‘Verplicht een apk voor iedere pc’

Hoe veilig zijn we eigenlijk, was de vraag op de 172ste diesviering van de TU. Nieuwe technologie biedt mogelijkheden, maar ook bedreigingen. Dat geldt zeker voor internetveiligheid, zegt hoogleraar cybersecurity prof.d

r.ir. Jan van den Berg (EWI/TBM). “De tijd van vrijheid blijheid is voorbij.”

Tijdens zijn studie had Jan van den Berg twee grote liefdes die om voorrang streden: wetenschap en politiek activisme. Na zijn afstuderen in Delft vertrok hij daarom met vrouw en hun twee zoontjes naar Mozambique om daar les te geven in wis- en natuurkunde. De oorlog in Vietnam was net voorbij en de wereld leek prettig maakbaar. Toch mondde het verblijf uit in een teleurstelling met de ‘lovely people of Mozambique’, zoals Bob Dylan ze bezong. Eenmaal terug uit Afrika (met nog een zoontje erbij) koos Van den Berg definitief voor de wetenschap, al was het Afrikaanse docentschap daar niet echt de ideale achtergrond voor. Pas in 2006 keerde Van den Berg terug naar de TU.

U bent in 1977 afgestudeerd. Dat is lang voor de komst van internet en voordat computers gemeengoed werden. Hoe bent u in de internetveiligheid terechtgekomen?

“Voor mij was de belangrijke doorbraak eind jaren negentig toen web 2.0 opkwam. Je had web 1.0 dat midden jaren negentig is ontstaan. Dat was passief. Er waren wel websites, maar je kon daar als individuele gebruiker, als leek, geen invloed op uitoefenen want dat was te ingewikkeld. Met web 2.0 werd het zo gemakkelijk dat je als gebruiker zelf content op het web kon zetten. Bedrijven begonnen e-commerce met dynamische content op eigen websites. En ook de sociale netwerksites kwamen toen snel op. Eindgebruikers kregen in de gaten dat ze iets op het web konden doen. Ze hadden de mogelijkheid om er leuke en minder leuke dingen te doen. Ergens in de afgelopen veertien jaar, na 2000 zeg maar, is de criminaliteit er in gekropen.”

Vorig jaar was een actief jaar voor minder leuke internetactiviteiten. Zoals de KPN-hack, DDoS-aanvallen en de NSA-openbaringen. Is het selectieve waarneming of is er elk jaar meer aan de hand op internet?

“Ik denk dat er steeds meer aan de hand is, en dat het ook niet ophoudt. Eind jaren negentig had niemand het over cybersecurity, toen hadden we het alleen over informatiebeveiliging. Het ging immers over informatie. De cyberspace zoals we die nu waarnemen, hadden we nog niet gecreëerd. We hebben onszelf in vijftien jaar tijd totaal afhankelijk gemaakt van ict. We hebben een wereld gemaakt waarin drie miljard mensen permanent aan elkaar vastgeknoopt zitten en waarin ze dus allerlei activiteiten met elkaar ondernemen. Ze kunnen niet alleen informatie uitwisselen, waar het ooit mee begon, maar ze doen financiële transacties, ze vinden er hun vrienden en soms een geliefde. Bedrijven werken er samen. Noem maar op. Alles wat we in de werkelijkheid ondernemen, hebben we ook in de virtuele wereld geplaatst, die daarmee een reële wereld is geworden en waar dezelfde zaken plaatsvinden als in de gewone wereld: diefstal, misleiding, berovingen, pesten. Noem maar op. Vergeet niet: er zitten echte criminele organisaties achter. De maffia op internet en dark markets. Daar zijn boekjes over geschreven waar je echt van schrikt.”

Wat bijvoorbeeld?

