Home Onderwerpen Zoek Over ons Doneer Contact

Doemsdag in Cyberspace

— Een hypothetische constructie —

dr. Albert Benschop
Universiteit van Amsterdam

Wat zou er gebeuren als ...?
    Niets is meer zeker — Alles wordt ontregeld
    Scenario voor een ramp
C-Day — Een CyberDoemScenario
    Stroomstoringen | Betalingsverkeer komt tot stilstand
    Lege schappen bij AH | Krakende beurzen
    Luchtverkeer | Openbaar vervoer: treinen en metro’s
    Communicatie: telefoons die niet meer werken
    Televisie en radio: desinformatie campagne
    Intranetten van bedrijven | Industriële cybotage
    Olie, gas en drinkwater | Een omgekeerde waterlinie
    Stank zonder dank | Kernenergie
    Hulpverlening, alarm- en nooddiensten
    Militaire instellingen en geheime diensten
    Overheid | Internet
Redeloos, radeloos en reddeloos
Het laatste uur dat nooit zal slaan
    Vooronderstellingen en cognitieve functie
    Hoe realistisch? — Theoretisch model met zware condities
    Politieke functie: risico’s van doemscenario’s
Verwante teksten
Index Oorlog in Cyberspace — Internet als slagveld
Index Amerika vs. Rusland — Cyberoorlog in 2016
Index Rusland vs. Oekraïne — Een nieuwe fase in de cyberoorlog?
Index Kwetsbare slimme woningen — Hoe veilig is mijn thuisnetwerk?
rode_knop Internationaal Cyberspace Verdrag — Ontwerp voor een demilitarisering van cyberspace
Index CyberTerrorisme — Dodelijk geweld vanaf het toetsenbord
Index Jihad in Nederland — Kroniek van een aangekondigde politieke moord
Index Regulatie en zelfregulatie van internet
Index Politiek op het internet
rode_knop Netactivisme en wolkbewegingen
rode_knop Toezicht op internet: Echelon & Prism
rode_knop Encryptie: privacy beschermen

Wat zou er gebeuren als...?

Als de goden iemand willen vernietigen, maken ze hem eerst gek, zei Euripidus. Nadat dit gebeurt is, maken ze hem blind.

Niets is meer zeker — Alles wordt ontregeld
Wat zou er gebeuren als in Nederland opeens een cyberoorlog zou uitbreken? Wat zou je daar als gewone burger van merken? Er zouden geen vijandige legers over de grenzen van Nederland trekken. Er zouden geen bommenwerpers ons luchtruim binnenvliegen die onze steden bombarderen. Er zouden geen tanks over onze wegen rijden en er liggen geen oorlogsschepen voor onze kusten. Er zouden helemaal geen militairen in vreemde uniformen die door onze straten trekken. Er zou ook geen avondklok worden ingesteld. De regering mag blijven zitten waar ze zit en het parlement wordt niet ontbonden. Zelfs de leden van het koninklijk huis mogen in hun paleizen blijven wonen en hun hond uitlaten.

En toch gebeurt er iets waardoor ons leven steeds volkomen wordt ontregeld. Allerlei dingen die we als vanzelfsprekend beschouwen, beginnen opeens vreemde kuren te vertonen of functioneren plotseling niet meer. Alles wat zeker leek, wordt onbetrouwbaar, vijandig en zelfs gevaarlijk.

Het is een soort oorlog dat we niet kennen. Met een slagveld dat nergens speciaal en overal tegelijk is. Uitgevochten door onzichtbare krijgers die ons met spookachtige maar uiterst gevaarlijke wapens aanvallen.

We waren gewaarschuwd. De digitale revolutie heeft ons heel veel goeds gebracht. Tegelijkertijd zijn we zo afhankelijk van allerlei computersystemen en netwerken geworden dat deze technologie ook wel eens onze kwetsbare achilleshiel zou kunnen worden. Dezelfde technologie die ons zoveel gemak en vooruitgang heeft gebracht, zou ook wel eens onze ondergang kunnen worden. Er waren zwartkijkende doemdenkers die ons hiervoor waarschuwden: een cyberoorlog zou het einde van onze beschaving kunnen inluiden. Maar we geloofden er niet in. We vermaakten ons met rampenfilms waarin dergelijke scenario’s in full color en 3-D werden voorgeschoteld. Dat was gelukkig fictie, science fictie. Ook al joegen rampenfilms ons de stuipen op het lijf, het was allemaal niet echt, verzonnen en dus amusement.

Scenario voor een ramp
Een echte cyberoorlog is een oorlog waarin twee staten elkaar te lijf gaan met digitale wapens die het functioneren van computersystemen en netwerk in de war schoppen, ontregelen of fysiek vernietigeen. Het zijn wapens die alleen maar uit programmacodes bestaan, uit enen en nullen van software die ervoor zorgt dat computers doen wat de makers van die code beogen.


Trojaanse paarden worden binnen de muren van de computer-beveiliging gesmokkeld.
In mijn analyse van de feitelijke ontwikkelingen op het gebied van cyberoorlog heb ik laten zien hoe dit in zijn werk gaat en wat daarvan tot nu toe de gevolgen zijn geweest. We hebben gezien hoe internet wordt gebruikt om computersystemen en netwerken te verzieken door ze infecteren met kwaadaardige software: virussen, wormen, Trojaanse paarden, botnets en andere vormen van malware. Beveiligingsbureaus hadden ze geteld — er circuleerden op het internet meer dan 75 miljoen van die besmettelijke computerziektes.

Die malware wordt gebruikt om anderen te pesten door bijvoorbeeld de toegang tot websites of webservers te blokkeren. Ze wordt gebruikt om mensen te belagen en te bedriegen of om hen op slinkse wijze geld afhandig te maken. Malware is het favoriete breekijzer van criminelen die via internet inbreken in onze bankrekeningen, op de banken zelf en op de beurzen. Malware is een instrument van oneerlijke concurrentie van malafide ondernemingen die cyberspace gebruiken om hun marktconcurrenten te bestelen van hun uitvindingen, patenten en andere bedrijfsgeheimen.

Malware is een instrument van bedrijfsspionage, maar ook van spionage door civiele en militaire inlichtingendiensten. Over en weer luisteren regeringen van nationale staten elkaar af. Zij breken in op de computers van andere landen op zoek naar staatsgeheimen, bouwtekeningen van wapensystemen, hoogtechnologisch ontwerpen en andere vormen van intellectueel eigendom.

We hebben ook gezien dat er malware bestaat waarmee industriële machines en grote installaties zoals kerncentrales, damsluizen en elektriciteitscentrales via internet kunnen worden ontregeld en vernietigd. Malware is een krachtig wapen in handen van cyboteurs. Dat kunnen handen van criminelen of terroristen zijn, maar ook van van militairen of paramilitairen. Malware is dus geen slechte software, het is goed werkende kwaadaardige en destructieve software.

In een cyberdoemscenario wordt een geconcentreerde en gecoördineerde cyberaanval gelanceerd op een bepaald land waarbij het hele arsenaal van digitale wapens wordt ingezet. Zoals bij elk rampscenario gaat daarbij in het aangevallen land alles mis wat er maar mis kan gaan. Het scenario geeft een beeld van een mogelijke toekomst waarin het ergste wat men zich maar kan voorstellen gebeurt. Een samenleving die sterk verankerd is in digitale informatie- en communicatietechnologie wordt plotseling op alle denkbare zwakke punten via het internet aangevallen. In zo’n fictief doemscenario zou het volgende gebeuren.

Index C-Day: een hypothetische constructie

Stel dat er ergens in de wereld een land is dat erg boos is op Nederland en dat ons een lesje wil leren. Laten we dat land voor het gemak X-land noemen en aannemen dat het niet in Europa ligt. Voor een ‘ideaal’ cyberdoemscenario maakt het niet uit door welk land we worden aangevallen en wat de reden is om een cyberoorlog tegen Nederland te ontketenen. In dit doemscenario is er een staat waarvan de regering heeft besloten om Nederland aan te vallen om het op die manier te dringen om een andere koers te varen.

Het leger van X-land krijgt de opdracht om een strijdplan op te stellen. Generaal Goetz wordt uitverkoren om dit plan op te stellen en binnen een jaar uit te voeren. De generaal kan over alle mogelijke middelen beschikken en krijgt alle bevoegdheden die hem in staat stelden om zijn opdracht met succes te volbrengen.


Muurschildering in commandobunker
van Generaal Goetz
De generaal trok zich terug in zijn commandobunker. Eerst schreef hij uit de losse pols een paar ideeën op die als piketpalen voor het strijdplan moesten dienen. Urenlang had hij informatie in zich opgenomen om inzicht te krijgen in dat rare landje aan de Noordzee. Hij liet zich daarbij assisteren door een landgenoot die jaren in Nederland had gewerkt en die goed op de hoogte was van zijn eigenaardigheden.

Zijn aanvalsplan kon alleen maar slagen als er voldoende nauwkeurige kennis was van de kwetsbaarheden van de Nederlandse infrastructuren die met cyberwapens konden worden aangevallen. Goetz wilde een «zuivere cybercampagne» waarin alleen maar digitale wapens gebruikt zouden worden. Geen straaljagers, geen bommenwerpers, geen vliegdekschepen, geen geweren en zeker geen ge&uniformeerde soldaten. Nederland zou van binnenuit worden opgerold, maar alleen van grote afstand — via internet en andere ICT-systemen.

Goetz schetste in zijn strijdplan de grote lijnen van een zeer geconcentreerde, korte maar overweldigende cyberaanval op Nederland. De titel van zijn plan lag voor de hand: C-Day. Als het aan de generaal lag zou deze CyberDag na twaalf maanden aanbreken.

Generaal Goetz was ingenomen met zijn opdracht. Zo‘n kans krijgt een generaal niet iedere dag en hij zou zijn opdrachtgevers niet teleurstellen. Hij kon al zijn talenten inzetten om de eerste grote cyberoorlog in de geschiedenis van de mensheid aan te voeren. Hij was niet voor niets uitverkoren voor deze bijzonder moeilijke taak. Goetz had veel ervaring met het ensceneren en uitvoeren van gevechten in cyberspace. Hij was de ongekroonde koning van de cyberoperaties. Collega’s noemde hem «de cybertsaar van X-land». Goetz stond bekend als scherpzinnig en sluw. Een echte strateeg die op zijn best was als er in onzekere situaties ingewikkelde problemen moesten worden oplost. Een organisator die grootschalige en complexe militaire operaties kon coördineren. Een leider die ondergeschikten kon stimuleren om het beste uit zichzelf te halen.

Uit heel X-land werden allerlei specialisten aangetrokken die hem konden helpen om zijn strijdplan uit te werken en uit te voeren. Alleen de allerbeste mensen waren goed genoeg. Soms vond Goetz zelfs deze niet goed genoeg en rekruteerde hij zijn supertalenten uit het buitenland. Omdat geld geen rol speelde, kom hij elke specialist aantrekken die hij maar wilde. De staf die hij opbouwde was van alle cybermarkten thuis: computerbouwers, programmeurs, informatici, beveiligingsspecialisten, netwerkbeheerders, beroepshackers, cyberspionnen, codeerders en decodeerders, ontwerpers van industriële controle systemen en aantal kenners van de Nederlandse samenleving.

Behalve Goetz en zijn staf wist niemand hoe het uiteindelijke aanvalsplan er uit zag. Men kreeg er pas zicht op toen precies een jaar later het uur van C-Day sloeg.

Index


Stroomstoringen
Het was winter in Nederland en op een mooie maandagmorgen begint een dag die in een ramp zou eindigen. De dag begint zoals alle andere dagen in Nederland beginnen, met opstaan. Al tijdens het ontbijt gebeurt er iets bijzonders. Het nieuws op de radio wordt plotseling onderbroken door stiltes. Die stiltes duren steeds langer, maar tussendoor kun je nog geluidsflarden opvangen. Iets met een ‘stroomstoring’. Dan valt pas op dat ook het lampje van het koffiezetapparaat staat te flikkeren.

Stroomstoringen komen in Nederland niet zo veel voor. Ze zijn meestal erg lokaal en worden snel opgelost. Maar al snel blijkt dat het geen lokale storing is. Uit het hele land komen berichten over storingen in de stroomvoorziening. Dit is geen gewone storing — er moest iets anders aan de hand zijn.

