Ronald Prins: ‘Jihadistische hackers zijn niet achterlijk, die kunnen ver komen’
Nu vrijwel alles verbonden is met het internet, staan we steeds meer onder dreiging van digitale oorlogsvoering, zegt Ronald Prins, oprichter van cybersecuritybedrijf Fox-IT. ‘Het internet krijgt een andere vorm, waardoor het voor bepaalde mensen ook interessant wordt om er hun kunst op los te laten’, zegt de beveiligingsexpert die inlichtingendiensten en verschillende multinationals tot zijn klanten kan rekenen.
Het Nederlandse Fox-IT staat in België vooral bekend als het bedrijf dat Belgacom om hulp vroeg nadat het gehackt was door de Britse inlichtingendienst GCHQ. Nadat Belgacom problemen kreeg met een aantal servers die niet goed functioneerden huurden ze Fox-IT in, dat erachter kwam wat het probleem was. In Nederland zorgt het bedrijf er onder andere voor dat staatsgeheimen niet in verkeerde handen vallen. ‘Het gros is gewoon bedrijven, maar ons werk voor de overheid hoor je het meest over’, zegt medeoprichter en Chief Technology Officer Ronald Prins. ‘Ons geld verdienen we daar niet aan.’ Behalve over het verleden van Belgacom, heeft hij het niet over het klantenbestand. ‘Dat willen ze liever niet. Over Belgacom kan ik het wel hebben, omdat ze zelf aangegeven hebben dat wij dat waren – maar verder doen we ook heel wat meer in België’, zegt de ‘machtigste nerd van Nederland‘.
Kort na terroristische aanslagen, zoals ook in Brussel, is er vanuit de politiek vaak de roep om de bevoegdheden van inlichtingendiensten uit te breiden. Heeft dit zin?
Achteraf weten we dat de aanslag in Brussel ook op een andere manier voorkomen had kunnen worden. Desondanks denk ik dat het belangrijk is dat inlichtingendiensten op een effectieve manier inlichtingen kunnen verzamelen op internet. Bij de aanslagen in Brussel had dat geen zin, dat had meer met de uitwisseling van gegevens met landen als Turkije te maken. Maar in Nederland is er nu wel de grote discussie of inlichtingendiensten mogen hacken. Ik denk dat het belangrijk is dat ze dit wel kunnen doen, want het wordt steeds moeilijker om zinnige data van het internet af te halen. Dat hacken wordt essentieel. Als je niet meer op een passieve manier bij data kan komen, omdat het versleuteld is, zal je op een actieve manier bij de data moeten komen.
Wat vindt u van het privacy standpunt. Dat bij de verzameling van data in bulk de privacy van de burger geschonden wordt?
Diensten hebben zelf ook door dat meer data de hooibergen verhoogt en het niet makkelijker maakt om die spelden te vinden. Maar ze hebben wel een soort trechterfunctie nodig. Laat het me anders verwoorden: als iemand via Facebook Messenger – dat is niet zo goed beveiligd – zit te communiceren via zijn 4G-netwerk, dan is hij nog te tappen. Maar als hij bij de McDonalds zit en van de Wi-Fi gebruik maakt, is hij niet te volgen. Wat inlichtingendiensten nu willen is dat ze de tap op de McDonalds kunnen zetten en in kunnen zoomen op die ene persoon. Je krijgt dan eerst alle data binnen van de mensen in dat gebouw, maar die trechter gebruik je om in te zoomen op de die ene persoon.
Daar ontstaat de angst dat een inlichtingendienst de rest ook zal bewaren.
Ik snap de angst die daar zit. Daarom is het goed dat diensten zelf eens wat meer uitleg geven hoe de problematiek in elkaar zit. Historisch gezien vinden ze dat heel moeilijk, omdat ze dan een inkijk geven in hoe een organisatie werkt. Daar zouden kwaadwillenden zich dan tegen kunnen wapenen, maar ik denk dat er ondertussen al zoveel op straat ligt – onder andere door Edward Snowden – dat die argumenten niet meer helemaal tellen. Door niet transparant te zijn en niet te zeggen waarom je die behoeften nodig hebt, zet je jezelf nu op achterstand.
‘Doordat inlichtingendiensten niet transparant zijn en niet zeggen waarom ze bepaalde behoeften nodig hebben, zetten ze zichzelf op achterstand.’
Vorige week verbeterde berichtendienst Whatsapp de versleuteling, wat betekent dit?
Voor de gebruiker zal er een klein beetje vertraging ontstaan bij nieuwe verbindingen. Als je voor het eerst met iemand praat moet er namelijk eerst een sleuteluitwisseling plaatsvinden. Daar merk je verder weinig van, behalve dat de ander even zijn telefoon aan moet hebben staan.
Voor Europese verbindingen zal er verder eigenlijk niet zoveel veranderen, want die verbindingen waren al versleuteld – alleen nog niet end-to-end. Dat betekent dat een bericht in mijn toestel versleuteld wordt en in jouw toestel pas ontsleuteld wordt. Nergens anders is dat leesbaar, ook niet bij Whatsapp zelf. Dat is een grote verandering, want dat kon voorheen wel. De Amerikaanse inlichtingendiensten konden daarom de data van gebruikers bij Whatsapp opvragen.
