De ene na de andere DDoS-aanval legt het online bankieren bij Nederlandse banken lam. Dat doet in de media veel stof opwaaien. Vooral veel angstig stof. Mensen horen ‘hackers’, ‘ING’ en ‘Rabobank‘ en gaan er meteen vanuit dat cybercriminelen met hun spaarcenten aan de haal gaan. Een DDoS-aanval betekent echter niet dat hackers bij je bankgegevens komen. Het betekent wel dat niemand bij je bankgegevens kan komen. Een DDoS-aanval is niet meer dan cyberpesterij. Het enige doel is de digitale bereikbaarheid van een bedrijf plat te leggen.
De mensen achter een DDoS-aanval zijn er niet op uit om gevoelige of vertrouwelijke gegevens te stelen. Ze willen geen identiteiten overnemen of geld achteroverdrukken. Hun enige beloning is dat de kranten bol staan over hun acties. Hoe belangrijker het slachtoffer, en hoe vaker het getroffen word, hoe groter de lol. De daders zullen, net als bij de Facebook-rellen in Haren, wel in de YOLO-sferen verkeren.
ING is een leuk slachtoffer, getuige de commotie rond de DDoS-aanval, maar niet uniek. Een DDoS-aanval kan iedere organisatie treffen. Als het maar verwarring, onzekerheid en angst tot gevolg heeft. Maar hoe moet dit met het elektronisch patiëntendossier ? Stel dat dit dagenlang niet bereikbaar is? Een paar dagen wachten met het overboeken van geld is lastig, maar niet levensbedreigend. Een EPD dat uren, of zelfs dagen, niet geopend kan worden is dat echter wel.
Het karakter van een DDoS-aanval is dat organisaties er kennelijk weinig tegen kunnen doen. Het zijn tenslotte juist de beveiligingsmaatregelen die een DDoS-aanval mogelijk maken. Een firewall hoort opeens een gigantisch aantal computers op de digitale deur kloppen. Dat is verdacht, denkt de firewall, dus hij sluit de deuren hermetisch af. IT-beheerders kunnen een extra firewall toevoegen, die slimmer is en het kaf van het koren kan scheiden. Maar die oplossing werkt niet optimaal en zal toch de toegang voor veel betrouwbare en geautoriseerde gebruikers blokkeren.
Kunnen organisaties dan niets ondernemen om de toegankelijkheid van hun systemen voor klanten of patiënten te waarborgen? Jawel, maar dat kan alleen door mensen niet verontschuldigend, maar bestraffend toe te spreken. En welke klantenservice is daartoe bereid? Feit is echter dat een DDoS-aanval alleen mogelijk is wanneer duizenden computers tegelijk toegang zoeken tot het netwerk van een organisatie. Daar wordt de firewall nerveus van en die sluit de toegang af.
Om dat mogelijk te maken, moeten dus duizenden computers besmet zijn met een virus. Dit geeft hen de opdracht om, allemaal tegelijk, op een bepaald moment de servers van een organisatie te benaderen. De beveiligingsbreuk zit dus niet in de systemen van een bedrijf, maar in de individuele desktop- laptop en tabletcomputers van eindgebruikers. ING zou dus eerder boos moeten zijn op computergebruikers dat zij hun beveiliging niet op orde hebben, dan andersom. Wie zich zorgen maakt om de beschikbaarheid van online bankieren, het EPD en andere belangrijke informatiesystemen bij bedrijven en de overheid, moet ook de hand in eigen boezem steken. Of een antivirusprogramma in de eigen computer.
Bram Haasnoot, RealOpen IT
