Microsoft-president Brad Smith deed tijdens zijn keynote op de Consumer Electronics Show (CES) een dringende oproep aan techbedrijven, regeringen en de publieke en private sectoren zich tegen de aanvallen van staatshackers te wapenen. Informatie over dreigingen moet veel beter worden uitgewisseld. ‘We moeten data op nieuwe manieren gaan delen,’ aldus Smith die opriep tot veranderingen in (bedrijfs)cultuur.
De kwestie rond SolarWinds leert dat het volgens hem snel anders moet. Bij onvoldoende en late deling van informatie wordt een dergelijke ramp onnodig groot. Een uitgebreide keten van softwareleveranciers waaronder ook Microsoft bleek na deze hack kwetsbaar.
War Games
Volgens Smith dreigt het zwarte scenario uit sciencefiction-films uit te komen. Computers kunnen in de verkeerde handen komen en veel onheil aanrichten. De Microsoft-president toonde tijdens zijn toespraak beelden uit de film War Games (1983) waarin een knaap onbedoeld inlogt op een computer die is gekoppeld aan het Amerikaanse arsenaal kernwapens. Bijna wordt een beslissingsprogramma ten uitvoer gebracht dat de Amerikaanse tegenaanval inzet bij een nucleaire dreiging. Deze computer kan nauwelijks worden gestopt. Deze film bracht de toenmalige president Ronald Reagan op andere gedachten over nieuwe kernwapens. Anno 2021 hebben we geen film meer nodig om ons op de gevaren te wijzen, zei Smith.
De recente besmetting van een hele keten aan softwarebedrijven laat zien hoe groot de veiligheidsrisico's zijn. Het gevaar is levensgroot aanwezig dat de mensheid de controle over computers kwijtraakt. Na de hack van SolarWinds sprongen de aanvallers van de ene computer naar de andere over. Ze belandden uiteindelijk bij de systemen van de overheid, niet alleen van de Verenigde Staten maar ook van andere landen.
Rusland
Één land heeft deze aanval ingezet, zei Smith zonder daarbij Rusland te noemen. Volgens hem zijn deze statelijke actoren daarbij verder gegaan dan ooit tevoren. Tot voor kort beperkte men zich tot spionage. Alle landen bezondigen zich daar aan. Smith: 'Maar daarbij gelden nog bepaalde normen en regels.’ Bij de aanval op SolarWinds was echter sprake van volledige wetteloosheid. ‘Dit is niet een geval van een natie die een ander land bespioneert. Hierbij werd de totale supply chain aangevallen op massale schaal en willekeurig,’ aldus de Microsoft-topman.
Het gevaar is aanwezig dat de vitale infrastructuur bij zo'n aanval ontwricht kan raken. Hij herinnerde in dit verband aan de Russische cyberaanval op Oekraïne waar enkele jaren geleden 10 procent van de stroomvoorziening in een etmaal werd platgelegd. Zo'n aanval is volledig onaanvaardbaar, aldus Smith. De hele it-sector moet volgens hem samenwerken om dit soort dreigingen tegen te gaan. Een andere reden om gezamenlijk actie te ondernemen vormt het hacken van ziekenhuizen, organisaties in de gezondheidszorg en eerste-lijn-medewerkers in de zorg tijdens de pandemie. Smith: ‘Wanneer we als industrie onze stem niet laten horen, wie doet dan wel?’
Reacties
Of Hollywood een andere rol speelde in het beëindigen van de wapenwedloop dan dat Ronald Reagon een oud-acteur was weet ik niet, ik weet wel dat ik in 2014 in een opinie schreef dat een ketenverantwoordelijkheid van de data niet stopt bij de server. Dat het TrustWorthy Computing (TWC) concept van Microsoft niet om een besturingssysteem gaat en dat als een land zijn gegevenssoevereiniteit verliest (in ruil voor Microsoft-patches) het ook zijn politieke soevereiniteit en veiligheid verliest.
Cyberoorlogsvoering heeft regels maar het zijn andere de regels, niet de regels die generaals gewend zijn en dat is een probleem. Zoals het ook een probleem is dat een cyberoorlog niet zal worden gevoerd met de geïnformeerde deelname van een groot deel van de Amerikaanse technologiesector omdat een contractuele inertie de slagkracht beperkt. En ik hoor Brad Smith maar ik lees ook want eerder werd in een onderzoek naar de kwetsbaarheid van de Amerikaanse maatschappij een vergelijk gemaakt met film Terminator. Uit volkstellingsgegevens bleek dat er 87 mensen in de Verenigde Staten zijn met de naam Sarah Connor. Veel hiervan hebben een mobiele telefoon die verouderde firmware gebruikt, gebruiken een openbare en onversleutelde Wi-Fi en bezoeken artsen die gezondheidszorgverslagen bijhouden op computers met kwetsbare Windows XP!
Misschien wel een aardig stukje on-topic geschiedenis: https://en.wikipedia.org/wiki/RYAN
In de jaren 80 van de vorige eeuw hebben we redelijk op de rand gestaan van een derde wereldoorlog met kernwapens. Nog wel dichterbij dan bij de stand-off bij Cuba in 1962 .
De paranoia bij de Russen was zo groot dat ze dachten dat Amerika een first-strike move wilde maken dat ze deze voor wilde zijn. Uiteindelijk heeft de Russische spion -Oleg Gordievsky- van de KGB die heimelijk samenwerkte met MI6 geholpen om deze "ontsteking" uit het conflict te trekken. Lees het fantastische boek / biografie "The traitor and the spy" van Ben Macintyre.
Realiteit is soms nog gekker dan fictie. Een virtuele wereldoorlog is echt niet ondenkbaar.
Bitcoin overleeft die oorlogsvoering waarschijnlijk niet. Goud wel. Just saying.
De enige manier om een cyberoorlog te overleven met hedendaagse techniek (mits het internet die oorlog overleeft), is een decentrale vorm vinden van waaruit je opereert met kopieën over de hele wereld en encryptie die nergens anders bestaat, of alles offline houden.
In de toekomst zullen supercomputers en artificiële intelligentie er voor zorgen dat de boel offline houden nog de enige mogelijkheid is.
Waarom hebben landen niet een nationaal netwerk apart van het internet voor vitale infrastructuur?
Ach, 'cyberwar' is al een tijdje hot. Allerlei onduidelijk figuren denken erover een mening te moeten hebben. Van wethouders van plattelandsgemeenten die 'op de barricaden staan', ambtenaren die workshops volgen, Tweede Kamerleden, CEO's, en nu Microsoft.
Microsoft dat al decennia een gatenkaas-OS verkoopt. Ook aan die generaals-wethouder, CEO's etc. die gemakshalve en om kostenredenen de IT-beveiliging laten sloffen. Stukje risicomanagement zullen we maar zeggen, of toch niet.
En die 'cyberwar' is in de vorm van 'intergouvernementeel hacken' heus al een paar decennia bezig. Waarbij nu blijkt dat de Russen het nét een stukje beter doen dan de Amerikanen.
Daarbij niet in het minst geholpen door een rammelend testproces en dito systeembeheer bij zowel bouwers als gebruikers.
Maar het is US-cultuur om bij het minste of geringste te roepen dat men wordt aangevallen. Wat Smith roept is volstrekt oud nieuws. Of zou hij binnenkort óók met 'schokkende berichten' moeten komen? De aanval is de beste verdediging, toch?
Dat het NCSC intussen meldt dat men geen meldingen of aanwijzingen heeft van misbruik bij Nederlandse organisaties hoeft dan ook geen verbazing te wekken.