De recente DDoS-aanvallen op banken, KLM en DigiD – met grote financiële schade tot gevolg – laten zien hoe afhankelijk onze samenleving is geworden van het internet. En hoe kwetsbaar vitale websites en diensten zijn voor dit soort aanvallen, die technisch gezien door nagenoeg iedereen met een internetverbinding georganiseerd kunnen worden. Maar de politie bevoegdheid geven om ‘terug te hacken’, zoals minister Opstelten vorige week voorstelde, lost niets op en betekent slechts een nieuw hoofdstuk in een kat-en-muisspel: ook de aanvallers zijn namelijk bezig hun methoden te verbeteren. Nederland zou zelfs váker doelwit van cyberaanvallen kunnen worden, omdat als politieagenten gaan hacken dat door de hackerscommunity kan worden opgevat als provocatie. Moeten we leren leven met die kwetsbaarheid in onze samenleving en de regelmatige uitval van vitale diensten, of wordt het tijd voor een ander soort oplossing?

Om een einde te maken aan de overlast van buitenlandse DDoS-aanvallen zou een ‘nationaal internet’ opgezet moeten worden waar vitale websites en diensten zoals DigiD en internetbankieren zich als back-up op aan kunnen sluiten. Het nationaal internet wordt direct verbonden met aanbieders van Nederlandse internetverbindingen, zoals XS4ALL, Ziggo en KPN. Buitenlandse internetverbindingen, waar de meeste DDoS-aanvallen vandaan komen, zijn niet aangesloten op het nationale back-upinternet. De vitale websites en diensten blijven zo onder normale omstandigheden wereldwijd toegankelijk, maar bij (zware) DDoS-aanvallen beperkt het leed zich tot onze landsgrenzen, met veel minder overlast en schade tot gevolg. Alleen al het optuigen van zo’n nationale back-up maakt Nederlandse doelwitten, vanwege hun beperkte impact, minder aantrekkelijk voor cybercriminelen.

Zicht op de daders

Natuurlijk zullen er ook DDoS-aanvallen plaatsvinden binnen het Nederlandse netwerk, maar zij zullen minder snel de intensiteit kennen van wereldwijde aanvallen, en vooral ook beter onderzocht en vervolgens geblokkeerd kunnen worden. Daar waar het spoor van politie en justitie naar de daders nu vaak ophoudt bij buitenlandse landsgrenzen, is het bij een binnenlandse aanval goed mogelijk om de gebruikte computers fysiek op te sporen en te onderzoeken hoe zij bij de aanval zijn betrokken. Met zicht op de daders.

Bij een nationaal internet is het goed mogelijk om een intelligent waarschuwingssysteem te gebruiken, waarbij plotselinge aanvallen op de vitale diensten zoveel mogelijk automatisch worden gestopt in samenwerking met de aangesloten Nederlandse internetproviders. Het systeem zou daarnaast geanonimiseerde, statistische informatie kunnen genereren waar een actueel dreigingsbeeld uit ontstaat, niet alleen voor politieonderzoek maar juist ook voor bedrijven en organisaties zelf, die nu in het duister tasten over de recente gebeurtenissen en niet precies weten of en hoe zij zich moeten wapenen. Door de aanvalsinformatie voor alle vitale diensten te verzamelen, te koppelen en te verspreiden, moet het mogelijk worden aanvallen gericht op meer dan één vitale website sneller te signaleren, maar ook aanvallen tegen te gaan door op basis van deze informatie beveiligingsbeslissingen te nemen. Onderzoekers moeten de informatie daarnaast kunnen gebruiken voor onderzoek naar betere beschermingsmethoden.

Koppel veilige netwerken aan elkaar

Alternatieven lijken er niet te zijn: het is ondoenlijk om iedere Nederlandse organisatie de allerbeste DDoS-beveiliging aan te laten schaffen of iedere aanval telkens handmatig af te wenden. Een ‘nationale firewall’, waarbij het Nederlandse internet volledig afgesloten zou kunnen worden van de buitenwereld is geen optie. Niet alleen druist zoiets in tegen het open karakter van het internet, het zou ook principieel onbespreekbaar moeten zijn vanwege massacensuur die het theoretisch in de hand zou kunnen werken – zoals met vergelijkbare systemen bijvoorbeeld in China gebeurt.
De vitale diensten van alle EU-lidstaten zouden moeten werken aan vergelijkbare netwerken, zodat de nationale ‘veilige’ netwerken in de toekomst met elkaar verbonden kunnen worden. Er ontstaat zo een veiliger, stabieler internet waar lokale autoriteiten aanvallen sneller op kunnen sporen en kunnen stoppen. Een veilige haven, die binnen haar grenzen zelfs bij de zwaarste wereldwijde cyberaanvallen stabiel en bereikbaar te houden is, wat de vitale diensten minder aantrekkelijk maakt voor digitale kwajongens maar misschien zelfs ook voor zware criminelen: die kunnen hun tijd beter elders verdoen. En in landen zonder aansluiting op het veilige internet zouden ‘veilige’ verbindingen, bijvoorbeeld op ambassades, kunnen worden ingericht. Als je ze niet kunt verslaan, hou ze voorlopig dan maar gewoon buiten de deur.

Voor twee van de vier systeembanken in Nederland doe ik onderzoek naar alternatieve vormen van beveiliging tegen DDoS-aanvallen, die de afgelopen maanden in aantal en intensiteit zijn toegenomen. Dit stuk schreef ik op verzoek van NRC Handelsblad en nrc.next, en is gepubliceerd op 7 mei.