De regionale netbeheerders stellen alles in het werk om de stroomvoorziening weer op gang te brengen. Maar zij kunnen niet achterhalen wat er nu eigenlijk verkeerd gaat. Op hun controlepanelen zien zij dat alles naar behoren functioneert, maar toch zijn er op alle netwerken aanhoudende storingen waardoor de stroomvoorziening telkens uitvalt.

Elektramasten De beheerders van de elektranetwerken sturen al hun controleurs en onderhoudspersoneel het land in om de kabels en transmissiepunten te inspecteren. Maar ook zij kunnen geen kabelbreuken, kortsluitingen of andere fysieke mankementen vinden. Na vele vergeefse pogingen om de elektrische stroom weer te laten vloeien, beginnen de netwerkbeheerders zich achter de oren te krabben. Wat was er nu in hemelsnaam aan de hand?

De beveiligingsspecialisten van Netbeheer Nederland beginnen hun computersystemen te controleren. Ook de controlepanelen van de centrale computers geven aan dat er niets aan de hand was terwijl er toch grootschalige storingen in het netwerk optreden. Geven die panelen wel de juiste informatie? Is er misschien iets met de besturingscomputers aan de hand?

Dat blijkt inderdaad het geval te zijn. De computers geven wel goede signalen af, maar doen ondertussen dingen waarvoor ze niet geprogrammeerd zijn: ze zorgen uit zichzelf voor storingen in het netwerk. De netwerkbeheerder slaan groot alarm: de computernetwerken van de elektriciteitscentrales zijn besmet met een kwaadaardig virus. De hackers hebben de controle over de computersystemen overgenomen en de storingen worden veroorzaakt door hun online instructies.

De netwerkbeheerders schakelen direct over naar de speciale centrales waarmee stroom uit het buitenland betrokken kan worden. Maar ook de verbindingen met buurlanden zijn door de aanvallers gekraakt: geen van de vijf landverbindingen met Duitsland (Meeden, Hengelo en Maasbracht ) en België (Maasbracht en Borssele) is toegankelijk. Ook de zeeverbinding met Noorwegen (de NorNed-kabel) kan Nederland niet meer van stroom voorzien.

Elektra We waren ervoor gewaarschuwd: vooral oudere, bedrijfseigen elektriciteitsnetwerken zijn een aantrekkelijk doelwit voor cyberaanvallen. Het beveiligingsbedrijf McAfee had hier de vinger op gelegd. Hackers toonden keer op keer wereldwijd aan hoe kwetsbaar de energievoorziening is. De meeste van die verouderde systemen waren destijds met het internet verbonden zonder te denken aan hun beveiliging. De elektriciteitsnetwerken werden online toegankelijk gemaakt om het beheer en onderhoud makkelijker en sneller te laten verlopen. De besturingscomputers konden zelfs met een smartphone op afstand worden bediend. Netwerkbeheerders konden vanaf hun strandstoel nog controleren of alles goed werkte en konden indien nodig instructies versturen om bepaalde stromen om te leiden via andere centrales.

Hackers kregen hierdoor steeds meer mogelijkheden kwamen om clandestien wijze toegang te krijgen tot de computers die de stroomvoorziening aansturen. De grootste zwakte van de hele elektriciteitsvoorziening is de sterk toegenomen onderlinge verbondenheid van de systemen (connectivity) die de stroomvoorziening reguleren. Omdat die systemen meestal draaien op standaardsoftware werd het voor kwaadaardige aanvallers erg gemakkelijk gemaakt om de beveiligingslekken daarvan op te sporen.

Netbeheer Nederland had al in 2010 een Roadmap Smart Grids opgesteld waarin werd opgeroepen om gebruik te maken van slimme energiesystemen die kleinschaliger van opzet en daarom minder kwetsbaar zijn. Die oproep had weinig succes. En daar maakte het team van Goetz handig gebruik van.

Stroomuitval
Winkels en restaurants worden gesloten.
In de operationele commandobunker van generaal Goetz werden twee keer per week strategische besprekingen gevoerd het plan voor C-Day steeds verder werd uitgewerkt. Vanaf het begin stond het thema ‘elektriciteit’ hoog op de agenda. In alle planvarianten zou de stroomvoorziening vanaf het eerste minuut onder handen worden genomen. In het conceptplan had de generaal geschreven: “Eerst verblinden, dan verlammen”. Tijdens de uitwerking werd dit vertaald in het motto: ’Eerst het licht uit en dan de rest.”

Uit het buitenland werd een wetenschapper aangetrokken die de elektriciteitscentrales in de wereld had onderzocht en die precies wist hoe de besturing en het beheer in elkaar steken. De generaal had groot vertrouwen in Mr. Light, zoals hij na zijn presentatie van deelplan Dark_NL werd genoemd. Na een paar maanden kon deze huurling al met een fraaie powerpoint-presentatie laten zien welke centrales er inmiddels al waren gecompromitteerd, welke typen logische Trojaanse paarden en logisch bommen hij in besturingscomputer had geïnjecteerd en hoe hij het probleem van de internationale land- en zeeverbindingen wilde aanpakken.

Daarna werd lang gediscussieerd over gevolgen van het platleggen van elektriciteitscentrales op andere vitale infrastructuren. Veel van die infrastructuren zouden min of meer vanzelf omvallen: stroomuitval brengt een kettingreactie teweeg. Het is het bekende domino-effect: zonder stroom desintegreren vitale systemen en netwerken die weer andere omstoten. Wat is er niet afhankelijk van stroom?

Stroomuitval
Nederlanders herontdekken
de niet-romantische functie van de kaars.
Bij stroomuitval kunnen internetproviders en grote telefooncentrales in Nederland nog vier tot acht uur doordraaien. Daarna moeten er volgens het noodplan mobiele generatoren gaan rondrijden die batterijen opladen. Door de kracht en omvang van de aanvallen en hun gelijktijdigheid zouden deze noodvoorzieningen waarschijnlijk te laat komen en snel overbelast raken. Waarschijnlijk zou er ook te weinig diesel zijn om de generatoren te laten draaien. Voor het aanvalsteam was dit van ondergeschikt belang. Maar het stelde wel een reserveplan op voor het cyboteren van de dieselgeneratoren en het verstoren van de aanvoer van dieselolie. Daarbij werd gebruik gemaakt van een experiment waarbij de in de generator ingebouwd controlecomputer werd gehackt en zodanig gemanipuleerd dat de machine zichzelf rokend in stukken scheurde.

Twee andere problemen waren veel lastiger. Ten eerste zijn niet alle controlesystemen van het elektranet direct aan het publieke internet verbonden. Soms zijn zij indirect van buitenaf benaderbaar, maar in sommige gevallen zitten er moeilijk te overbruggen luchtsluizen tussen de controlesystemen en het internet. Voor die speciale gevallen werd er draadloos ingebroken in de laptops, tablets en smartphones van de systeembeheerders. Er werden mensen naar Nederland gestuurd met apparatuur die op relatief korte afstand mobiele communicatie onderschept en het systeem met malware infecteert. In andere gevallen werden onder personeelsleden besmette USB-sticks verspreid die vervolgens in de besturingscomputers van de centrales moesten belanden.

Het tweede probleem was nog lastiger. Een grootscheepse aanval op de stroomvoorziening zou het hele internet platleggen. Maar dan zouden er ook geen instructies meer verstuurd kunnen worden naar alle andere gecompromitteerde computersystemen. aan de malware waarmee men andere computer- en controlesystemen moest manipuleren. Dit dilemma bezorgde de generaal aanvankelijk veel hoofdbrekens. Nederland zou snel merken hoe simpel en elegant dit uiteindelijk werd opgelost.

Index


Betalingsverkeer komt tot stilstand — banken geplunderd
Geldautomaat In de eerste minuten van C-Day beginnen de transactiesystemen van alle grote banken te haperen. Met een ouderwetse breed opgezette DDoS-aanval wordt de toegang tot de websites van de Nederlandse banken geblokkeerd. Beveiligingsspecialisten doen hun uiterste best om de aanval te stoppen, maar zij kunnen niet achterhalen waar de aanvallen vandaan komen. Zij komen overal vandaan en vooral ook uit Nederland zelf. De botnet die de DDoS-aanval initieert, nestelt zich ook in mobiele telefoons en tablets. De banken blokkeren al het buitenlandse webverkeer, maar dit biedt weinig soelaas. De servers van de banken zijn volledig overbelast.

Als rekeninghouders toch nog toegang krijgen tot hun bank komen overboekingen terecht op rekeningen waar zij nog nooit van hebben gehoord. Het online betalingsverkeer is volledig onbetrouwbaar geworden en stokt.

Geldautomaat Westerstraat Amsterdam
Mensen drommen samen voor geldautomaat
in de Westerstraat van Amsterdam
De aanvallers hadden de geldautomaten nog niet buiten werking gezet (het was een van de ’alleen indien nodig’ opties). Dat was ook niet nodig. De geldautomaten worden bestormd door grote massa’s mensen die proberen nog zoveel mogelijk geld van hun bankrekening te halen. Alleen de snelsten en brutaalsten slagen er in nog wat geld uit de automaten te halen. Al snel zijn alle automaten leeg. Wie geen euro’s op zak heeft kan niets meer kopen.

Lege schappen
In de supermarkten kan niet meer met bankpasjes worden betaald. In de winkels staan steeds grotere drommen klanten voor de kassa. Zij vinden dat zij hun producten zonder betaling mee naar huis mogen nemen. Het personeel wordt radeloos, maar de klanten vinden dat de supermarkt er dan maar voor moet zorgen dat er wel betaald kan worden. De Ahold directie komt in spoedberaad bijeen en besluit om alle AH-winkels te sluiten. Andere supermarkten doen enige tijd later hetzelfde.

Supermarkten en buurwinkels worden niet meer bevoorraad (talloze leveranciers zijn onbereikbaar en hebben hun deuren moeten sluiten). De voedselvoorziening in de steden komt bijna volledig tot stilstand. Sommige lokale middenstanders zijn nog wel bereid om hun vaste klanten op krediet goederen te leveren. Maar ook zij beseffen al snel dat zij daarmee niet lang kunnen doorgaan.

Twee weken voor C-Day injecteerde de krakers van generaal Goetz een geraffineerd virus in de computer- en backupsystemen van de Nederlandse banken. Het virus was zo ontworpen dat het voor alle detectiesystemen volledig onzichtbaar was (stealth en pas in werking zou treden op C-Day. Het virus was behendig geprogrammeerd en kon meerdere functies tegelijk uitvoeren. Het sluisde grote sommen geld naar buitenlandse rekeningen en stuurde daarna van daaruit het geld in fracties van een seconde over de hele wereld naar telkens andere bankrekeningen. De beveiligingsanalisten van de bank, die op dergelijke operaties waren voorbereid, raakten al snel het digitale spoor bijster. Zij moesten lijdzaam toezien hoe de banken werden leeggeroofd.

Tijdens de incubatieperiode was het virus niet helemaal ‘slapend’ geweest. Het smokkelde in kleine onderdelen stukjes van de programmacode van een logische bom naar binnen. Als de e-brom in één keer in het systeem geïmplanteerd zou worden, zou dit onmiddellijk door de firewalls zijn opgemerkt. Maar nu waren de bouwstenen voor de constructie van de logische bom afzonderlijk naar binnen gebracht — de firewall zag er geen kwaad in en liet ze door. Eenmaal aan de andere kant van de beveiligingsmechanismen verzamelen de ‘codebrokken’ zich en verenigen zich tot een logische bom. Deze maakt vervolgens een aantal kopieën van zichzelf die op specifieke doelwitten worden afgericht.

Op C-Day worden die e-bommen tot ontploffing gebracht. Zij benaderen automatisch hun doelwitten (de routes van het netwerk waren in kaart gebracht) en beginnen hun destructieve werk te doen op de zenuwknopen van de banksystemen. Vitale onderdelen van het transactiesysteem vallen plotseling uit. Sommige computers lopen volledig vast en zijn niet meer aan de praat te krijgen omdat de opstartsectie van de harde schijf is vernietigd. Bij enkele computers branden de elektronische circuits door en komt er rook vrij. Voor het saboteren van het banksysteem was dit niet echt van belang, maar een rokende machine geeft wel een duidelijk signaal af, zo hadden de aanvallers bedacht.

