Een onheilspellend scenario: een kwaadwillende hacker dringt de digitale controlekamer binnen van een van onze sluizen. En dreigt een deel van Nederland onder water te zetten. Hoe zorgen onze geheime diensten er dan voor dat we droge voeten houden?
Zo trekt het JSCU ten strijde tegen hackers en terroristen
Kathelijne
Digitaal forensisch onderzoeker Joint Sigint Cyber Unit - Militaire Inlichtingen- en Veiligheidsdienst
Nassim
Tooler Joint Sigint Cyber Unit - Militaire Inlichtingen- en Veiligheidsdienst
Bas
Software-ontwikkelaar/tooler Joint Sigint Cyber Unit - Militaire Inlichtingen- en Veiligheidsdienst
Femke
Data scientist Joint Sigint Cyber Unit - Militaire Inlichtingen- en Veiligheidsdienst
Robert
Telecomspecialist Joint Sigint Cyber Unit - Militaire Inlichtingen- en Veiligheidsdienst
Tom
Analist Joint Sigint Cyber Unit - Algemene Inlichtingen- en Veiligheidsdienst
Sluizen kunnen zowel op locatie als op afstand bestuurd worden dankzij een combinatie van hardware en software. In dat laatste geval is de kans dat hackers kunnen inbreken op het bedieningssysteem een stuk groter. Met alle risico’s van dien.
Digitaal inbreken
Sluizen vallen onder de verantwoordelijkheid van Rijkswaterstaat, waterschappen, provincies of gemeenten. ‘Het beheer van waterwerken als sluizen ligt echter vaak in handen van bedrijven die zo’n opdracht via een aanbesteding gegund krijgen. We zien nog weleens dat wordt gekozen voor de goedkoopste oplossing’, legt Bas uit. Hij is softwareontwikkelaar bij Joint Sigint Cyber Unit (JSCU), de gezamenlijke eenheid van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen en Veiligheidsdienst (MIVD). ‘Dat houdt vaak in dat het bedrijf dat de opdracht uitvoert, het bedieningssysteem aansluit op internet om op afstand de sluizen te bedienen. Maar veilig is anders.’
Malware veilig verplaatsen
Een hacker kan relatief eenvoudig inbreken op het bedieningssysteem van sluizen. Via het gokken van een wachtwoord of het plaatsen van malware – bijvoorbeeld omdat iemand een besmette bijlage in een e-mail opent of een geïnfecteerde link aanklikt. Bas: ‘De kans bestaat dat zo’n aanval lange tijd onopgemerkt blijft. Maar stel dat het bedrijf dat de sluizen in beheer heeft, merkt dat er iets mis is en zich bij ons meldt. Dan gaat een team van de JSCU op onderzoek uit. Ik ontwikkel binnen dit team software op maat. Passend bij de vragen van het team. Bijvoorbeeld speciale software om de door de hacker gebruikte malware op een veilige manier naar de JSCU te krijgen.’
Grote bak ruwe data
‘Bij een dreiging als deze krijgen we veel ruwe data binnen’, vertelt Nassim. Hij is tooler (softwareontwikkelaar) bij de JSCU. ‘Bijvoorbeeld de complete login-geschiedenis van de sluizen. Daarin kun je zien op welke momenten de hacker is ingelogd en welke commando’s hij heeft ingevoerd. Deze data willen we goed, veilig en naar de letter van de wet vastleggen en doorzoekbaar maken. Ik zie erop toe dat we ruwe data zo inladen dat al onze bestaande systemen daarmee om kunnen gaan. Ook label ik de informatie. Waar komt het vandaan? Onder welk artikel van de wet hebben we het verkregen? Waarom hebben we dit en vanaf wanneer? Daarna kunnen onze data scientists en analisten ermee aan de slag.’