“Nou, betaalde mensen die daarmee bezig zijn. Je kunt een DDoSi-attack met een botnetii laten uitvoeren. Een botnet kun je voor een paar uur of een paar dagen huren voor een bepaalde prijs. En dan wordt je ook nog verteld hoe je die financiële transactie zo moet doen dat je niet getraceerd wordt. Via een anonieme server kom je daar ook terecht en daar kun je dan zero-daysiii kopen.”

Ergens zitten dus slimme jongetjes dit allemaal uit te pluizen voor dubieuze bazen?

“Ja, die worden daarvoor betaald. Het is een heel slim netwerk van mensen die elkaar niet kennen. Het zijn natuurlijk ingewikkelde vertrouwensrelaties. Ze zitten anoniem met elkaar te communiceren, maar op het moment dat jij iets bestelt en je krijgt geleverd op betaling, dan ontstaat toch een netwerk waarmee je aan de slag kan. In de werkelijke maffia is de baas bij de gewone mens ook niet bekend. Ik ben er geen expert in, maar ik weet wel dat het ongeveer zo gebeurt. Onze afhankelijkheid van ict neemt alleen maar toe en mijn grootste angst is dat ook de grote infrastructuren steeds meer verweven raken: elektriciteit, wegen, havens, waterwerken en industrie. We hebben een heel ingewikkelde samenleving gebouwd die we zelf niet helemaal meer in de smiezen hebben.”

Het schijnt ook niet zo slim te zijn om alle elektronica in je huis aan internet te hangen. Inclusief je thermostaat, je bewakingssysteem en je koelkast.

“De kwetsbaarheid neemt toe en er ontstaat ook een verantwoordelijkheidsprobleem. Ik was laatst bij een internet serviceprovider. Die zeggen: vroeger hadden we de verantwoordelijkheid tot het eerste kastje in het huishouden. Daar hing dan een tv aan, een pc en misschien een laptop. Vandaag de dag hangen daar tien, vijftien apparaten aan. En dan kan het zo zijn dat er een van die systemen geïnfecteerd is met malwareiv en zich vervelend begint te gedragen. Eigenlijk zou de provider dan het liefst dat ene device willen afsluiten. Maar dat mag niet van de privacywaakhond. Dat is een interessant dilemma en in feite hebben we niet goed vastgesteld hoe de verantwoordelijkheden liggen. De gebruiker zegt: ‘Ja hé, veiligheid. Ik heb een pc gekocht, die moet zelf maar zorgen dat die virusvrij blijft. Ik ga daar niet voor betalen.’ Maar hoezo niet eigenlijk? We moeten toch ook onze auto’s periodiek laten keuren. Iedereen vindt het inmiddels doodnormaal om een bijdrage te leveren aan de totale veiligheid op de weg. In het digitale domein is het besef er nog niet. De boer moet in het najaar toch ook zijn sloten schoonmaken om de waterhuishouding op orde te houden voor het algemene belang.”

Wat voor gebruikersverplichtingen bedoelt u?

“Het algemene idee is dat internet een nieuw domein is naast weg, water, lucht en ruimte waar allemaal verkeersregels gelden. Dat is al iets anders dan alleen vrijheid blijheid. Dat kan betekenen dat er verplichtingen komen met betrekking tot software of het gebruik van apparaten. Dat je misschien een jaarlijkse APK verplicht stelt voor je pc. Waarom niet?”

In uw intreerede zei u dat honderd procent veiligheid niet bestaat en dat het aan de politiek is om acceptabele risiconiveaus te bepalen. Maar daar heeft de politiek toch geen benul van?

“Als je het zo formuleert is het probleem moeilijk op te lossen, omdat het te groot is. 

Mijn voorstel zou zijn om per domein de afhankelijkheid van internet in kaart te brengen en daarop risiconiveaus vaststellen.” 

Aan welke domeinen denkt u dan?