Het virus maakt bestanden met klantgegevens zijn onbruikbaar door ze te bewerken met een zware encryptiecode. Als het al zou lukken om deze versleuteling te kraken, dan zou dit maanden in beslag nemen. Bankdirecties ontvangen berichten waarin losgeld geëist wordt om de gegijzelde bestanden van de encruptie te ‘bevrijden’. In een enkel geval wordt hieraan gehoor gegeven. Maar al snel beseft men dat dit geen gewone gijzeling is. Hoeveel losgeld men ook zou betalen, de bestanden zouden nooit worden vrijgegeven.

Elektromagnetische wapens als backup
De aanvallen op banken en andere financiële instellingen worden alleen met cyberwapens uitgevoerd. Hun interne en externe communicatie wordt ontregeld en het transactiesysteem wordt gecompromitteerd. Met louter virtuele middelen worden computers uitgeschakeld of fysiek onklaar gemaakt.

Generaal Goetz overwoog zorgvuldig andere mogelijkheden om gegevensbestanden van de banken te vernietigen. Hij wist dat het ook mogelijk was om met elektromagnetische wapens (EMP) de elektronische circuits van computers te laten doorbranden. Uiteindelijk werd deze optie niet gekozen, maar hij hield ze wel achter de hand. De een aantal plekken in Nederland werden daarvoor EMP-wapens in kofferformaat verborgen. Maar de generaal verwachtte dat de logische bommen hun werk goed zouden doen.

Index


Krakende beurzen
Internationale beurzen zijn ondenkbaar zonder goed en betrouwbaar werkende informatie- en communicatietechnologie. De beurzen bestaan uit honderdduizenden computers, snelle dataverbindingslijnen en een onnoemelijk aantal programma’s en protocollen. De beurs is een permanente stroom van data en informatie over de hele wereld.

Beveiligingsbedrijven die gespecialiseerd zijn in beurssystemen hadden hun handen vol aan de duizenden aanvallen die er dagelijks werden uitgevoerd. De meesten werden afgeslagen, ook al glipte er wel eens een kwaadaardig virus naar binnen en ontfutselden hackers zeer grote bedragen aan het beurssysteem.


De Amsterdamse beurs in paniek.
Beveiligingsbedrijven ontwierpen geavanceerde detectieprogramma’s waarvan gezegd werd dat ze met alle malware zou afrekenen. Bij nadere inspectie bleek echter telkens dat de beurssystemen allang met kwaadaardige software waren besmet. Deze was nog ontdekt omdat hij nog niets had gedaan. Het waren slapende virussen die zich goed gecamoufleerd in onverdachte uithoeken van het beurssysteem hadden genesteld. Ze lagen te wachten tot zij door hun makers werden geactiveerd om te interveniëren in de geautomatiseerde beurstransacties.

Kleine manipulaties met grote gevolgen
Kleine manipulaties vallen buiten de sfeer van de menselijke waarneming. Een milliseconde tijdsverschil is voor ‘insider trade’ van zeer grote betekenis. Een duizendste eurocent verschil valt niet snel op, ook niet als het elke dag x miljoen keer gebeurt.
Als een beurssysteem is gecompromitteerd is het immers niet meer mogelijk om te zeggen wie verantwoordelijk is voor een bepaalde koerswisseling. Door kleine manipulaties met informatie en koersen kunnen op den duur zeer grote effecten worden bereikt. Om beurspaniek te voorkomen worden berichten over dergelijke manipulaties geheim gehouden. Het vertrouwen dat burgers en grote investeerders in de beurs hebben, mag niet in de waagschaal worden gesteld. Slapende virussen kunnen plotseling een beurs verlammen en de hele handel stilleggen. Dat was precies wat er op C-Day gebeurde.

De toezichthouders op de Amsterdamse beurs overlegden met elkaar om te bezien of er herstel- en beschermingsmaatregelen genomen konden worden. De computers van de AEX waren inmiddels stilgelegd. Maar niemand wist hoe het computersystemen van de beurs weer veilig in beweging kon worden gezet.

Kelderende aandelen.
De aandelen kelderen en gaan letterlijk door de vloer. Al snel werd de handel op de AEX stilgelegd.
Binnen een half uur legden de aanvallers de Nederlandse banken, de financiële markten en de Amsterdamse aandelenbeurs volkomen plat. Het publiek verliest het laatste vertrouwen in de financiële instellingen en voelt zich bestolen. Het dagelijkse handelsverkeer komt bijna geheel tot stilstand. De verliezen die worden geleden, nemen al snel een zodanige omvang aan dat sommigen beginnen te spreken over een ‘nationale ramp’. Zij hadden het goed geraden — de ramp zou alleen nog maar groter worden.

Index


Luchtverkeer
Generaal Goetz had lang getwijfeld of de grootste Nederlandse luchthaven moest worden aangevallen. Het risico dat vliegtuigen op elkaar botsten, wilde hij zo klein mogelijk houden. Gezien de grote economische en symbolische betekenis van Schiphol werd besloten om het vliegverkeer volledig stil te leggen.



Maanden van te voren werd ingebroken in het controlesysteem waarmee het luchtverkeer op en boven Schiphol wordt afgehandeld. Het ingebrachte virus was zo verfijnd dat elke specifieke handeling van de vluchtverkeersleiding apart kon worden gemanipuleerd. Hierdoor kon het risico van botsingen worden beheerst. Vanuit de aanvalsserver werden instructies verstuurd waarmee het verkeer op de start- en landingsbanen wordt gecoördineerd en werd de controle over de lichten op de landingsbanen overgenomen.

Ook deze cyberoperatie trad op de vroege morgen van C-day in werking. De dienstdoende luchtverkeersleiders hadden snel door dat er geknoeid was met hun controlesystemen. Zij kregen geen controle over het start- en landingsverkeer. De toegangscodes voor dit systeem waren gewijzigd. Na overschakeling op het eerste reservesysteem bleek dat ook hier de toegangscodes waren gewijzigd, en hetzelfde gold bij het tweede reservesysteem. De hackers hadden hun operatie grondig voorbereid.

De vluchtleiding stelt onmiddellijk de directie van Schiphol op de hoogte. Gezamenlijk concludeerden zij dat door deze cysabotage het hele computersysteem dat het luchtverkeer regelt volkomen onbetrouwbaar was geworden. Er is maar een besluit mogelijk: de hele luchthaven worden direct gesloten. Schiphol sluit haar deuren en er kan niet meer van en naar Amsterdam worden gevlogen.

VliegtuigCrash
Een vliegtuig van Dubai Airlines is gecrashed.
Het mocht een wonder heten dat er slechts één vliegtuig crashte. Een vliegtuig uit Dubai had onvoldoende brandstof om naar een andere luchthaven uit te wijken. Ondanks de heftige protesten van de luchthavenautoriteiten wordt toch de landing ingezet. Er wordt een verkeerde landingsbaan gekozen en het vliegtuig crasht na een mislukte een ontwijkingsmanoeuvre. De landingsbaan was bezet door een ander vliegtuig dat zijn vertrek had moeten afbreken en wachtte op nadere instructies. De schade viel eigenlijk nog mee: de helft van de passagiers overleefden de crash.

‘Bijkomende schade’, mompelde de generaal. Maar het beviel hem helemaal niet. Er waren acht willekeurige burgers bij de crash omgekomen. De meesten waren niet eens Nederlanders maar zakenlieden en diplomaten uit Dubai. Met zijn goed doordachte strijdplan had hij dit juist willen voorkomen. Zijn militaire campagne tegen Nederland was geen terroristische aanslag om zoveel mogelijk weerloze burgers om te brengen. Goetz wilde zijn militaire blazoen schoon houden. Juist daarom hamerde hij erop dat de campagne tegen Nederland met louter virtuele wapens gevoerd moest worden en dat civiele slachtoffers zoveel mogelijk vermeden moesten worden. Hij had zich verzet tegen het plan om Schiphol in een flits uit te schakelen door een combinatie van een virtuele aanval met een aanslag met elektro-magnetische wapens (zoals High Power Microwaves en High Energy Radio Frequency). Juist daarom hamerde hij erop dat de campagne tegen Nederland met louter virtuele wapens gevoerd moest worden en dat civiele slachtoffers zoveel mogelijk vermeden moesten worden.

Index


Openbaar vervoer: treinen en metro’s
Generaal Goetz had zich uitvoerig laten informeren over de aanvallen die in Japan werden uitgevoerd op de gecomputeriseerde systemen voor de regeling van het treinverkeer. Belangrijke steden in Japan werden hierdoor urenlang verlamd. Goetz sprak uitvoerig met de architect van deze aanval. De meesterkraker vertelde hem hoe hij zijn operatie had uitgevoerd. Goetz nam alle details goed in zich op, maar was vooral geïnteresseerd in de technische mogelijkheden om treinsysteem duurzamer —minstens twee tot vier weken— te ontwrichten.

Goetz raadpleegde ook specialisten die bekend zijn met de computernetwerken die in Nederland het nationale en regionale transportsysteem controleren. Zij legden hem uit hoe deze computernetwerken beveiligd zijn en hoe zij gekraakt kunnen worden. Daarbij kwamen zowel de cybotage treinen, metro’s, bussen, vrachtwagens en binnenschepen aan de orde.

Zo leerde hij ook dat de Nederlandse Spoorwegen beschikken over uitgebreide veiligheids- en backupsystemen. Sensoren op het spoor geven aan of baanvakken veilig zijn. Deze sensoren echter gemakkelijk worden gemanipuleerd. Goetz vond een Nederlandse specialist die betrokken was bij het ontwerp van het beveiligingsysteem van de NS. Hij was daar met slaande ruzie vertrokken, omdat zijn voorstellen voor een betere beveiliging telkens onder tafel verdwenen omdat ‘te overdreven‘ en vooral als ‘veel te duur’ zouden zijn. Voor slechts € 25.000 per maand was hij bereid om zijn kennis een jaar lang ter beschikking te stellen van Goetz. De generaal wist dat de combinatie van wrok en geldzucht een sterke impuls is om mensen tot gedurfde prestaties te brengen.

Treinbotsing
Alle seinen staan op groen.
In het hele land botsen treinen.
De materiële schade is enorm,
het aantal gewonden is wonderbaarlijk laag.
Op C-Day worden de gevolgen van deze inspanningen zichtbaar. Tijdens het spitsuur wordt het hele openbaar vervoer getroffen door een stroomuitval en falende computers. De ‘Dutch railman’ had volledige controle over de signaalsystemen van treinen, metro’s en andere vormen van personen- en goederentransport. Zijn programmacodes waren zo subtiel geschreven dat de systeembeheerder minstens een maand nodig zouden hebben om zijn manipulaties ongedaan te maken. Bovendien zou hij dan nog twee andere aanvalsroutes in werking kunnen zetten.

Wachten op treinen die niet komen.
Wachten op treinen die niet komen.
Stationshal van Utrecht CS
Op de trein- en metrostations hopen honderdduizenden mensen samen die hopen dat er snel een volgende kans komt om naar hun werk te gaan. Een uur nadat de aanval is ingezet, beginnen de meeste reizigers het geloof te verliezen dat zij op die dag hun bestemming nog kunnen bereiken.

De beveiligingsspecialisten krijgen geen vat op de zaak. Seinen die op de computerpanelen op groen staan, staan in werkelijkheid op rood, en omgekeerd. Controleurs die die sporen inspecteren geven andere informatie dan op de computerpanelen wordt geprojecteerd. De NS-autoriteiten in Utrecht vinden de risico’s te groot en leggen het treinverkeer in heel Nederland volledig stil. Beheerders van lokale metronetten namen al iets eerder hetzelfde besluit.

Het scheepsverkeer in de haven van Rotterdam wordt gecyboteerd door in te breken in de GPS-systemen. Aanvankelijk was het plan was om direct in te breken in de satellieten die het locatiesysteem van informatie voorzien. Maar dat bleek te hoog gegrepen. Het was veel eenvoudiger om de gps-apparaten te manipuleren die schepen gebruiken om hun koers te bepalen.

