Wetenschappelijk onderzoek is meestal niet alleen het werk van een individuele wetenschapper maar het werk van een team. Sommige onderwerpen en uitdagingen zijn daarnaast zo groot en veelomvattend dat ze raken aan verschillende faculteiten en dat ze multidisciplinaire oplossingen vereisen. Een team van onderzoekers en ondersteunende staf werkt op de TU Delft samen aan het verbeteren van cybersecurity en het opsporen van cybercrime. Hoe houden we het internet, en daarmee ook onze Nederlandse en Europese samenleving, veilig?
In deze longread spreken we met onze cybersecurity hoogleraren Georgios Smaragdakis en Michel van Eeten.
Alles, maar dan ook echt alles, staat en gebeurt tegenwoordig online – dus onze digitale infrastructuur is kwetsbaar.
Georgios Smaragdakis, hoogleraar cybersecurity
De uitdaging
We moeten ervoor zorgen dat we de digitale infrastructuur kunnen beschermen waar zo’n beetje al onze diensten en producten mee gemoeid zijn: zoals het elektriciteitsnet, het waternetwerk, onze ziekenhuizen, onze defensie, onze overheidszaken en bankzaken maar ook aandelenmarkten en hele productieketens. Georgios Smaragdakis legt het uit: “Ik werk aan cybersecurity maar dat betekent eigenlijk: hoe kunnen we onze wereld, en in het bijzonder de digitale transformatie van onze samenleving, zo veilig mogelijk maken? Hoe beveiligen we het tegen cyberaanvallen? Alles, maar dan ook echt alles, staat en gebeurt tegenwoordig online – dus onze digitale infrastructuur is kwetsbaar.” We moeten ervoor zorgen dat de bad guys geen toegang krijgen tot gegevens waar ze geen toegang tot mogen hebben. “En omdat als deze hierboven genoemde instellingen en diensten onderling verbonden zijn, moeten we ook weten hoe we ze kunnen isoleren als ze toch digitaal aangevallen worden, zodat er geen domino-effect kan ontstaan en er niet nog meer schade ontstaat.”
Georgias Smaragdakis
Georgias Smaragdakis is hoogleraar cybersecurity aan de faculteit Elektrotechniek, Wiskunde en Informatica. Hij bestudeert de technologische kant en ook het geopolitieke spel rondom cybersecurity. Aan de deur van zijn kamer in gebouw Echo hangt een poster voor een hacking-competition, dé manier om studenten in het onderwerp geïnteresseerd te krijgen. Voordat hij naar Delft kwam, werkte Smaragdakis aan de TU Berlin en aan het Massachusetts Institute of Technology (MIT).
Michel van Eeten
Michel van Eeten is hoogleraar cybersecurity bij faculteit Techniek, Bestuur en Management. Hij onderzoekt de beveiliging van bedrijven en overheden, het gedrag van aanvallers, en de impact van beleid. De pers vraagt regelmatig naar zijn visie als er sprake is van datalekken of andere problemen op het wereldwijde web. “Op het gebied van bestrijding van cybercriminaliteit staan we eigenlijk pas aan het begin.”
Het grootste onderwerp
Voor veel mensen is dit onderwerp een ver-van-mijn-bed show. Georgios Smaragdakis: “Veel mensen denken: het is niet mijn probleem, of het onderwerp is te groot, te ingewikkeld. Mensen snappen vaak niet eens helemaal wat het is, of hoe groot het is.” En nee, de hoogleraar verwacht ook niet dat de gemiddelde inwoner van Nederland de volledige complexiteit begrijpt van het digitale netwerk en hoe je dat moet beveiligen. “Maar we hebben wel degelijk een gedeelde verantwoordelijkheid op dit gebied. Omdat tegenwoordig echt alles online staat, bereiken we het punt waarop we ons allemaal bewust moeten zijn van de gevaren en van onze eigen verantwoordelijkheid.” Hij ziet het als een fundamentele verantwoordelijkheid voor bedrijven en overheden om zich goed te beveiligen, en voor de burger om zich tot op zekere hoogte bewust te zijn van alle gevaren die op de loer liggen. “Onvoorzichtigheid online schaadt niet alleen jouzelf, maar zo kunnen criminelen ook toegang krijgen tot andere gebruikers zoals je collega’s of familieleden. Ben je het met me eens, Michel?”
