Foto Jeroen de Bakker

In Nederland is elke dag een organisatie het slachtoffer van een aanval van cybercriminelen. In oktober 2021 verscheen de digitale aanval op industrieconcern VDL in het nieuws, waarbij wereldwijd 105 bedrijven werden geraakt, ook in Nederland. Zo kwam onder andere een groot deel van de productie van auto’s bij Nedcar in Born stil te liggen. Recent nog blijkt ook Log4J, een belangrijke softwaretool voor veel internetapplicaties, een ernstige kwetsbaarheid te bevatten. Het gros van hacks, kwetsbaarheden en ransomware-aanvallen krijgt echter helemaal geen aandacht. De Nederlandse overheid zet veel stappen om te werken aan een cyberweerbare samenleving onder meer met de vorming van het Landelijk Dekkend Stelsel van informatieknooppunten (LDS). Een van de betrokken organisaties in het LDS is Dutch Institute for Vulnerability Disclosure (DIVD), zij zijn kritisch maar hoopvol over de toekomst van het stelsel.

DIVD draagt bij aan meer veiligheid op digitaal gebied, door het preventief waarschuwen van organisaties voor kwetsbaarheden in hun digitale systemen voordat kwaadwillende hackers hier gebruik van maken. Chris van ’t Hof, een van de oprichters van de stichting, en Frank Breedijk, een ethisch hacker die al vanaf het begin bij DIVD is betrokken, vertellen over hun drijfveren, missie en de rol die zij voor het DIVD en de overheid zien in de toekomst.

Frank Breedijk, ethisch hacker DIVD (Foto: Arenda Oomen)

Van kwetsbaarheid tot hack

De urgentie van het werk ligt volgens Chris bij het volgende: ’Wij scannen het hele internet, waarbij er kwetsbaarheden naar voren komen. We zien daardoor de hoeveelheid potentiele slachtoffers, verbazen ons hoe weinig slachtoffers bekend worden en beseffen dat het gros van de wel gehackte organisaties niet in het nieuws komt.’’

Wat wel in het nieuws komt zijn de grote zaken, zoals de kwetsbaarheid van de softwaretool Log4J en die rondom softwareleverancier Kaseya. Hun software werd door Revil, een waarschijnlijk Russische groepering, gehackt. De hackers van DIVD hadden twee maanden daarvoor al acht kwetsbaarheden in de software geconstateerd en gemeld bij Kaseya. Het ontwikkelen van een patch (een update van het systemen waardoor het weer veilig is) was echter net niet op tijd klaar. Dat lek in het systeem betekende miljoenen potentiële slachtoffers, wat uiteindelijk leidde tot duizenden echte slachtoffers. Kaseya werkte samen met onder andere DIVD aan oplossingen voor de hack.

De Kaseya-zaak maakt voor Van 't Hof het belang van een LDS en het bestaansrecht van DIVD weer duidelijk: ‘’Er ligt hier een taak, namelijk het scannen van het internet en het melden van de kwetsbaarheden, die nog niet goed kan worden opgepakt binnen het stelsel.’’

Het LDS is een structuur waarbinnen publieke en private partijen samenwerken om informatie en kennis over cybersecurity uit te wisselen met als doel digitale ontwrichting te voorkomen én Nederland cyberweerbaarder te maken. Dit zijn partijen zoals CERTs (computercrisisteams), sectorale en regionale samenwerkingsverbanden, het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC). Volgens Van 't Hof kan een groot deel van de organisaties in Nederland niet worden bediend door dit LDS: ‘’dat zijn bijvoorbeeld de midden- en kleinbedrijven, websites van sportclubs of volkstuinen en de kleine webshops. Deze gaten in het LDS vullen wij op met ons onderzoek, want wij scannen iedereen.’’

"Het is nu drie voor twaalf is en daarom is er meer snelheid nodig."

Informatiedelen is key

Van 't Hof en Breedijk zijn blij met de nieuwe ontwikkelingen die er nu omtrent het LDS gaande zijn, waarbij er een vernieuwende publiek-private samenwerking wordt opgezet. Want, de overheid is nu eenmaal gebonden aan wet- en regelgeving die zorgt voor beperkingen in de mogelijkheden. Beiden zijn optimistisch dat er nu een wetswijziging voor de Wet beveiliging netwerk- en informatiesystemen (Wbni) in de maak is om het LDS verder vorm te geven. Ook over de aanpak vanuit de overheid rondom de kwetsbaarheid in de softwaretool Log4J zijn zij positief. Het NCSC heeft hier wel de nationaal coördinerende rol op zich genomen. Zij zijn echter wel van mening dat het drie voor twaalf is en dat er meer snelheid nodig is, het particuliere initiatief is daarom nu broodnodig volgens hen.

Van 't Hof: ‘’Ons initiatief is een samenwerking met de overheid, maar we kunnen het niet vanuit de overheid laten organiseren. Een overheidsorgaan kent beperkingen in het ongevraagd scannen en melden van kwetsbaarheden in systemen. Deze komen voort uit bijvoorbeeld de Algemene verordening gegevensbescherming (AVG) en de Wbni. Maar wij opereren vanuit een jurisprudentie, waarin de rechter heeft gezegd dat scannen en melden mag wanneer je handelt in maatschappelijk belang, je het proportioneel doet en het op geen andere manier kan.’’