Schip in nood.De communicatiesystemen van schepen die de Rotterdamse haven regelmatig bezoeken werden een maand voor C-Day besmet met een virus dat actief zou worden op de dag des onheils. Toen merkten kapiteins en stuurlieden van grote vrachtschepen dat hun digitale locatiesysteem kleine afwijkingen vertoonde waardoor zij niet meer veilig de haven konden binnenvaren. In de loop van D-day hopen zich voor de Rotterdam steeds meer zeeschepen op.

Index


Communicatie: telefoons die niet meer werken
Drie weken voor C-Day waren er in Nederland kleine applicaties voor smartphones verspreid die gratis gedownload konden worden. In die applicaties was een virus ingebouwd dat onmiddellijk oversprong als gebruikers hun telefoon synchroniseerden met hun computers. Op C-Day werd het virus geactiveerden begon het enorme videobestanden te versturen naar alle contactadressen van de gebruikers. De mobiele netwerken en het internet raakten hierdoor overbelast. Aan het eind van de middag kwamen McAfee en Symantic met een gezamenlijk antidotum. Zodra het virus was verwijderd, dook echter na enige tijd een variant van datzelfde virus op. Het virus muteerde, varieerde haar werkwijze en sprong moeiteloos over naar andere applicaties.

Telefoonverbindingen beginnen vreemde kuren te vertonen. Soms zijn de verbindingen alleen maar traag, dan weer haperen ze of zijn ze minutenlang volledig dood. Als de verbinding weer tot leven komt, staat er een dreigende SMS-boodschap van een onbekende afzender te wachten: “Geef je over. Verzet is nutteloos. We weten je te vinden!”

Mobieltjes werken niet meer.

Door de overbelasting van publieke telefoonnetwerken is het praktisch onmogelijk om nood- en hulpdiensten te bereiken. Ondernemingen, overheidsinstellingen en sommige militaire installaties raken volledig ontregeld, omdat zij niet meer mobiel met hun omgeving kunnen interacteren. Er worden online geen producten of diensten meer aangeschaft. Het openbaar vervoer ligt grotendeels stil. Vervoer met auto’s is nog wel mogelijk, maar in de steden zijn de verkeerslichten ontregeld en ontstaan enorme opstoppingen.


De geruchtenmachine komt op gang.
De meest vreemde verhalen doen de ronde.
Wat er precies aan de hand is, weet eigenlijk niemand. Er komt een reusachtige geruchtenmachine op gang waarbij de meest fantastische verhalen de ronde doen. Van het ‘einde der tijden’ tot ufo’s uit verre sterrenstelsels, van een al langer in de lucht hangende staatsgreep in Europa tot aan iets met een internationale cyberoorlog.

Het begon er in ieder geval op te lijken dat Nederland werd aangevallen. Bij sommige burgers ontkiemde een verzetshouding. Zij wilden ‘iets doen’ om het onheil te keren. Maar zij vonden geen aangrijpingspunten vinden voor dit verzet, en al helemaal geen ‘vijanden’ die konden worden aangepakt. “Who can we shoot?”, werd de vraag. Maar er was niemand om op te schieten. Mensen zochten elkaar op om te overleggen hoe zij samen het hoofd konden bieden aan een naderende ramp. elkaar bijstaan, onderlinge solidariteit en zelforganisaties, dat was belangrijk.

Index


Televisie en radio: desinformatie campagne
Radio en televisie zijn nog in de lucht en kunnen worden ontvangen als de huizen weer even van stroom zijn voorzien. Er wordt geen amusement meer uitgezonden. Er is alleen maar nieuws te horen — nieuws over wat er in Nederland gebeurt. Journalisten doen hun uiterste best om te achterhalen wát er aan de hand was. Zij presenteren alle informatie die ze kunnen vergaren. Over stroomstoringen en mensen die geen geld meer hebben om boodschappen te doen, over ernstige problemen bij de banken en beurzen en over chaos in het openbaar vervoer. Het was te veel om op te noemen. Maar zelfs de beste journalisten konden niet uitleggen wat er precies aan de hand was en waarom dit allemaal gebeurde.

Het aanvalsplan van generaal Goetz verliep langs twee sporen. In het eerste spoor werden de computersystemen van vitale infrastructuren door cybotage ontwricht. In het tweede spoor werd de perceptie van de gebeurtenissen gemanipuleerd. Om de publieke opinie te manipuleren zouden de massamedia en het internet in de eerste fase van C-Day nog niet volledig worden uitgeschakeld. Deze kanalen werden gebruikt om te desinformeren, om extra verwarring te zaaien.

Die verwarring werd vooral via de televisie gezaaid. De nieuwsjournaals werden onderbroken door ingelaste filmpjes met extreem verontrustende beelden. Zonder commentaar worden beelden vertoond van neerstortende vliegtuigen, botsende treinen en auto’s die in volle vaart op grote groepen mensen inrijden. In onderschriften worden alleen de plaats en het tijdstip vermeld — allemaal plaatsen in Nederland, en de datum van vandaag. Nog meer beelden een exploderende kerncentrale bij Borssele, brandende oliepijpleidingen in het Botlek gebied en overstromingen in Zeeland. Daarna schakelen beeld en geluid weer over naar bekende nieuwsjournalisten.

Sacha liegt niet
Sacha de Boer kondigt rampen aan. De geloofwaardigheid van de vervalste beelden wordt versterkt door bekende nieuwslezers die kort samenvatten wat we zojuist gezien hebben. In werkelijkheid zijn deze beelden samengesteld uit eerder materiaal en zodanig bewerkt dat het lijkt of de nieuwslezers op dat moment echt verslag doet van een actuele gebeurtenis in Nederland.

Het aanvalsteam uit van Goetz had had een manier gevonden om een serie zelfgemaakte video’s in de uitzending te prikken. De video’s waren maanden eerder in elkaar gezet. Uit India was een video-editor aangetrokken, een specialist op het gebied van video morphing. Met zijn optische stroomtechnologie kon hij de meest vredige alledaagse situaties omtoveren in een schokkend drama. Zijn collega’s zeiden dat hij zelfs in staat was om God op overtuigende wijze te laten vertellen dat hij niet bestaat. Voor C-Day had hij een video voorbereid waarin hij een hakkelende en verwarde premier laat praten over crisis, drama en medeleven. “We weten nog niet hoe het zit, maar we zijn waakzaam en zullen doortastend optreden.” Het meest verontrustend was zijn oproep om toch vooral ‘rustig’ te blijven.


Hakkelende premier zegt dat we er samen
wel uitkomen als we rustig blijven.
In de derde aanvalsgolf wordt de controle over zendmasten en kabelsystemen volledig overgenomen. Alleen de regionale radiostation krijgen nog enige speelruimte. In het aanvalsplan stond: “Regionale radiostations zo laat mogelijk uitschakelen. Niet attaqueren zolang ze bijdragen aan het versterken van «het nationale rampgevoel».”

Index


Informatiesystemen van bedrijven: intranet buiten werking
In het strategisch aanvalsplan werd veel belang gehecht aan het ontregelen en buiten werking stellen van de communicatie- en informatiesystemen van ondernemingen. Het team dat hiervoor verantwoordelijk was, kreeg de opdracht om de intranetvoorzieningen van tweehonderd topbedrijven in Nederland te ontregelen. Deze aanval zou in de tweede fase van C-Day beginnen en daarna stap voor stap worden uitgebreid.

De aanvallers gingen ervan uit dat er slechts een aantal informatiesystemen van grote ondernemingen gehackt hoefde te worden om de Nederlandse economie te verlammen. Verkenningen wezen uit dat een aantal sommige ondernemingen beschikken over degelijke en dus moeilijk te penetreren beveiligingssystemen hadden opgebouwd. Na een paar maanden puzzelen, ontdekten de hackers toch een achterdeurtje die met gepaste hackinstrumenten geopend konden worden.

Misleiding van de sukkels
Bij drie van de topbedrijven vonden de aanvalsteam van Goetz geen beveiligingslekken die gehacht konden worden. Daarom werd hier de indirecte methode gebruikt «social engineering». De aanval wordt gericht op de zwakste schakel in alle beveiligingsketens: de mens. Social engineering is de kunst om mensen te laten doen wat jij wilt, zonder dat ze het zelf doorhebben. Het is de kunst van de misleiding.

Eerst werd een profiel van het bedrijf opgesteld. Het schema van de organisatieopbouw werd van het internet geplukt. Daarna werden een aantal willekeurige bedrijfsnummers gebeld en de namen van de opnemers werden genoteerd. Op basis daarvan werd een fraaie netwerkstructuur van de onderneming opgesteld, met de namen en functies van bijna alle personeelsleden (inclusief telefoonnummer en e-mailadres).

In de volgende belrond stellen de hackers zich voor met de naam van een directielid, een leidinggevende of een systeembeheerder. Het was verbazingwekkend hoe snel de personeelsleden bereid zijn om de gevraagde informatie te geven. In korte tijd hadden de hackers een volledig beeld van de onderneming en begonnen zij individuen te selecteren die over de toegangscodes beschikte van de vitale computersystemen.

Sukkel van de week. «Sukkels» werden ze genoemd. Ze werden klaargestoomd om uiteindelijk de gewenste toegangscodes vrijwillig af te staan. Om inzicht te krijgen in de eigenaardigheden van deze sukkels werden hun persoonlijke profielen in sociale netwerken nauwkeurig doorgespit. Alle mogelijk relevante informaties (leeftijd, opleiding, huwelijkse staat, kinderen, hobby’s, ambities, seksuele voorkeuren e.d.) werden genoteerd. Van die informatie maakten de aanvallers gebruik in de volgende stap: het ‘lospraten’ van de toegangscodes bij de sukkels.

Elke sukkel werd op een aparte manier benaderd. De een werd opgebeld door een leidinggevende met veel gezag, de ander door een zogenaamde bekende collega van een andere afdeling, en volgende door het hoofd van de it-afdeling. Alle sukkels kregen een op hun persoon toegespitst verhaaltje opgedist. Dat verhaal was erop gericht vertrouwen te winnen. Daarbij werd de sukkel ervan overtuigd dat zijn medewerking van groot belang was om een uiterst urgent probleem op te lossen. Sukkels die niet direct bereid waren om een bepaalde toegangscode af te staan, werden de andere dag nog eens benaderd met een andere valse identiteit aannam. De aanvallers kregen uiteindelijk álle toegangscodes die zij nodig hadden om de bedrijfssystemen te hacken.

De intranetvoorzieningen van alle grote Nederlandse ondernemingen beginnen te zwabberen. Op de beeldschermen van het personeel verschijnen er plotseling rare —agressieve en misselijkmakende— teksten en afbeeldingen. Systeembeheerders doen hun uiterste best om het falen van het intranet te corrigeren. Zij zoeken naar een naald in hun digitale hooiberg, maar kunnen niet achterhalen waar welk virus zich heeft genesteld. De meeste beheerders besluiten om hen hele intranet opnieuw te configureren. Maar zodra de computers weer aan het bedrijfsnetwerk worden gekoppeld, raken zij onmiddellijk weer besmet.

Index


Industriële cybotage
Het was tijd voor fase twee van C-Day: de sabotage van industriële productiesystemen. Dit was het meest spectaculaire onderdeel van het aanvalsplan. Voor het eerst in de geschiedenis zou in één vloeiende beweging de hele productiecapaciteit van een land worden verwoest. Uit verschillende landen werden twintig van de allerbeste specialisten gerekruteerd om deze historische missie uit te voeren.

Scada Simatic Wincc
Controlepaneel van Scada Simatic Wincc.

Het merendeel van de moderne productieprocessen wordt aangestuurd door speciale computers, waarvan het door Siemens geproduceerde SCADA-systeem het meest bekend is omdat het bijna overal wordt gebruikt. De industriële controlesystemen zijn de werkpaarden van het informatietijdperk. Ze bedienen de meest uiteenlopende technische operaties: schakelaars, pompen, kleppen van leidingen, toerentallen van motoren enz. Via via sensoren — zoals drukmeters, thermometers, toerentellers — geven zij informatie over de fysieke operaties in productie- en distributieprocessen. Deze processen worden vanaf een controlepaneel in de gaten gehouden en aangestuurd.