Michel van Eeten: “Jawel, maar ik zie ook een tegenovergestelde trend. Rond het jaar 2000, toen mensen voor het eerst te maken kregen met virussen en malware, was dat volledig je eigen probleem. Je moest dat zelf oplossen, internetproviders deden niets. De overheid deed niets en zelfs softwarebedrijven als Microsoft deden niets. Totdat de laatste doorhad dat het schadelijk was voor het merk; toen werd begonnen met investeren in beveiliging. En ik denk dat gebruikers door de jaren heen netjes hebben gedaan wat hen werd opgedragen; de meeste mensen installeren netjes antivirusprogramma’s en draaien hun updates. Gebruikers hebben tot op zekere hoogte verantwoordelijkheid, maar een steeds groter deel van het probleem ligt niét in handen van de gebruiker.”
Een goed voorbeeld noemt hij de storingen afgelopen juli die ontstonden door een foutieve software-update bij het IT-bedrijf Crowdstrike waardoor luchthavens en ziekenhuizen werden getroffen en tijdelijk niet konden functioneren. Van Eeten: “De eindgebruikers konden hier niets aan doen. Je kunt mensen waarschuwen voor een WhatsApp-bericht waarin staat: ‘Hoi, ik heb een nieuw telefoonnummer en ik zit vast, kun je snel duizend euro overmaken?’ – zeker, tot op dat niveau hebben we allemaal verantwoordelijkheid. Maar burgers konden niet die enorme storingen zoals die in juli plaatvonden, voorkomen.”
Die storingen geven meteen aan hoe groot het onderwerp is: cyberveiligheid raakt aan ziekenhuizen, luchthavens, banken, aan defensie, aan productieketens. Zo’n beetje alles in onze digitale samenleving is verbonden met elkaar online, en onze privégegevens staan in tientallen profielen en databases.
Van Eeten: “Als gebruiker moet je ook veel maar aannemen: bijvoorbeeld dat Apple op de een of andere manier de App Store controleert en geen kwade bedoelingen heeft met de apps die je downloadt. En deze aannames zijn niet verkeerd: zonder een bepaalde hoeveelheid vertrouwen, zouden we niets meer kunnen doen online.”
En nog iets, een bepaald percentage van je organisatie zal wél in die phishing e-mail trappen, dat is gewoon onvermijdelijk, stelt de hoogleraar. “De hack van de Universiteit van Maastricht begon bij een onderzoeker die een verkeerde mail opende. Je kunt als maatschappij van alles doen om dit soort fouten te verminderen maar het percentage dat erin trapt, krijg je nooit naar nul procent. Ook goed geïnformeerde mensen maken nou eenmaal fouten, bijvoorbeeld onder tijdsdruk of als ze moe zijn of afgeleid.” De beveiliging mag dus nooit gebaseerd zijn op de aanname dat de gebruikers hun werk foutloos zullen doen. “Als je een snelweg bouwt, bouw je toch ook een vangrails? Een organisatie die wordt gehackt omdat één gebruiker op de verkeerde link heeft geklikt, heeft in feite geen beveiliging. Als professionals moeten we zorgen dat de beveiliging wel werkt en mensen beschermt, ook tegen hun eigen fouten.”
Als professionals moeten we zorgen dat de beveiliging wel werkt en mensen beschermt, ook tegen hun eigen fouten.
Michel van Eeten, hoogleraar cybersecurity
Smaragdakis: “Mijn punt is dat we het bewustzijn over cybersecurity moeten vergroten, bij gebruikers maar ook bij organisaties, bij overheden, in de wetenschap. Maar ik ben het helemaal eens met Michel dat je bij het bouwen van de systemen ervan uit moet gaan dat er op een gegeven moment iets kapot gaat. Je kunt aannemen dat iemand binnendringt, want dat gebeurt vroeger of later, en dan moet je de mechanismen en tools hebben om te zorgen dat deze indringer zo weinig mogelijk kwaad kan doen, en dat de systemen zoals de elektriciteitsnetwerken of het systeem van een vliegveld alsnog operationeel kan zijn, en dat er bijvoorbeeld geen toegang ontstaat tot de back-up.”
