onbereikbaar doordat gehackte computers allemaal tegelijkertijd contact ermee zoeken.
[ii] botnet – een collectie van softwarerobots (gehackte computers) of bots, die automatisch en zelfstandig opereren.
[iii] zero-days – kwetsbare plekken in operating systems die nog onbekend zijn en waartegen ook de meest up-to-date virusscanners dus geen verweer hebben.
[iv] malware – verzamelnaam voor kwaadaardige en/of schadelijke software
[v] topsectoren zijn: agri&food, chemie, creatief, energie, high-tech, logistiek, life sciences & health, tuinbouw en water.