Het aanvalsplan van Goetz was op gericht op het overnemen van de controle over de bedieningspanelen van zoveel mogelijk Nederlandse productie- en distributiebedrijven. De aanval werd vergemakkelijkt doordat de meeste productiebedrijven in Nederland werken met bekende standaardsoftware voor de aansturing van hun productiestraten, distributieprocessen en transportsystemen. Voor vaardige hackers was het eigenlijk een koud kunstje om toegang te krijgen tot de SCADA-systemen. De meeste van hen hadden als pubers al geëxperimenteerd met software zoals Shodan waarmee je online kunt zoeken naar controlesystemen die windturbines, energiecentrales, kerncentrifuges en sluizen aansturen.

Signalen verzamelen en decoderen
Sommige bedrijven maakten gebruik van varianten op de standaardsoftware. De SCADA-specialisten van het aanvalsteam waren daarmee nog niet bekend. Daarom werden een paar maanden voor C-Day verkenners naar Nederland gestuurd. Zij posteerden zich met hun laptop in de buurt van de fabrieken en transportsystemen die tot de probleemgroep behoorde. Daarmee vingen zij de SCADA-commando’s op die draadloos werden verstuurd. Alle signalen werden opgeslagen voor verdere analyse door een team van 10 decodeurs. Uit de analyse van de opgevangen signalen bleek al snel welke toegangsprocedures en wachtwoorden er werden gebruikt en met welke commando’s de machinerie gecyboteerd kan worden.

De fabrikanten van hard- en software voor industriële bedrijven hadden inmiddels hun lesje geleerd. De computersystemen en besturingschips (PLC’s) werden beter beveiligd en er werden speciale «luchtsluizen» aangebracht tussen de besturingschip van het controlesysteem en het internet. Maar bij de meeste bedrijven bleven de controlesystemen op afstand bestuurbaar en konden ze zelfs met een gewone laptop, tablet of smartphone worden bediend.

We waren gewaarschuwd
Vanaf 2001 waarschuwde de beveiligingsexpert van TNO, Erik Luijf, al voor de kwetsbaarheid van SCADA-sytemen. Eind december 2011 waarschuwde de Nationaal Coördinator Terrorismebestrijding (NCTb) voor het zelfde gevaar. Aanvallen op SCADA-systemen waren een “potentieel ernstige bedreiging voor de nationale veiligheid” [EenVandaag 14.2.2012].
De gevolgen waren catastrofaal. In het hele land begonnen machines die altijd vlekkeloos draaiden kuren te vertonen. De aandrijving door motoren werd instabiel. Soms draaiden ze te snel, dan weer te traag. De automatische menging van chemicaliën, grondstoffen, metalen, gassen en voedingsmiddelen raakte volledig van slag. Er was geknoeid de nauwkeurig vastgelegde samenstelling van halffabricaten en eindproducten. De vaste ingrediënten van voedingsproducten (vooral van brood, maar bijvoorbeeld ook van pindakaas) varieerden. Zelfs bij farmaceutische bedrijven was geknoeid met de formules van medicijnen.

Het aanvalsteam discussieerde uitvoerig over de vraag of het verantwoord was om te knoeien met medicijnen. Dit zou veel slachtoffers onder burgers kunnen veroorzaken.Hoofdpijn. Omdat dit niet het primaire doel van de campagne was, werd besloten de farmaceutische sector zoveel mogelijk te ontzien — met uitzondering van de hoofdpijnpoeders en laxeerpillen!

Er circuleerde ook een aanvalsschema om in te grijpen op de samenstelling van babyvoeding, waarbij met name de niveaus van ijzertoevoeging zouden worden gewijzigd. Door een subtiele manipulatie van de chemische samenstelling van instant babymelk zouden er dodelijke producten in de schappen komen te liggen. Ook bij dit onderdeel gaven morele bezwaren uiteindelijk de doorslag. De omvang van de aanval werd beperkt tot twee productiefaciliteiten van Nutricia waarin Nutrilon wordt gemaakt.

Index


Olie, gas en water
De humanitaire terughoudendheid van generaal Goetz speelde geen enkele rol bij het bepalen van de aanvalskracht op Nederlandse olieraffinaderijen. De besturingssystemen van de olie-installaties waren grondig geprepareerd. Een paar uur voor het begin van C-Day hadden de oliemannen van het aanvalsteam hun eigen computers aan het werk gezet. Op hun beeldschermen verschenen de controlepanelen van alle olie-installatie in Nederland. Elke locatie werd aangeduid met bedrijfs- en plaatsnaam. Daarnaast hing een gedetailleerde lijst met de tijdstippen waarop bepaalde instructies verstuurd zouden worden. Het toerental van sommige pompen werd opgevoerd, terwijl andere pompen werden uitgeschakeld. De oliedruk wordt opgevoerd en de expansievaten worden afgesloten — alles in een van te voren nauwkeurig berekende volgorde.

Brandende olieraffinaderijen.
Grote branden op alle olieraffinaderijen.
De gevolgen waren catastrofaal. De druk in de olieleidingen werd zo hoog opgevoerd dat zij barstten. Grote hoeveelheden olie spoten in de lucht. Er waren vonken die helse vuren ontstaken. De lucht boven Pernis begon te verduisteren. Steeds dikkere wolken van verbrande olie verstikten de hele omgeving. De burgemeester van Rotterdam beval onmiddellijke evacuatie. Honderdduizenden mensen moesten met de grootste spoed uit het rampgebied worden verwijderd. Het plaatselijke rampenteam goed voorbereid op dergelijke situaties. Ze hadden er regelmatig voor geoefend. Maar ze hadden niet geoefend in een situatie waarin de communicatiemiddelen onbetrouwbaar en grotendeels volledig onbruikbaar zijn. Het was niet mogelijk om voldoende vervoer naar de juiste richting te dirigeren. De vervoersbedrijven, vooral de bussen, waren moeilijk bereikbaar.


Gasleidingen exploderen.
Met de gasleidingen gebeurde iets soortgelijks. De aanvallers verhoogden de gasdruk in de pijpleidingen boven de tolerantiedrempel. Enorme gasexplosies en branden waren het gevolg.

Siberisch koud
De sabotage van de gasvoorzieningen was voorbereid door een kleine maar uitgelezen groep specialisten. Een van die specialisten had in zijn proefschrift geanalyseerd hoe een vergelijkbare operatie in 1981 in TransSiberië werd uitgevoerd door de CIA. Het resultaat van deze operatie was de meest monumentale niet-nucleaire explosie en brand die ooit vanuit de ruimte werd gezien. De explosies in Nederland waren niet zo monumentaal. Ze waren wél indrukwekkend en angstaanjagend.

Het was hartje winter en de temperatuur schommelde rond het vriespunt. Dankzij een aantal intacte reservevoorzieningen bleef het gas nog enige tijd stromen. Maar in alle grote steden raakte de gasvoorziening al snel volledig uitgeput. De gasverwarmingen van huizen, tehuizen, kantoren en fabrieken viel stil. Het werd koud in Nederland. Mensen kropen van ellende onder de behaaglijke wol, in de hoop dat spoedig weer alles «normaal» zou worden.

Maar het werd niet «normaal» en het werd nog abnormaler. Een normale alledaagse zekerheid is dat er water uit de kraan komt als je deze open draait. Op C-Day werd ook deze vanzelfsprekendheid onder de voeten van de toch al angstige burgers in één klap weggeslagen.


Het kraanwater begon steeds strager te stromen. Het smaakte ook anders (een beetje bitterzuur) en het was ook niet meer zo helder als anders (een beetje bruinig).

Het team dat verantwoordelijk was voor de sabotage van de watervoorziening had zich goed geïnformeerd over de fysieke en digitale systemen die in Nederland worden gebruikt om het leidingwater naar miljoenen huishoudens en bedrijven te transporteren. Met grote belangstelling lazen zij een onderzoek uit 1997 gelezen waaruit bleek dat 40 procent van de watervoorzieningen direct met het internet verbonden was en dat 60 procent van de SCADA-systemen via een modem benaderd konden worden.

De hackers van het waterteam bedachten de meest extreme aanvalsscenario’s. Het primaire ‘drinkwaterplan’ concentreerde zich op het knoeien met de systemen die de watervoorziening van de Randstad regelen. Er werd ook een scenario opgesteld voor het vergiftigen van drinkwater door een substantiële verhoging van de chloorniveaus. Normaal zou dit besmette water nooit het publiek bereiken omdat de watervoorraden uitgebreid worden getest voordat zij in de publieke pijpleidingen worden gestuwd. Maar het waterteam manipuleerde de controlesystemen van die reservoirs waardoor het leek dat alles naar behoren functioneerde.

Zelfs bij de meeste geharde cyberkrijgers stuitte dit plan echter op morele bezwaren. Vergiftiging van leidingwater zou ongetwijfeld een paar gewenste psychologische effecten kunnen hebben (mensen raken ervan in paniek), maar zou ook zeer veel slachtoffer onder burgers maken. Generaal Goetz had al vanaf het begin gezegd: “We brengen Nederland op de knieën zonder één schot te lossen en we proberen het aantal burgerslachtoffers zoveel mogelijk te beperken. Wij zijn cybermilitairen, wij winnen de strijd op onze manier — in cyberspace. Wij doden alleen als het echt niet anders kan.”


Waterdruk valt weg.
De uitvoering van uiteindelijke waterscenario was niet al te ingewikkeld. Het drinkwater in Nederland komt uit duizenden pompen en 110.000 kilometer leidingen. Al die waterleidingen worden gecontroleerd en aangestuurd door computersystemen die direct of indirect op het internet zijn aangesloten of draadloos benaderbaar zijn. Er is niet veel technische kennis nodig om deze systemen te hacken, wel om ze effectief te cyboteren. Die deskundigheid was in het waterteam ruimschoots aanwezig.

Het was helemaal niet nodig om gif in de waterleidingen te pompen. Het was voldoende om het gerucht te verspreiden dat het water vergiftigd was. Dat gerucht verspreidde zich snel en zo werd het pyschologisch shockeffect bereikt.

Index


Een omgekeerde waterlinie
We waanden ons altijd veilig achter de dijken. Maar in Nederland liggen sommige polders wel tien meter onder de zeespiegel. Een dijkdoorbraak bij Gorinchem zou rampzalige gevolgen hebben. Meerdere malen was al gedemonstreerd hoe makkelijk het was om de controle over van gemalen, sluizen en dijken over te nemen.

Natuurlijk waren er plannen ontwikkeld om ons voor een waterramp te behoeden. De Waterdienst van Rijkswaterstaat had tamelijk realistische scenario’s opgesteld voor extreme overstromingen. EDO’s werden ze genoemd; scenario’s die gevolgd moesten worden bij een «Ergst Denkbare Overstroming». In die overstromingscenario’s wordt rekening gehouden met waterstandstatistieken, de toestand van waterkeringen, gebiedskenmerken, de maximale hoeveelheid rivierwater die vanuit het buitenland Nederland kan bereiken. Alle details van deze scenario’s zijn opgeslagen op een centraal computersysteem met twee backup-voorzieningen.


Schakels in de veiligheidsketen
Op papier zijn het fraaie scenario’s die door de beste experts in Nederland zijn opgesteld. Voor zes regio’s zijn aparte scenario’s ontworpen toegespitst op aard van de overstromingen. De Taskforce Management Overstroming (TMO) komt onmiddellijk in actie als een van deze regionale rampen plaatsvindt. De scenario’s geven precies aan welke handelingen nodig en mogelijk zijn voorafgaand en tijdens een overstroming, inclusief de evacuatiestrategieën en de bijbehorende informatievoorziening.

Elk scenario is voorzien van een evacuatieplan. Bij een dreigende overstroming kan per postcodegebied bekend worden gemaakt of mensen beter thuis kunnen blijven, moeten vluchten naar een hooggelegen gebied of vluchtplaats in de buurt, of dat zij geëvacueerd worden. Op basis van de tijdslijn voor de EDO kunnen rampenbestrijders voorbereidingen treffen voor het inrichten van vluchtplaatsen, het aangeven van vluchtroutes, het aanleggen van voedsel- en drinkwatervoorraden, het waarschuwen van burgers, het mobiliseren van hulpverlening, het klaarzetten van hulpmaterieel en het afzeggen van grote bijeenkomsten.