Meten is weten
Ook wetenschappelijke kennis is belangrijk. Michel van Eeten: “Eén van de belangrijke bijdragen die de TU Delft kan leveren op het gebied van cybersecurity, is dat we het meten. Er zijn heel veel mensen die maar wat beweren, er zijn veel aannames die niet helemaal kloppen. En je weet pas hoe het zit als je het onderzoekt en meet. Zo komen we erachter waar de werkelijke risico’s liggen en hoe groot die zijn. Wij zijn als universiteit een onafhankelijk instituut en spelen daarom een heel belangrijke rol op dit gebied.”
Smaragdakis: “Wij kunnen onderzoeken: hoe groot is het probleem? Soms zijn er dingen fout gegaan in een organisatie, soms is het fout gegaan bij de implementatie van een systeem, soms zijn mensen zich niet bewust van bepaalde stappen of protocollen, soms veroorzaakt schaalvergroting security-problemen. Daarnaast ontwikkelen we zelf ook securitysystemen en algoritmes. Maar dat is zoals met alle innovaties: je bedenkt 100 dingen en 99 werken niet. Maar één werkt, en daar doen we het voor.”
Een belangrijke vraag is hoe we het bewustzijn rondom cyberveiligheid kunnen vergroten. Smaragdakis denkt dat onderwijs hier een belangrijke rol kan spelen: “We moeten van cybersecurity een belangrijk onderwerp maken op universiteiten, in het onderwijs, dat doen we ook hier op de TU Delft. De studenten die afstuderen, gaan vervolgens met hun kennis bij de overheid werken, bij waternet of luchthavens, om de systemen daar veiliger te maken. Daarnaast moet het onderwerp in het publieke debat belangrijker worden. En misschien moet cybersecurity zelfs al eerder in het onderwijs aan bod komen, op middelbare scholen al.”
Van Eeten vult aan: “We moeten zeker meer mensen opleiden, want overal in de samenleving op alle niveaus ontwikkelen mensen nu digitale producten en diensten. Dat is prachtig, maar die moeten ook veilig gemaakt worden. Steeds meer mensen hebben de professionele verantwoordelijkheid om hierover te leren. Je kunt ook zeggen: als je geen veilige producten maakt, moet je de boete betalen als er iets misgaat. Zo stimuleer je bedrijven om meer te investeren in het veiliger maken van hun producten. Vanuit Europa ligt er daarom nu grote druk op regelgeving.”
Er komen wel steeds nieuwe beveiligingsrisico’s en -uitdagingen bij, maar het aantal cyberaanvallen neemt relatief gezien niet toe.
Michel van Eeten
Er komen wel steeds nieuwe beveiligingsrisico’s en -uitdagingen bij, maar het aantal cyberaanvallen neemt relatief gezien niet toe.
Michel van Eeten
Een non-event
Het probleem van cybersecurity is dat je pas weet wat het is als het fout gaat. Dat beaamt Van Eeten: “Er bestaat een interessant paper van iemand van Microsoft hierover. Hij zegt dat cybersecurity een non-event is. Iets wat niet gebeurt. Je kunt het niet zien, het lijkt misschien zelfs onbelangrijk.” Hij legt uit dat het feit dat het geen top of mind is bij veel mensen, ook betekent dat het goed genoeg werkt. “Er gaat niet zo heel veel fout.”
Na de Crowdstrike-storing ontstond een discussie omdat duidelijk werd hoe kwetsbaar sommige systemen of belangrijke infrastructuur is. De officiële reactie van de premier was: ‘Dit zal vaker gebeuren in de toekomst, wen er maar aan.’ Michel van Eeten: “Dat zou je kunnen beschouwen als een eerlijke reactie. Je kunt ook zeggen: nee dat is niet goed genoeg, want we vertrouwen op deze systemen. We moeten blijven uitzoeken hoe we het kunnen verbeteren. In de jaren vijftig hebben we ook niet gezegd: ‘een vliegtuig valt uit de lucht, ja, wen er maar aan’. We zijn daarentegen gaan kijken hoe het veiliger kan.”
