‘Geen gedegen rampenplan voor DDoS-aanvallen die het héle internet platleggen’

De recente DDoS-aanvallen op banken zijn eigenlijk nog maar onschuldige speldenprikken. Met een DDoS-aanval kun je in principe ook het héle internet platleggen. Zonder een gedegen rampenplan zijn de gevolgen dan niet te overzien. Maar van die risico’s zijn we ons onvoldoende bewust, waarschuwt Aiko Pras, hoogleraar Internet Security aan de Universiteit Twente (UT).

De Universiteit Twente doet sinds vijf jaar onderzoek naar DDoS-aanvallen. Inmiddels is er een team van vijf tot tien mensen.

Bottleneck van een DDoS-aanval is volgens de hoogleraar het internet of things: alle ‘slimme’ apparaten die we inmiddels in ons huis hebben, zoals verlichting, zonnepanelen en de thermostaat.

We hebben nu al tientallen van die apparaten in ons huis en dat worden er steeds meer. En ook die zijn te hacken, schetst Pras het doemscenario op de site van Universiteit Twente. “Je hebt niet in de gaten dat je koelkast gehackt is, want hij werkt gewoon. Maar ondertussen zit jouw koelkast wel andere apparaten te bestoken.”

Een potentieel gevaar vormen beveiligingscamera’s. Heel veel van die camera’s komen uit China. Daar zitten vaak zogenaamde webdeuren in waardoor anderen naar ‘binnen’ kunnen. Als de camera gehackt wordt, kan de camera vervolgens berichten sturen om het DNS (Domain Name System) plat te leggen. DNS is het systeem dat op het internet gebruikt wordt om namen van computers naar numerieke adressen te vertalen en omgekeerd.

D66-kamerlid Kees Verhoeven heeft in dit verband al eens gepleit voor een verkoopverbod op onveilige IoT-apparaten. Die moeten volgens hem aan minimum veiligheidseisen voldoen.

De Wetenschappelijke Raad voor Regeringsbeleid (WRR) heeft afgelopen voorjaar al eens een rapport uitgebracht: Veiligheid in een wereld van verbindingen: Een strategische visie op het defensiebeleid. De WRR identificeert weliswaar alles wat op het internet is aangesloten, maar niet het internet zelf.

De Nederlandse overheid zou er volgens Pras goed aan doen een commissie in het leven te roepen om een rampenplan op te stellen. Ook zou er een alternatieve communicatiestructuur moeten komen. Ook heb je apparaten nodig die een DDoS-aanval weten te onderbreken. Maar internetproviders schaffen die apparaten volgens Pras onvoldoende aan omdat het voor hen een te kostbare aangelegenheid is.