EDO scenario met dijkdoorbraken
langs de kust en het IJsselmeer.

Rampenbestrijders kunnen op basis van de tijdslijn voor de EDO voorbereidingen treffen voor het inrichten van vluchtplaatsen, het aangeven van vluchtroutes, het aanleggen van voedsel- en drinkwatervoorraden, het waarschuwen van burgers, het mobiliseren van hulpverlening, het klaarzetten van hulpmaterieel en het afzeggen van grote bijeenkomsten.

De scenario’s zijn bedoeld als ondersteuning in de voorbereidingsfase van de veiligheidsketen. Het ministerie van Verkeer en Waterstaat en het ministerie van Binnenlandse Zaken en Koninkrijkrelaties gebruiken de scenario“s bij het opstellen van draaiboeken voor hoogwater- en stormvloedcrises en het nationaal Responsplan hoogwater en overstromingen. De scenario’s zijn ook van belang voor de bovenregionale afstemming tussen de waterbeheerders en de partijen die betrokken zijn bij openbare orde en veiligheid.

Beveiligingsexperts beweerden dat elektronische inbraken op onze waterkeringen uiterst onwaarschijnlijk en eigenlijk onmogelijk zouden zijn. De bediening van deze systemen vereist immers heel gespecialiseerde kennis en de computersystemen waarmee sluizen, dammen, gemalen en rioleringsinstallaties worden aangestuurd, waren op het allerhoogste niveau beveiligd.

De cybersoldaten van generaal Goetz hadden hun zaakjes beter echter op orde dan onze beveiligingsexperts konden bevroeden. Zij waren slimmer dan gedacht en hadden deze aanval maandenlang tot in de puntjes voorbereid. Zij maakten handig gebruik van de EDO-plannen die door de overheid op het internet waren geplaatst. Daardoor kreeg het aanvalsteam zonder enige moeite een gedetailleerd overzicht van de kwetsbaarheden van de Nederlandse waterkeringen en van de bestrijdingsmaatregelen die in werking zouden treden als zich onverhoeds toch een ergst denkbare overstroming zou voordoen.

Oosterscheldekering
Oosterscheldekering
De Oosterscheldekering is het pronkstuk van de Deltawerken. Deze waterkering bevat grote schuiven die naar beneden gelaten kunnen worden zodat het hoogwater niet de Oosterschelde kan binnen komen. De deuren worden gesloten met behulp van hydraulische cilinders vanuit de bedieningskamer in het Ir. J.W. Topshuis op Neeltje Jans.

Bedieningspaneel van de schuifdeuren
De verwachte waterstanden op C-Day waren vijf meter boven NAP. Ver boven het niveau waarop de sluizen gesloten moeten worden. Een uitgelezen kans om het virus in het computersysteem van het coördinatiecentrum in het Topshuis te activeren. Het zeewaterteam van Goetz had veel geleerd van instructieve filmpje dat Rijkswaterstaat op het internet had gezet over het Monitoren van schuifaanslagen.

Stevinsluizen, Den Oever
Stevinsluizen bij Den Oever
Lorentzsluizen, Kornwerderzand
Lorentzsluizen bij Kornwerderzand
Bij de planning van de cyberaanval op de zeewaterkering ging de generaal uiterst behoedzaam te werk. De dijkspecialisten van Goetz concentreerden zich in eerste instantie op de twee spuisluizen van de Afsluitdijk: de Stevinsluizen bij Den Oever en de Lorentzsluizen bij Kornwerderzand. Die sluizen spuien het binnenwater van het IJsselmeer en keren het buitenwater van de Waddenzee. Al in 2006 was geconstateerd dat de Afsluitdijk na 75 jaar aan een grote opknapbeurt toe was. Door de stijgende zeespiegel is de dijk te laag geworden en de kruin en het binnentalud zijn niet voldoende erosiebestendig. De sluizen voldeden ook toen al niet meer aan de geldende normen. Om de Afsluitdijk weer robuust te maken was zoveel geld (1,8 miljard) nodig dat de regering besloot de beslissing voor zich uit schoof: in 2022 zou het werk aan de Afsluitdijk begonnen worden.

Een wereldwonder
Goetz had groot respect had voor ‘de beste dijkenbouwers ter wereld’. De primaire dijken hadden die Nederlanders altijd al beschermd tegen oncontroleerbare stijgingen van het zeewater. Zij konden met recht trots zijn op hun fantastische verdedigingssysteem tegen hoogwater uit zee: de Afsluitdijk en de Deltawerken (Zeeuwse waterkering). De Oosterscheldekering en de Maeslantkering werden door de American Society of Civil Engineers zelfs tot een van de zeven moderne wereldwonderen verklaard.
Wild Water
De dijkspecialisten verzamelden alle benodigde informatie over waterstanden, de hoogte van het land en de opbouw van het Nederlandse systeem van dijken. Een paar van hen lazen een vertaling van het boek «Wild Water» van Ruben van Dijk.

In deze triller wordt de achilleshiel van Nederland blootgelegd. Het toont de kwetsbaarheid van alles waar de echte Nederlander zo trots op is: de kunst van het bedwingen van water. De eeuwenoude natuurlijke dreiging van het zeewater werd bedwongen met de bouw van sterke dijken. Maar in het boek ontvouwt zich een horrorscenario. Met duivelse sluwheid wordt Nederland door terroristen onder water gezet.

De dijkspecialisten lazen het spannende boek met plezier, maar vooral omdat het zoveel gedetailleerde geografische informatie bevat over het dijkenlandschap van Nederland. Dat was zeer nuttige informatie om de kwetsbare gebieden te lokaliseren die onder het niveau van de zeespiegel liggen.

Generaal Goetz wist precies wat hij met de Nederlandse zeedijken kon doen. Zijn staf had alle doelwitten en aanvalsvarianten op een rij gezet. Maar Goetz gesefte ook wat daarvan de afschuwelijke consequenties zouden zijn. Hij kende de statistieken uit zijn hoofd — vooral de getallen over het aantal dodelijke slachtoffers dat bij grote overstromingen zou optreden en over de materiële schade. Goetz bekeek het schema dat een van zijn medewerkers van de website van een Nederlands onderzoeksbureau (HKV) had geplukt.


Voor alle zes «Ergst Denkbare Overstromingsscenario’s» waren schattingen gemaakt over het aantal dodelijke slachtoffers. Bij de schatting van de bovengrens van het aantal dodelijke slachtoffers wordt verondersteld dat er geen evacuatie plaats vindt; bij de reële schatting wordt rekening gehouden met het aantal mensen dat een rampgebied kan verlaten: 1% voor het kustgebied; 99% voor het rivierengebied en voor het IJsselmeer en Benedenrivierengebied 50%.

Al die cijfers spookten door het hoofd van generaal Goetz. Hoe verleidelijk het ook was, een massieve aanval op de Nederlandse kustverdediging paste niet in zijn ideale scenario voor C-Day. “We gaan ze niet allemaal proberen te verdrinken!” zei hij telkens. Goetz vond het voldoende als een groot aantal mensen in de Randstad ‘natte voeten’ zou krijgen. Het kustscenario werd wel opgenomen in de reserveplannen die in werking zouden treden als het basisplan onvoldoende succes zou opleveren. Het succescriterium was eenduidig en helder: de capitulatie van Nederland.

Het waterteam van Goetz oefende met technieken om de controle over de besturingssystemen van een aantal gemalen en rioleringspompen over te nemen. De generaal liet hen een nieuwsverslag zien waarin werd uitgelegd hoe eenvoudig het was geweest om de controlesystemen voor gemalen en rioleringen van de gemeente Veere over te nemen.

Het SCADA-systeem dat hiervoor werd gebruikt, was door de leverancier voorzien van een afstandsbediening die met inlogcodes en wachtwoorden was beveiligd. Maar de inlogcode was nog hetzelfde als in de handleiding en het wachtwoord was gemakkelijk te raden: “Veere”. Zij moesten er hartelijk om lachen. Maar de generaal waarschuwde dat het niet altijd zo eenvoudig zou zijn. Maandenlang werd er hard gewerkt om slimme software te schrijven waarmee ‘een omgekeerde Nederlandse waterlinie’ gecreëerd kon worden. De omvang van de waterlinie werd beperkt tot de polders in de Randstad. Aan het einde van de tweede fase van het C-day-scenario begon een aantal polders en steden daadwerkelijk langzaam onder water te lopen.


De polders van de Randstad lopen onder.


Het water stijg in de steden.

De autoriteiten die verantwoordelijk zijn als er een regionale waterramp plaatsvindt, kwamen direct in actie. Zij kregen echter geen toegang tot de computersystemen waarop de rampscenario’s voor EDO’s zijn opgeslagen. Ook de twee kopieën op de reservecomputers waren volledig onbruikbaar gemaakt. De Taskforce Management Overstroming (TMO) kon niet meer beschikken over de actie- en evacuatieplannen die ze moest uitvoeren.

Index


Stank zonder dank
De riolering is een infrastructuur waarop afvalwater en hemelwater wordt geloosd, verzameld en getransporteerd. Het rioolstelsel is een ondergronds aangelegd systeem van buizen, putten en pompen. In rioolwaterzuiveringsinstallaties wordt het vervuilde rioolwater vervolgens gezuiverd en daarna weer teruggevoerd als drinkwater.

Generaal Goetz herinnerde zijn team aan de actie van joodse kolonisten in Kfar Etzion die in 2010 opzettelijk Palestijnse akkers met rioolwater vervuilden. De wijngaarden van de Palestijnen werden volledig vernield en het drinkwater werd vervuild. Zoiets moest ook in Nederland mogelijk zijn, maar dan op afstand, via de computers waarmee de pompen van het rioolstelsel en de waterzuiveringsinstallaties worden bediend. De leden van zijn rioolteam (the skunks) lieten zich inspireren door een Australische hacker die al in 2000 met behulp van een draadloze radio en wat gestolen software een miljoen liter rioolwater in de rivieren en kustwateren van Maroochydore in Queensland loosde. Alles wat in het water leefde ging dood, de rivieren werden zwart en de stank was ondragelijk. Er waren andere incidenten bekend waarbij hackers een methaangasbel in het systeem lieten ontstaan ontstaan en tot ontploffing brachten.

De kern van het rioolscenario was snel duidelijk. Er zou worden ingebroken op het geautomatiseerde besturingssysteem van de riolering en de computers die het zuiveringsproces aanstuurde zouden worden verstoord. Er werd een speciale studie gemaakt van de mogelijkheid om methaangas (dat onderdeel is van het rioolgas) tot ontploffing te brengen.

Putlucht
Stank van rotte eieren. Putlucht is het rioolgas dat we ruiken als er problemen zijn met de afvoer van het afvalwater. Rioolgas is een gasmengsel dat ontstaat door de vergisting van organisch afval in rioolwater. Het bestaat hoofdzakelijk uit methaan (CH4), waterstofsulfide (H2S = rotte eieren!) en kooldioxide (CO2).

Rioolgassen kunnen zeer giftig zijn. Methaangas wordt gebruikt om elektriciteit op te wekken. Het rioolteam van Goetz had vooral aandacht voor de explosiegrenzen van methaangas (ondergrens van 5,9% en bovengrens van 16%) en voor de technieken om methaanexplosie in gang te zetten.

In de loop van de middag van C-Day begon Nederland het te merken. Een steeds sterker wordende geur van rotte eieren begon zich door de grote steden te verspreiden. Het meest ondragelijk werd de lucht in Amsterdam. De grachten veranderden in een openbaar riool. Vissen in de grachtengordel kwamen in grote getale boven drijven. De stank van rotte vis en rotte eieren vermengde zich. Uit het hele land kwamen er berichten over akkers en weilanden die volliepen met rioolwater. Vanuit diverse zuiveringsinstallatie werd melding gemaakt van onverklaarbare explosies en branden.

Het rioolteam van Goetz kon de commandobunker in X-land niet ruiken wat er in Nederland gebeurde. Op hun eigen computerschermen was wel te zien dat de aanval volledig volgens plan verliep. The skunks werden gefeliciteerd met hun succes.