Dat cyberaanvallen steeds váker zullen voorkomen, denkt hij echter niet. “Er komen wel steeds nieuwe soort risico’s bij. Iedere nieuwe technologie brengt weer nieuwe bronnen van verstoringen met zich mee. Als je de nieuwe risico's toevoegt aan de bestaande risico's, kan het lijken alsof we steeds meer problemen gaan krijgen, alsof we steeds kwetsbaarder worden. Objectief gezien is dat niet waar: het aantal verstoringen neemt relatief gezien juist af. Dat is al jaren aan het dalen. Gelukkig maar! Omdat heel veel mensen heel hard werken om systemen veiliger te maken, en om fouten op te sporen. Daarom is het onderzoek en onderwijs dat we hier doen aan de universiteit ook zo belangrijk.”
“En in werkelijkheid zijn niet zoveel mensen op aarde vaardig genoeg zijn om echt ingewikkelde systemen te hacken. Er zijn een aantal groepen die het kunnen, maar die zijn wereldwijd op twee handen te tellen. Die zijn heel goed en kunnen schade aanbrengen, dat zijn groepen waar de FBI en andere veiligheidsdiensten achteraan zitten.”
Verbeteren
Waar tijd en geld in gestoken wordt, wordt beter. Een goed voorbeeld hiervan is de vlucht die videobellen nam in de Covid-periode. Van Eeten: “In heel korte tijd ging iedereen over op video-vergaderen. In het begin had je allerlei storingen, mensen die inbraken in andermans gesprekken en zo. Dit is allemaal heel snel opgelost. Nu werken Teams en Zoom heel goed. Zo moet je ernaar kijken: de veiligheidsvoordelen om een economie draaiende te houden met videobellen zijn veel groter dan de veiligheidsrisico's ervan. We moeten ons realiseren dat we ergens van afhankelijk zijn, dat er kwetsbaarheden zijn; vervolgens gaat er meer geld naartoe om het beter te maken. Dit kan ook in het nadeel werken van bepaalde sectoren of diensten. Een voorbeeld is het netwerk van defensie: we ervaren niet de afhankelijkheid op dit moment omdat het nooit eerder uitviel. Dan wordt er wellicht onder-geïnvesteerd.”
We moeten niet wachten op de volgende crisis voordat we het bewustzijn over cybersecurity vergroten - bij iedereen.
Georgios Smaragdakis
We moeten niet wachten op de volgende crisis voordat we het bewustzijn over cybersecurity vergroten - bij iedereen.
Georgios Smaragdakis
Is er een oorlog of een crisis nodig om systemen veilig te maken? Van Eeten: “Je hebt trial en error nodig, en je hebt een bepaalde afhankelijkheid nodig om te weten waar je in moet investeren. De beste manier om prioriteiten te stellen, is uitzoeken waar het pijn doet. Als een veiligheidsrisico leidt tot economische schade, beginnen we vaak daar. De reden dat Zoom en Teams in korte tijd zo goed werden, was omdat er in Silicon Valley miljarden in werd gepompt om het te verbeteren in de coronacrisis, want er was geld mee te verdienen.”
Smaragdakis voegt toe: “Je hebt soms wel schokken nodig om vooruitgang te boeken, ja. Maar we moeten niet wachten op volgende crisis voordat we het bewustzijn over cybersecurity vergroten – bij iedereen. We zitten middenin een digitale transitie: steeds meer diensten vinden online plaats, steeds meer gegevens staan op het net. Scholieren en studenten moeten over de beveiliging daarvan leren, we moeten veel meer professionals opleiden, er mag meer onderzoeksgeld naartoe, het mag hoger op de politieke agenda. Het zal steeds belangrijker worden.”