Op de vraag of de overheid hun taken niet moet overnemen, zijn Van 't Hof en Breedijk duidelijk: ‘’We opereren in een niche waarin de overheid en het bedrijfsleven (nog) niet in kunnen acteren, waarmee we een zeer directe bijdrage aan de nationale veiligheid leveren. Het veilig houden van internet is een taak in het algemeen belang en moet dus bij de overheid liggen, zoals zij dit nu ook doen bij de kwetsbaarheid in de softwaretool Log4j. Maar zolang het DIVD dit op een manier kan en doet die de overheid nog niet kan, hebben we bestaansrecht.‘’ Neemt de overheid hun taak over? Breedijk: ‘’Dan is er wel een ander probleem waar wij als vrijhaven voor creatieve en ethische hackers mee aan de slag kunnen.’’

Chris van 't Hof, mede-oprichter van DIVD (Foto: Arenda Oomen)

Samenwerking overheid en DIVD

‘’Vergelijk ons met het Rode Kruis. Dat zij bestaan, betekent niet dat er geen ambulances en ziekenhuizen meer nodig zijn. Zij komen alleen op plekken waar de overheid niet kan of wil komen’’, vervolgt Breedijk.

Dat een onafhankelijke organisatie dit werk oppakt, is volgens Van 't Hof ook nog om een andere reden belangrijk. "Het gaat om een ongelofelijke hoeveelheid data, waarmee je ook macht in handen hebt. Wanneer een overheid of bedrijf dit in handen heeft, ontstaat al snel een situatie waarin ze het ook zouden kúnnen gebruiken voor andere zaken dan cybersecurity. Alleen die schijn moet en kun je al voorkomen, door het bij een onafhankelijke organisatie als het DIVD neer te leggen."

Het DIVD wijst dan alle organisaties op hun kwetsbaarheden en potentiële lekken. Breedijk vergelijkt een waarschuwing van het DIVD met het luchtalarm. ‘’Wil je het luchtalarm niet horen? Dan heb je pech. Zo ook onze meldingen: je kunt ze wel negeren, maar we zullen ze altijd blijven versturen zodra we een kwetsbaarheid ontdekken.’’

"We opereren in een niche waarin de overheid en het bedrijfsleven (nog) niet kunnen acteren."

Nederland voorloper

‘’Toen Nederland in 2016 voorzitter was van de EU, kwam iedereen hier kijken hoe wij bezig waren op het gebied van de Coordinated Vulnerability Disclosure”, vervolgt Van 't Hof. “We waren en zijn op dat gebied echt voorloper, de Nederlandse digitale poldercultuur is uniek. Dit is in het buitenland wel anders, waar vaak twee smaken mogelijk zijn: het scannen en melden mag echt niet en dit betekent dat er snel tegen je geprocedeerd wordt of de overheid zegt dat er zoveel gehackt wordt, dat beleid daartegen helemaal geen zin heeft.’’

Het feit dat de Nederlandse overheid de activiteiten van DIVD toestaat en zelfs met de organisatie samenwerkt, zien beide DIVD’ers als een duidelijk signaal van welwillendheid vanuit de overheid. Het coördineren en samenwerken is uniek en is een goede en essentiële stap op weg naar meer veiligheid op het internet.

Idealistische hackers

Het werken aan het grotere maatschappelijke goed benoemt Van 't Hof als belangrijke drijfveer voor alle DIVD’ers: ‘’het rechtvaardigheidsgevoel is bij iedereen aanwezig, waardoor je samenwerkt met gelijkgestemden aan een gemeenschappelijk doel: het veiliger maken van het internet en daarmee onze samenleving.’’ Breedijk vult aan: ‘’Zodra mensen het internet niet meer vertrouwen, betekent dat het einde van het internet. Terwijl het internet zo mooi en belangrijk is, ook voor onze samenleving. Veiligheid is een basis voor vertrouwen.’’

Van 't Hof: ‘’Wat ook niet onderschat moet worden is de lol, creativiteit en inspiratie die voortkomt uit het werken bij DIVD, met al die bijzondere mensen waarmee je samenwerkt. De DIVD’ers werken meestal zelf ook in de ICT, maar binnen DIVD hebben ze echt alle vrijheid om te doen wat ze leuk vinden en goed kunnen voor een mooi maatschappelijk doel.’’ Breedijk vult aan: "Het is heel fijn om samen met anderen deze passie te delen en daar je ziel en zaligheid in te leggen.’’

Over DIVD

Dutch Institute for Vulnerability Disclosure (DIVD) is een onderzoeksinstituut dat het internet afspeurt op zoek naar kwetsbaarheden. Wanneer de hackers, die allemaal op vrijwillige basis hun werk voor DIVD uitvoeren, een dergelijke kwetsbaarheid in de systemen vinden, waarschuwen ze de betrokken organisaties. Zo willen ze voorkomen dat hackers met slechte intenties de kwetsbaarheden gebruiken voor criminele doeleinden. Voor de oprichting van DIVD gebeurde dit werk ook al door de individuele hackers, maar met het oprichten van de stichting worden financiële zaken en de aansprakelijkheidskwesties collectief en makkelijker geregeld

DIVD werd twee jaar geleden opgericht door Victor Gevers, Astrid Oosenbrug en Chris van ’t Hof. Frank Breedijk is ethisch hacker vanaf de oprichting. Hij vertelt dat er nu zo’n 60 actief betrokken DIVD’ers zijn. ‘’Daardoor ontstaat er een web of trust. Door het persoonlijke contact kennen en vertrouwen we elkaar. De samenwerking is gebaseerd op ethiek en maatschappelijke verantwoordelijkheid, dit is een belangrijke gemeenschappelijke factor.’’