Index


Kerncentrale - reserveplan
De controle over de energievoorziening in Nederland was bijna volledig in handen van de cyberaanvallers. Het transport en de distributie van olie, gas en elektra waren grondig ontregeld.

Kerncentrale Borssele
De enige energiebron die nog niet was aangetast was die ene kerncentrale, in Borssele. Kerncentrales worden streng beveiligd. Voor de veiligheid van de centrale zijn de systemen ondergebracht in een bunker die bestand is tegen extreme omstandigheden van buitenaf. De omhulling van de reactor is gebouwd om een waterstofexplosie te voorkomen. Hij is bestand tegen een overstroming, maar ook tegen een aardbeving van 5.2 op de schaal van Richter.

De kerncentrale Borssele gold als een van de veiligste centrales ter wereld. Het atoomteam van Goetz deed een aantal pogingen om virussen in het computersysteem te brengen. Maar zij slaagden er niet in om het besturingssysteem van de kerncentrale te hacken, omdat het bijna volledig fysiek gescheiden was van externe netwerken. Alleen de kantoren hadden directe verbindingen met het internet.

Het atoomteam wist dat de kerncentrale in Borssele was gebouwd door Siemens KWU en werd aangestuurd met het door dat bedrijf gefabriceerde SCADA-systeem. Een aantal teamleden was zeer vertrouwd met deze systemen. Sommigen waren zelf actief betrokken geweest in de bouw van klonen van het Stuxnet-virus waarmee in Iran uraniumverrijkingscentrales waren vernield. Hun besturingssystemen waren nagenoeg identiek met die van de drukwaterreactor in Borssele.

De vraag was hoe het besturingssysteem van Borssele gehackt kon worden en aan welke knoppen gedraaid moest worden om de centrale te destabiliseren (om vervolgens zichzelf te vernietigen). Via een onderhoudsmonteur werd er een besmette USB-stick in de centrale gebracht. Tijdens een bezoek aan een technische beurs had hij de stick als relatiegeschenk ontvangen. Hij hoefde zijn stick maar heel even in een van de computers van de centrale te stoppen om het hele systeem te besmetten. Dat deed hij niet. Hij stopte de USB-stick wel in zijn laptop om te kijken wat er op stond (een grappig filmpje en een spelletje). Met zijn laptop kon hij in de centrale draadloos allerlei controles uitvoeren. Zijn laptop maakte gebruik van het wifi-systeem dat met de computers van de centrale verbonden was. Langs die weg werd het hele besturingsysteem gecompromitteerd. De kwaadaardige worm brak zichzelf in stukken om zo onopvallend door de beveiligingscontrole heen te komen. Aan de andere kant van de firewall zette de worm zich automatisch weer in elkaar. Het leek een beetje op de smeltende robot T-1000 in de film The Terminator.

Van klep tot klap
Hoe de centrale precies gecyboteerd moest worden, kostte het atoomteam veel hoofdbrekens. Er waren verschillende mogelijkheden. In het eerste scenario zou de omloopsnelheid van de stoomturbunie zo worden gemanipuleerd dat deze volledig zou vast lopen (terwijl in de regelzaal alle lichten op groen bleven staan). De pompen van het noodvoedingswater zouden uitvallen en niet meer kunnen worden gestart. Onderdeel van dit scenario was manipulatie van de kleppen van de noodstroomdiesels.

In het tweede scenario zou men via een drukontlastingsleiding lucht naar binnen laten stromen. Deze leiding behoort afgesloten te zijn door vier afsluiters die zich buiten het omsluiting bevinden. Deze afsluiters konden worden opgengezet terwijl de meters in de regelzaal aangaven dat ze dicht waren.

Uiteindelijk werd gekozen voor een derde scenario dat uitblonk door eenvoud en technisch vernuft. Daarbij zou alleen maar de stand van een schuifklep in een koelcircuit heimelijk worden veranderd. Hierdoor zou een domino-effect optreden dat begint met een betrekkelijk geringe storing in het secundaire koelcircuit van de centrale. Die storing zorgt ervoor dat de temperatuur in het primaire koelwater stijgt. Hierna schakelt de reactor zichzelf binnen een seconde automatisch uit door middel van een noodstop.


Radioactieve gassen ontsnappen aan de centrale
Door verval van radioactieve splijtingsproducten ontstaat er restwarmte die door het primaire koelsysteem moet worden afgevoerd. Het eerder opgewarmde primaire koelsysteem slaagt daar niet in. De druk in het systeem loopt zo sterk op dat een veiligheidsventiel openspringt. Dat ventiel blijft open staan ook nadat de druk voldoende is gedaald. Op het controlepaneel kunnen de operators niet waarnemen dat het ventiel nog open staat. Via het open ventiel gaat een groot deel van de primaire koelvloeistof verloren, waardoor er in de leidingen van de reactor stoombellen ontstaan. De koeling in de reactor is niet meer voldoende en de temperatuur blijft oplopen. De daarop volgende explosie verspreidt grote massa’s radioactieve gassen in de atmosfeer.

Om helemaal zeker te zijn, voerde het atoomteam een experiment uit in een kerncentrale van een buurland. Het volledige scenario werd in vergelijkbare condities gesimuleerd. Alles leek te kloppen: met slechts één knop een hele grote knal.

Het aanvalsplan om de kerncentrale in Borssele te laten exploderen, zou slechts worden uitgevoerd als állerlaatste redmiddel van de hele campagne. Goetz was er vast van overtuigd dat het niet zover zou komen. Toch zorgde hij ervoor dat het plan volledig operationeel werd uitgewerkt en dat alle voorbereidingshandelingen werden getroffen die nodig waren dit afschuwelijke middel in te zetten. Zonder dat ze het wisten zaten op C-Day honderdduizenden Nederlanders naast een nucleaire bom die op scherp stond. Zij waren slechts één toetsaanslag verwijderd van een monsterlijk vernietigingswapen.

Index


Hulpverlening, alarmdiensten en nooddiensten
Het cyberleger van generaal Goetz had Nederland binnen een paar uur tijd een enorme dreun verkocht. In het hele land braken over alle linies rampen los. Steeds meer mensen verkeerden in noodsituaties waaruit zij gered moesten worden. Velen raakten zwaar gewond geraakt en hadden dringend medische zorg nodig.

Alles wat verkeerd kan gaan, ging ook daadwerkelijk verkeerd. Hulpverleningsorganisaties en nooddiensten, waarvan verwacht wordt dat zij in crisissituaties nood lenigen en ellende verzachten, verkeerden zelf in staat van verwarring. Hun communicatiestructuur was kreupel geslagen. Politie, brandweer en ambulancediensten waren nauwelijks bereikbaar omdat er geknoeid is met de inbelvoorziening. De hulpverleningsorganisaties konden hun activiteiten niet meer coördineren.

De meeste systemen voor noodalarm waren onbetrouwbaar geworden. Burgers werden niet meer gewaarschuwd voor de uitstoot van gevaarlijke chemische stoffen uit fabrieken die door cyberaanvallen zijn ontregeld, of voor dreigende overstromingen in de Randstad. .

Door de combinatie van niet-werkende alarmsystemen en onbereikbare politie steeg het aantal inbraken en plunderingen met de minuut. Als de politie probeerde in te grijpen, stond zij tegenover steeds grotere massa’s muitende burgers die zich niet laten verjaren. Hier en daar werden er waarschuwingsschoten afgevuurd. Maar bijna overal moesten de agenten zich terugtrekken om het vege lijf te redden. Vooral in de centra van de grote steden begon de openbare orde te verdwijnen.

Nog schrijnender was het falen van de medische hulp. Artsen en verplegers in de ziekenhuizen werden overstelpt met gewonden. Politieagenten werden ingezet om ingang van de eerste hulp te bewaken. Mensen waren bereid te vechten om hún gewonde alsnog naar binnen te krijgen. De medische staf en het bewakingspersoneel begonnen te vrezen voor hun eigen leven.

Als het echt niet anders kan
Met enige afschuw keek generaal Goetz naar de beelden van vechtende mensen voor de deuren van ziekenhuizen. Hij was een in de strijd geharde militair, maar menselijk lijden en bloedvergieten kon hij slecht verteren. Toch was hij verantwoordelijk voor wat hij zojuist gezien had. Hij kon er niet trots op zijn en richt zijn aandacht op het beeldscherm waarop het verloop van alle cyberoperaties in grafisch heldere patronen wordt weergegeven.

Hij zoemde in op het cluster met alle operaties die voor de ziekenzorg van belang zijn. Daar stond een nog niet-geactiveerd aanvalsplan op de computersystemen van ziekenhuizen. Met een speciaal ontworpen «medi_virus» zouden een paar grote ziekenhuizen worden besmed. De aanvalsserver geeft het virus instructires om zich verder te verspreiden. Het virus zoekt op het netwerk naar andere apparaten en richt zich speciaal op het kraken van het account van de systeembeheerder. Als dit lukt zet het virus een http-server op die doorgaat met de verspreiding en tegelijk instructies ophaalt bij andere servers op besmette pc’s. Het virus was zeer effectief omdat daarin krachtige algoritmes waren ingebouwd die zelfs de sterkste wachtwoorden in korte tijd konden kraken.

Goetz wist dat hij met dit virus alle ziekenhuizen in Nederland in enkele minuten volledig virtueel plat kon leggen. Maar dat zou niet gebeuren. Voor zo’n operatie zou hij nooit het groene licht geven.

Index


Militaire instellingen en inlichtingendiensten
Aan de cyberaanval op militaire instellingen waren geen restricties verbonden. Dat waren zuiver militaire en dus legitieme doelwitten die in een cyberoorlog zonder morele restricties of politiek-juridische mitsen en maren konden worden aangevallen. Tegelijkertijd waren die militaire doelwitten natuurlijk erg goed verdedigd en dus moeilijk te kraken.

Het Free-Fight team van Goetz bracht het informatie- en communicatiesysteem van het Nederlandse leger in kaart


Free Fighters
dat —bijna!— helemaal van openbare netwerken is afgescheiden en dat bovendien zeer massief is beveiligd. Er werden zeer geavanceerde technologische middelen in stelling gebracht om de communicatie met een paar voor Nederland relevante militaire satellieten af te luisteren. Maar de berichten die via satellietverbindingen worden verstuurd, zijn zwaar gecodeerd. Het decoderen van deze berichten zou veel tijd in beslag nemen.

De capaciteit van het encryptieteam moest worden opgeschroefd. Uit de hele wereld werden vooraanstaande deskundigen aangetrokken. Sommigen waren niet geschikt of niet bereid om onderdeel uit te maken van het team. Maar meestal waren zij wél bereid om tegen een substantiële vergoeding in een luxueuze omgeving hun licht te laten schijnen over de versleutelde signalen die van militaire satellieten waren afgetapt.


Encryptie: het coderen (versleutelen, vercijferen) van informatie op basis van een bepaald algoritme. Decryptie: het decoderen (ontsleutelen, ontcijferen) van geëncrypteerde informatie.
Goetz coördineerde zelf de werkzaamheden van het encryptieteam en maakte handigl gebruik te maken van de ‘nuttige idioten’ die bereid waren om voor een appel en een ei hun schedels te lichten. Goetz hield wel van ingewikkelde puzzels. Een paar weken voor C-Day slaagde het encryptieteam erin om een aantal communicatiecodes te kraken. Zij identificeerden gebruikersnamen en wachtwoorden, mobiele inlogprocedures en apparatuur voor stemherkenning.

Door de omvang en diversiteit van de cyberaanvallen zou de interventiecapaciteit van de defensieorganisatie binnen de kortste keren tekort schieten. Om hulp- en steundiensten te mobiliseren, is het Nederlandse leger in sterke mate afhankelijk van civiele informatienetwerken. In de eerste fase van C-Day worden de verbindingen tussen civiele en militaire netwerken onder cybervuur genomen. De mobilisatie van militairen en reservisten voor rampenbestrijding kwam hierdoor nauwelijks van de grond. Jarenlang was geoefend op actiecoördinatie bij rampenbestrijding, maar de communicatiemechanismen waarmee dit gebeurt, waren op dat moment vergaand gedesintegreerd.

