De recente DDoS-aanvallen op banken, KLM en DigiD –met onbereikbaarheid en grote financiële schade tot gevolg– laten zien hoe afhankelijk onze samenleving is geworden van het internet, en hoe kwetsbaar vitale websites en diensten zijn voor dit soort aanvallen, die technisch gezien door nagenoeg iedereen georganiseerd kunnen worden verbinden met een internetverbinding. De Politie hack-bevoegdheden geven, zoals Minister Opstelten eind vorig jaar voorstelde, lost niets op maar betekent slechts een nieuw hoofdstuk in een kat-en-muisspel: ook de aanvallers zijn namelijk bezig hun methoden te verbeteren. Nederland zou met het toe-eigen van provocerende internationale hackbevoegdheden juist váker doelwit kunnen worden. Moeten we leren leven met die kwetsbaarheid in onze samenleving en de regelmatige uitval van vitale diensten, of wordt het tijd voor een ander soort oplossing?
Om een einde te maken aan de overlast van buitenlandse DDoS-aanvallen zou een ‘nationaal internet’ opgezet moeten worden waar vitale websites en diensten zoals DigiD en internetbankieren zich als backup op aan kunnen sluiten. Het nationaal internet wordt direct verbonden met aanbieders van Nederlandse internetverbindingen, zoals XS4ALL, Ziggo en KPN. Buitenlandse internetverbindingen, waar de meeste DDoS-aanvallen vandaan komen, zijn niet aangesloten op het nationale backup-internet. De vitale websites en diensten blijven zo onder normale omstandigheden wereldwijd toegankelijk, maar bij (zware) DDoS-aanvallen beperkt het leed zich tot onze landsgrenzen, met veel minder overlast en schade tot gevolg. Wat Nederlandse doelwitten, vanwege hun beperkte impact, minder aantrekkelijk maakt.
Natuurlijk zullen er ook DDoS-aanvallen plaatsvinden binnen het Nederlandse netwerk, maar zij zullen minder snel de intensiteit kennen van wereldwijde aanvallen maar vooral ook beter onderzocht en vervolgens geblokkeerd kunnen worden. Daar waar het spoor van Politie en Justitie naar de daders nu vaak ophoudt bij buitenlandse landsgrenzen, is het bij een binnenlandse aanval goed mogelijk om de gebruikte computers fysiek op te sporen en te onderzoeken hoe zij bij de aanval zijn betrokken. Met zicht op de daders.
Bij een nationaalinternet is het goed mogelijk om een intelligent waarschuwingssysteem te gebruiken, waarbij plotselinge aanvallen aan de zijde van de vitale diensten op het interne netwerk zoveel mogelijk automatisch worden gestopt in samenwerking met de aangesloten Nederlandse internetproviders. Het systeem zou daarnaast geanonimiseerde, statistische informatie kunnen genereren waar een actueel dreigingsbeeld uit ontstaat, niet alleen voor politieonderzoek maar juist ook voor bedrijven en organisaties zelf, die nu in het duister tasten over de recente gebeurtenissen en niet precies weten of en hoe zij zich moeten wapenen. Door de aanvalsinformatie voor alle vitale diensten te verzamelen, te koppelen en te verspreiden, moet het mogelijk worden aanvallen gericht op meer dan één vitale website sneller te signaleren, maar ook aanvallen tegen te gaan door op basis van deze informatie beveiligingsbeslissingen te nemen. Onderzoekers moeten de informatie daarnaast kunnen gebruiken voor onderzoek naar betere beschermingsmethoden.
Alternatieven lijken er niet te zijn: het is ondoenlijk om iedere Nederlandse organisatie de allerbeste DDoS-beveiliging aan te laten schaffen of iedere aanval telkens handmatig af te wenden, dat zou daarnaast de maatschappelijke kosten enorm opdrijven. Een “nationale firewall”, waarbij het Nederlandse internet volledig afgesloten zou kunnen worden van de buitenwereld, is geen optie: niet alleen druist zoiets in tegen het open karakter van het internet, het zou ook principeel onbespreekbaar moeten zijn vanwege massacensuur die het theoretisch in de hand zou kunnen werken – zoals met vergelijkbare systemen bijvoorbeeld in China gebeurt.
De vitale diensten van alle EU-lidstaten zouden moeten werken aan vergelijkbare netwerken, zodat de nationale ‘veilige’ netwerken in de toekomst met elkaar verbonden kunnen worden. Er ontstaat zo een veiliger, stabieler internet waar lokale autoriteiten aanvallen sneller op kunnen sporen en kunnen stoppen. Een veilige haven, die binnen haar grenzen zelfs bij de zwaarste wereldwijde cyberaanvallen stabiel en bereikbaar te houden is, wat de vitale diensten minder aantrekkelijk maakt voor digitale kwajongens maar misschien zelfs ook voor zware criminelen: die kunnen hun tijd beter elders verdoen. En in landen zonder aansluiting op het veilige internet zouden ‘veilige’ verbindingen, bijvoorbeeld op ambassades, ingericht kunnen worden. If you can’t beat them, hou ze voorlopig dan maar gewoon buiten de deur.
NewTeam-partner Danny Mekic’ is op zoek gegaan naar andere en toekomst bestendigere oplossingen dan het opvoeren van beveiligingsniveau’s. Bovenstaand opiniestuk verscheen 7 mei 2013 in NRC Handelsblad en nrc.next.