De onzichtbare oorlog achter onze schermen: hoe kwetsbaar zijn we écht?

Het is de wake-up call die Modderkolk mee naar Rotterdam heeft gebracht. Op het Ministerie van Defensie werken ze met een kleurenkaart: groen is vrede, rood is oorlog. We zitten nu in het donkeroranje; dus dichter bij oorlog dan bij vrede. “Deze oorlog ziet er anders uit dan voorheen”, vertelt hij. “Toekomstige conflicten worden niet meer zozeer op het slagveld beslecht, maar vooral in het informatiedomein.” 

Landen als Rusland en China gebruiken cyberaanvallen als wapens. Hackers dringen IT-systemen binnen, bedrijven worden bespioneerd en kritieke infrastructuur kan op afstand worden gesaboteerd. 

Als kenner van inlichtingendiensten en journalist voor de Volkskrant, schudt hij de voorbeelden uit z’n mouw. Zo vertelt hij over een aanval waarbij Russische hackers probeerden in te breken bij een bedrijf in Washington. Omdat ze het netwerk niet direct konden binnendringen, schakelden ze over op een slimmere methode: ze hackten een laptop in een nabijgelegen woning, creëerden een wifi-netwerk en wisten zo alsnog het systeem binnen te dringen. 

“Tien jaar geleden waren dit soort methoden nog alleen weggelegd voor de allerbeste inlichtingendiensten, nu draaien Russen en Chinezen er hun hand niet voor om.”

‘Sorry, je data zijn gelekt’

Naast gerichte cyberaanvallen is er nog een ander groot probleem: bedrijven slaan massaal klantdata op en plaatsen cookies. Vaak zonder duidelijke noodzaak en zonder dat ze beseffen dat ze hiermee een interessant doelwit zijn voor bedrijven. “Of het nu webshops zijn, of energieleveranciers, zorginstellingen, we geven continu onze gegevens weg. Bedrijven slaan alles op en vergeten vervolgens dat ze deze data nog hebben. Twee jaar later krijg je dan een bericht: ‘Sorry, je data zijn gelekt’. Maar waarom hadden ze die überhaupt nog, daar moeten we eens goed over nadenken.”

Hij noemt het voorbeeld van slimme meters, waarbij energieleveranciers jarenlang data opslaan en deze ook nog eens delen met derde partijen, inclusief bedrijven buiten de EU. Je persoonsgegevens zwerven rond zonder dat je daar controle over hebt. 

“We maken het hackers veel te makkelijk wat je terugziet in de vele datalekken die plaatsvinden. In Nederland zijn er elk half jaar zo’n 10.000 datalekken. Een op de vijf bedrijven wordt jaarlijks gehackt, en een op de twintig bedrijven is op dit moment gehackt … zonder het zelf te weten.”

Rusland en China slaan toe

Modderkolk heeft onderzoek gedaan naar hoe buitenlandse inlichtingendiensten misbruik maken van de zwakke plekken in onze IT-systemen. Hij noemt het voorbeeld van het Europees Geneesmiddelenagentschap (EMA) in Amsterdam. Tijdens de coronacrisis werd dit een aantrekkelijk doelwit, omdat het instituut beschikte over gevoelige informatie over vaccins. 

Russische hackers verschaften zich toegang door slim gebruik te maken van zwakke tweestapsverificatie. Ze observeerden een nieuwe medewerker en wisten haar inloggegevens te bemachtigen. Gevolg: ze zaten maandenlang binnen en hadden toegang tot uiterst vertrouwelijke documenten.

China pakt het nóg structureler aan en gebruikt zowel digitale als menselijke spionage. “China bouwt zijn eigen passagiersvliegtuig, maar de motor krijgen ze nog niet zelf ontwikkeld. Wat deden ze? Ze infiltreerden bij westerse bedrijven om die kennis te stelen. Een Chinese medewerker bij General Electric werd betrapt toen hij geheime documenten over turbine-afdichtingen verstopte in de eigenschappen van een foto van een zonsondergang en deze naar China mailde. China liep hiermee in één klap vijf jaar ontwikkeltijd in, goed voor een waarde van miljarden dollars.”

Tweets van Elon Musk

Volgens Modderkolk is het westerse antwoord op deze dreigingen veel te zwak. “We besteden vrolijk onze IT uit zonder ons maar een moment af te vragen wat de consequenties zijn. Overheden vertrouwen op Microsoft, terwijl de Amerikaanse overheid elk moment kan eisen dat zij toegang krijgen tot data. Willen we dat?” 

Ook algoritmes spelen een steeds grotere rol in hoe informatie wordt verspreid en gemanipuleerd. “De tweets van Elon Musk worden vaker bekeken dan alle berichten van Republikeinen en Democraten bij elkaar. Waarmee ik wil zeggen: technologie is niet neutraal! Het heeft voorkeuren, en het kan worden ingezet voor politieke en geopolitieke doeleinden."