“Nederland heeft via het topsectorenbeleid negen topsectorenv gedefinieerd. Die zijn van belang voor het land en ze zijn allemaal afhankelijk gemaakt van informatietechnologie. Laten we daar eens mee beginnen. Voor die sectoren de risico’s van ict in kaart brengen en op basis daarvan een beleid ontwikkelen en maatregelen ontwerpen. Dat kan deels preventief maar ook detectief – dat is mijn eigen vakgebied. Ik zou heel graag willen dat we veel preciezer gaan monitoren wat er op internet gebeurt. Eigenlijk wat het NSA doet, maar dan met een helder doel en transparant.” 

Een soort verkeerscontrolekamer inrichten?

“Ja, in feite wel. Zo’n cyber security control centre zou uiteindelijk zo moeten fungeren dat zij het overzicht heeft. Wat het NCSC (Nationale Cyber Security Center) nu doet is elk jaar een cyber security beeld presenteren. Dat is een rapport van dertig tot vijftig kantjes waarin wordt verteld wat er het afgelopen jaar gebeurd is. Als ik ze vraag: wat is de situatie in cyberspace nu, dan is er geen antwoord beschikbaar. Hooguit een beetje in de financiële sector. Daar houdt een bedrijf als Fox-IT alle financiële transacties realtime in de gaten. Ze proberen afwijkende patronen te onderscheiden. Als dan het gevoel ontstaat dat er iets niet klopt – wat er echt aan de hand is weten ze zelf ook meestal niet, daarvoor is veel domeinkennis nodig – dan waarschuwen ze de bank dat ze er naar moeten kijken. De bancaire wereld is misschien de eerste die cyber situation awareness, zoals dat heet, goed oppakt. 

Denkt u dat er na het NSA-schandaal nog steun te krijgen valt voor zo’n monitoringsprogramma?

“Daar sla je de spijker op zijn kop. Toen ik daar van hoorde dacht ik: het ergste gevolg is nu het wantrouwen in de overheid op dit onderwerp. We hebben alleen vertrouwen in de overheid als die transparant is. En die moet er voor internet net zo goed komen als op het gebied van politieoptreden. Als een politieman zich misdraagt, kan hij in de problemen komen. Die mate van transparantie moeten we ook voor de nieuwe domeinen zien te ontwikkelen. Maar zonder monitoring van wat er op internet gebeurt, is het dweilen met de kraan open tegen de cybercriminaliteit. Dan loop je altijd achter de feiten aan. Ik denk dat er geen ontsnapping is. Op het moment dat we die digitale wereld willen, en die willen we allemaal, dan moet je de consequentie nemen. Als je er veilig in wilt opereren, dan moet je ook kunnen monitoren. Dat is mijn boodschap: we moeten leren met het nieuwe vijfde domein om te gaan. Dat hebben we ook met de andere domeinen gedaan toen het eerste vliegtuig vloog en de eerste auto reed. Moest je opeens rechts gaan rijden. Ja hallo, ik mag toch rijden waar ik wil? Ik weet nog dat je een veiligheidsgordel om moest doen. Nou, Nederland was te klein voor al het verzet. Of een helm op. We weten inmiddels niet beter.”

CV

CV

CV

Jan van den Berg (1951) studeerde wiskunde en natuurkunde aan de TU Delft en was actief in de nationale studentenbeweging. In 1977 studeerde hij af en ging lesgeven (in wiskunde, natuurkunde en ict) aan hbo-scholen in Breda en Eindhoven. Tussendoor werkte hij twee jaar op een middelbare school in Mozambique. In 1989 stapte hij over naar het Econometrisch Instituut van de Erasmus Universiteit in Rotterdam voor onderwijs en onderzoek op het gebied van data-analyse, complexe systemen, econom(etr)ie, en informatiebeveiliging. Hij promoveerde in 1996. Tien jaar later stapte hij over naar de TU Delft waar hij juli 2013 werd benoemd tot hoogleraar cyber security bij de faculteiten Elektrotechniek, Wiskunde en Informatica en Techniek, Bestuur en Management. Op 13 december 2013 hield hij zijn intreerede, inclusief een gesimuleerde hack.