De Amerikaanse inlichtingendiensten hebben er dus een flink probleem bijgekregen?
Ja, en dat is wel heel relevant. Want er heerst een beeld dat terroristen heel erg hun best doen om zichzelf te verstoppen door bijvoorbeeld allemaal versleutelapps te gebruiken, maar ik heb het gevoel dat dit wel meevalt. Ze maken gebruik van normale technieken, maar inlichtingendiensten hebben nu het probleem dat die nu ook versleuteld is. End-to-end encryptie bestond al lang bij chatapps als Signal of Telegram, maar dat werd gebruikt door nerds die het leuk vinden en niet zozeer door de mensen die zichzelf écht willen verstoppen.
U sprak onlangs in Nederland op Radio 1 over digitale oorlogsvoering. In België heerst de angst dat er kerncentrales aangevallen kunnen worden. Is dit angst realistisch?
Dat is in ieder geval wel mogelijk. In Iran is er ook een nucleaire faciliteit gehackt door de Verenigde Staten en Israël. Dat was een opwekkingsfabriek en niet zozeer kerncentrale, maar ze konden er wel voor zorgen dat de centrifuges harder gingen draaien, waardoor ze kapot gingen. Dat voorval geeft wel aan dat er in de nucleaire hoek of ergens anders genoeg mogelijkheden zijn om misbruik te maken van het internet. Alles is er aan gekoppeld, dus dit kan voor maatschappelijk ontwrichtende situaties zorgen.
Het internet krijgt een andere vorm, waardoor het voor bepaalde actoren ook interessant wordt om hun kunst er op los te laten. Daarom zie je ook dat veel landen cybercapaciteit aan het opbouwen zijn. We hebben ook gezien dat Jihadistische hackers ook niet achterlijk zijn, die kunnen echt wel een eind komen. De combinatie van kwetsbaarheden die bestaan en impact hebben op mensenlevens en de wens van kwaadwillenden betekent dat er wel iets gaat gebeuren. Of dat in België nucleair zal zijn vraag ik me af, dat kan ook op andere schaal.
‘We hebben gezien dat Jihadistische hackers niet achterlijk zijn, die kunnen ver komen.’
Is het realistisch dat een organisatie als IS hier bij betrokken zal zijn, of is er meer dreiging van landen onderling?
Ik denk dat landen zoals Iran voornamelijk in andere landen rondkijken om te zien wat de mogelijkheden zijn. We hebben daar geen effecten van gezien, maar je merkt wel dat inlichtingendiensten aan het oefenen zijn geweest.
Als het om terreurorganisaties gaat, zie je wel gevolgen. In Frankrijk is bijvoorbeeld TV5Monde gehackt geweest. Daar zie je dat het inbreken op apparaten die verbonden zijn met het internet gevolgen kan hebben. Als je dan zwarte vlaggen op televisie ziet met enge liederen kan de bevolking daar bang van worden, dat is niet prettig.
Is bijvoorbeeld het afsnijden van de stroomvoorziening van een stad nu niet veel interessanter dan een fysieke bom plaatsen op een vliegveld?
Ik ben geen deskundige op het gebied van terrorisme, maar misschien vinden ze dat helemaal niet interessant. Zoiets is heel vervelend, maar er gaan niet meteen mensen dood. Een paar sluizen tegelijk open zetten, zodat er polders blank staan en er mensen geëvacueerd moeten worden maakt mensen misschien wel heel angstig. Zo heb ik wel meer scenario’s, maar die noem ik niet.
‘Als er een Russisch vliegtuig boven Polen hangt stijgen hier de F16’s op, maar als dit in de digitale wereld gebeurt reageert er niemand.’
Vrijwel alle bedrijven en organisaties zijn verbonden met het internet, maar ze zijn niet altijd goed beveiligd. Wat kan je hier aan doen?
De staat, daar heb je als burger een bepaald contract mee: je mag als burger jezelf niet bewaken, dat moet de staat voor je doen. Ik heb geen wapen maar dat heeft de politie – en dat vind ik ook prima -, maar ik zie daar digitaal geen vertaling van. Als er een Russisch vliegtuig boven Polen hangt stijgen hier de F16’s op, maar als dit in de digitale wereld gebeurt reageert er niemand.
Private bedrijven doen de online beveiliging voornamelijk zelf, maar ze zijn daar helemaal niet goed in. Een energiebedrijf is goed in stroomvoorziening, maar ze hebben niet de expertise om te zien of er Russische hackers in hun netwerk zitten. Om dat goed voor elkaar te krijgen is er geld nodig. Ik zie wel dat Engeland, Frankrijk en Duitsland dat er daar miljarden insteken, maar hier gebeurt dat nog niet voldoende. Inlichtingendiensten moeten beter het internet af kunnen struinen, opzoek naar statelijke activiteiten waarbij de infrastructuur kapot gemaakt wordt.
Fout opgemerkt of meer nieuws? Meld het hier