Digitaal forensisch onderzoek
Alle fysieke gegevensdragers komen ondertussen terecht bij Kathelijne en haar team. Kathelijne is als digitaal forensisch onderzoeker expert in het traceren van digitale sporen. ‘Alles wat data bevat onderzoeken wij. Van laptops tot telefoons. Ons werk: data veiligstellen en vervolgens onderzoeken. We maken altijd eerst een kopie van de data. Daarop laten we verschillende geavanceerde tools los. Zo brengen we verbanden in kaart die anders niet snel te ontdekken zijn.’ De data maken inzichtelijk hoe de hacker het systeem is binnengedrongen. Hoe lang deze persoon al meekijkt in de controlekamer en welke systemen en data besmet zijn. Kathelijne werkt veel samen met bijvoorbeeld de inlichtingenteams.
Locaties in beeld brengen
Femke is data scientist en ontwikkelt modellen die de analyse van grote hoeveelheden data mogelijk maken. Daarbij maakt zij gebruik van onder andere Artificial Intelligence, Data Mining en Deep Learning technieken. ‘We hebben bijvoorbeeld een model waarin we wereldwijd IP-adressen gelokaliseerd hebben. Dus als Kathelijne bijvoorbeeld een IP-adres getraceerd heeft, geeft ons model een zo nauwkeurig mogelijke locatie op basis van bijvoorbeeld de aangestraalde masten.’
Kathelijne vult aan: ‘In sommige gevallen kunnen we aan de hand van bekende malware een richting geven aan de oorsprong van de aanvaller.’ Femke: ‘We graven net zo lang in de data totdat we kunnen zeggen om wat voor soort persoon het gaat en in welke regio diegene actief is.’ Dat helpt de inlichtingenteams om tot de betekenis van een hack door te dringen. Waarom juist deze sluizen worden gehackt. En waarom door deze hacker.
Hacker op de korrel nemen
Als duidelijk is in welke richting de mensen van JSCU moeten zoeken, worden deze vragen interessant: waar is iemand, met wie communiceert hij en wat is de inhoud van de communicatie? Robert werkt bij de afdeling Innovatie van de JSCU. ‘Wij maken het mogelijk dat iemand “technisch” op de korrel kan worden genomen. Dat zijn telefoon kan worden afgeluisterd, zijn e-mails kunnen worden onderschept. Om een beeld te krijgen van de omvang van de dreiging. Technologie verandert voortdurend. Ik help ervoor zorgen dat we dit nu en in de toekomst kunnen blijven doen.’
Detectieoplossingen
Wanneer de grote bak met ruwe data toegankelijk is gemaakt binnen JSCU, begint het werk van Tom, van het team Computer Network Defense. Hij onderzoekt de werkwijze van de actor en hoe hij deze kan vertalen naar detectieoplossingen. Daarvoor draait Tom mee in de onderzoeken, samen met de inlichtingenteams. ‘We kijken analysegedreven naar de data die we vergaren. Proberen daar sporen van statelijke actoren in te onderkennen. Dankzij Kathelijne en Femke weten we welke tools de hacker gebruikt, op welke systemen hij het gemunt heeft, en vanaf welk IP-adres hij opereert. Dat helpt allemaal bij het creëren van slimme detectieoplossingen.’
Aanval stoppen of blijven volgen
In dit fictieve geval is dat natuurlijk al te laat: de indringer is al binnen. Tom: ‘Dat levert vrijwel zeker een spanningsveld op tussen veiligheidsbevordering en het inlichtingenwerk.’ Bas: ‘Kijk, aan de ene kant wil je zo’n hacker direct het netwerk uitschoppen, maar aan de andere kant wil je ervan leren. Wie is het? Waarom doet diegene dit en welke plannen heeft hij? Vanuit dat perspectief is het interessanter om zo’n hacker of hackersgroepering een tijdlang ongemerkt te volgen. Zodra we de technologie hebben ontwikkeld om de cyberaanval te stoppen, staan we natuurlijk wel paraat. Om op het juiste moment toe te slaan. Vervolgens dragen we de gevonden methodiek over aan partijen zoals het Nationaal Cyber Security Centrum (NCSC), zodat ook andere sectoren ervan kunnen profiteren.’