Onder leiding van de voorheen altijd goedlachse premier kwam de Nederlandse regering een uur na het begin van C-Day bijeen. De ministers beseften dat er iets buitengewoons aan de hand was en gaven de commandant van de strijdkrachten de opdracht om zo snel mogelijk het leger naar de rampgebieden te sturen . “Vastberaden doortastendheid” noemde de premier dat. Maar de soldaten konden niet meer worden gemobiliseerd en de hulpacties niet meer gecoördineerd. Bovendien was het aantal rampgebieden zo groot dat men zich noodgedwongen op enkele gebieden moest concentreren.

AIVD Logo
AIVD

Tegen de stroom in. Alleen dode vissen drijven met de stroom mee.
Vanaf het begin van zijn opdracht had Goetz geworsteld met twee onzekerheden. Hoe goed zijn de Nederlandse inlichtingendiensten? En met welke cyberwapens zou het Nederlandse leger terug kan slaan? Hij kende de reputatie van de algemene en militaire inlichtingendiensten in Nederland. Er werkten hoog gekwalificeerd personeel en hun leiders waren slim en nuchter. AIVD en de MIVD werkten samen in Europees en Navo-verband. Zij waren tamelijk goed uitgerust zijn om de sporen van een cyberaanval terug te voeren tot de bron.

Goetz vertrouwde op in zijn INH-team (I’m Not Here). Dat team zorgde ervoor dat alle connecties die de commandobunker werden gebruikt om Nederlandse doelwitten aan te vallen, nooit en te nimmer konden worden teruggevoerd tot de oorsprong. Goetz moest risico’s nemen. Om dit risico zo klein mogelijk te houden, worden de computersystemen van alle inlichtingendiensten tegelijkertijd aangevallen met de meest verschillende cyberwapens. Naast massale DDoS-aanvallen op publieke en geheime servers, worden ook gerichte aanvallen uitgevoerd op de meest geavanceerde en sterkst beveiligde inlichtingen- en wapensystemen. Op C-Day zat een groot deel van de cruciale functionarissen te kijken naar flikkerende beeldschermen en andere tekens van elektronische malaise.

Index


Overheid: virtueel impotent
In vergelijking met de meeste militaire installaties waren de computer van de andere overheidsinstellingen een zacht eitje voor de cyberstrijders van Goetz. De digitale Achilleshiel was snel gevonden. De virtuele infrastructuur van de overheid bestaat uit zeven onderling verweven netwerken die gebruik maken van één en dezelfde glasvezelkabel. Die hoofdverbinding is onderverdeeld in lagen, voor iedere dienst één. De ambtenaren die het indertijd lieten aanleggen, dachten dat dit makkelijk en voordelig zou zijn.

Het idee was dat je via een hele dikke glasvezelkabel alle informatie kwijt kon en alles gemakkelijk centraal was aan te sturen. Bij de bouw van het glasvezelnetwerk stond kostenbesparing de beveiliging in de weg. Deskundigen zeiden dat je die netwerken uit elkaar moet trekken om hun kwetsbaarheid te verminderen. De toenmalige regering Balkenende was niet bereid hiervoor de portemonnee te trekken. Het zou zo’n vaart niet lopen.

Knooppunt. Het overheidsteam van Goetz had de basistactiek voor de aanval op de Nederlandse overheidsorganen snel bepaald. Alle zeven netwerken gebruikten één centrale database. Ergens moest die informatie ‘bovengronds’ komen. Het Nationaal Knooppunt was de hersenstam van de Nederlandse digitale overheid. De aanvallers besloten om een directe aanval te openen op die hersenstam.

Er moest alleen nog worden uitgevogeld waar de computers van dat Nationaal Knooppunt gevestigd waren. Deze locatie was een van de best bewaakte staatsgeheimen. Er werden ambtenaren omgekocht om hen dit geheim te ontfutselen. Dat was echter geen succes geweest en de tijd begon te dringen. Twee teamleden waagden een gok en begonnen een online speurtocht naar geruchten. Sommige experts suggereerden dat de digitale hersenstam in Soesterberg lag, waar ook een belangrijk knooppunt van de NAVO was gevestigd.

Dat was een heel eind in de goede richting. Het aanvalsteam lokaliseerde de computers van het Nationaal Knooppunt en kraakte de toegangscodes. Op C-Day werd de hersenstam geïnfecteerd door een hele colonne virussen, wormen en Trojaanse paarden. De beveiligingsexperts zagen het gebeuren en brachten wapens in stelling waarmee om kwaadaardige software konden vernietigen. Zij konden echter niet verhinderen dat hun systemen volledig ontregeld werden.

Nederlandse ambtenaren hadden zelf doemscenario’s opgesteld. Daarin stonden mogelijke ketens van oorzaak en gevolg beschreven waarin het ene na het andere netwerk de geest geeft. De meest vergaande variant van dit scenario trad nu in werking. De hele nationale infrastructuur bleek een kaartenhuis te zijn: de uitval van de ene voorziening sleepte andere infrastructuren met zich mee. Een remedie tegen deze gerichte aanval op het zenuwcentrum van de Nederlandse staat werd niet gevonden. De overheid werd digitaal buiten werking gesteld.

Index


Internet: virtuele leven sterft
In de eerste twee fasen van de C-Day campagne werden geen directe aanvallen ingezet op de infrastructuur van het internet. “Internet is de weg naar en het middel van onze overwinning”, zie Goetz. Internet was zijn medium om Nederland op de knieën te krijgen. Daarom was het niet verstandig om dat wonderlijke krachtige medium zelf te degraderen.

De internetverbindingen werden vanaf de eerste minuut van C-Day hinderlijk verstoord door herhaalde stroomuitval. Zij werden vertraagd en gestoord door malware die specifiek op Nederlandse internetgebruikers is gericht en op gebruikers van smartphones met een Nederlands telefoonnummer.

Pas als de tweede fase niet tot overgave van de Nederlandse regering zou geleiden, zou de volgende fase worden ingeleid met een zeer directe aanval op de Amsterdam Internet Exchange (AMS-IX). Vrijwel het hele Nederlandse internetverkeer komt samen op vier locaties in en om Amsterdam.


Kabelboel bij AMS-IX
De Amsterdam Internet Exchange (AMS-IX) is het belangrijkste internetknooppunt van Nederland en het grootste ter wereld. Een zeer groot deel van het internetverkeer met het buitenland en het dataverkeer tussen Nederlandse internetproviders wordt afgehandeld via het netwerk van AMS-IX.

Internettend Nederland is grotendeels afhankelijk van de beschikbaarheid van de gezamenlijke backbone van alle grote netwerkproviders bij de AMS-IX. Deze is gevestigd op dichtbij elkaar gelegen locaties bij het Wetenschappelijk Centrum Watergraafsmeer. De fysieke en infrastructurele beveiliging is hier zwak. In goed Nederlands heet dat ‘a single-point-of-failure’.

In een rapport van het onderzoeksproject Kwetsbaarheid van het Internet (KWINT) werd gewezen op de kwetsbaarheid van de AMX-IX: “De beveiliging van terrein, locatie en kabelinfrastructuren is gebaseerd op een universitair rekencentrum, niet op de economisch kritische functie die deze peering-locatie heeft”.

De aanval op de infrastructuur van het internet werd door Goetz voor het laatst gepland. Voor alle andere cyberoperaties had hij zelf het internet nodig. In de derde fase van C-Day werden webservers en informatiesystemen van het Nederlandse internetproviders systematisch aangevallen. De toegang tot alle belangrijke websites en informatiesystemen zou worden geblokkeerd. Tegelijkertijd werd een vernietigende aanval uitgevoerd op het hart van het internet — de registratie- en domeinservers.

Goetz was er vast van overtuigd dat Nederland met louter cyberwapens verslagen kon worden. “Je kunt heel veel bereiken met digitale wapens”, zij hij telkens, “maar we moeten altijd voldoende andere wapens achter de hand houden.” Daarom stemde hij in met een reserveplan om de ruggengraat van het Nederlandse internet met elektromagnetische wapens te breken. Dit was de laatste dekkingsgarantie van zijn aanvalsplan. Daarna kon alleen nog maar de aanval op de zeedijken worden ingezet en op de kerncentrale van Borssele.

Met elektromagnetische wapens [EMP] kunnen alle elektronische circuits van computers worden doorgebrand. De kleine versies van de EMP-wapens (in kofferformaat of als schouder- of handwapen) moeten op relatief korte afstand van het doelwit worden afgevuurd. Het plotseling ontstane magnetische veld van EMP induceert spanning in stroomkringen. Door deze spanning branden eletronische circuits van computers door. Ze worden van afstand gefrituurd.

Naarmate het virtuele leven uitstierf, leefde het lokale leven op. Mensen begonnen hun buren, vrienden en collega’s op te zoeken, thuis en op straat. Zij wisselen berichten en ervaringen uit en praatten over wat er eigenlijk aan de hand is.

In de loop van C-Day begon de angst voor nog grotere rampen langzaam om te slaan in agressie tegen een overheid die niet in staat was haar burgers te beschermen. De altijd lachende minister-president moest maar eens echt iets doen in plaats van stoere en geruststellende praatjes te verkopen. De paniek sloeg om in woede, redeloze woede tegen gefortuneerden die alleen maar bezig waren om hun rijkdommen in veiligheid te brengen, en tegen machthebbers die uitvoerig hun eigen stoep stonden schoon te vegen. Op straat heerste het recht van de sterkste.

Aan het eind van de tweede fase van C-Day maakt generaal Goetz de balans op. Bijna alle operaties waren volgens plan uitgevoerd en met succes afgerond. De real time aanpassingen van tactiek en timing waren marginaal geweest. Nederland was op een punt gebracht waarin zij alleen nog maar kon capituleren voor de eisen van X-land. De generaal laste een aanvalspauze in. Hij wachtte op een officiële reactie van de Nederlandse regering.

Index Redeloos, radeloos, reddeloos (een historische analogie)

De minister-president keek vanuit zijn torentje moedeloos uit over de Hofvijver. Hij had nog nooit een oorlog meegemaakt. Natuurlijk, hij kende zijn geschiedenis en was er zelfs in afgestudeerd. Maar deze gebeurtenissen kenden geen precedent. Hier was geen duidelijk aanwijsbare vijand, maar toch was het land dat hij regeeerde in vergaande mate verwoest.

Plotseling schoot hem een frase in het hoofd. Het was een herinnering aan een ander dieptepunt in de vaderlanse geschiedenis: het rampjaar 1672. In dat jaar vielen de Franse troepen van Lodewijk XIV ons land binnen. Het was een traumatische gebeurtenis die met vette letters in de geschiedenisboeken wordt beschreven. “In 1672 was het volk redeloos, de regering radeloos en het land reddeloos”, dat was de frase. Was dat niet precies wat hij nu, meer dan 360 jaar later meemaakte?

Het scheelde maar weinig of Nederland was toen ten prooi gevallen aan de gekwetste trots van de Franse koning Lodewijk XIV. De Franse koning was getergd door het optreden van de Haagse regenten. In 1668 had Johan de Witt hem met een internationaal verdrag de voet dwars gezet toen hij de Zuidelijke Nederlanden wilde veroveren. Die vernedering wilde de zonnekoning herstellen door samen met Engeland en de bisdommen van Münster en Keulen ons land op te rollen, Johan de Witt af te zetten en Willem III als een marionet aan te stellen als vorst over Holland.


Lodewijk XIV trekt bij Lobith de Rijn over.
Op 12 juli 1672 trok Lodewijk XIV bij het Tolhuis bij Lobith de Rijn over en versloeg het zwakke leger van de Republiek. Alle buren vielen het land tegelijkertijd aan. Frankrijk met een enorm landleger, Engeland met zijn vloot en Münster met een bende soldaten en vooral veel kanonnen.

De invasie vanaf de zee lukte niet, maar de legers van Münster en Frankrijk veroverden in drie weken Gelderland, Utrecht en Overijssel. Voor de weilanden tussen Utrecht en Holland hielden ze halt, omdat die op het nippertje onder water waren gezet. In het rampjaar 1672 werd in allerijl een waterlinie tussen de Zuiderzee en de Merwede ingericht om de Franse troepen tegen te houden voordat zij ook Holland zouden veroveren. Het was een effectieve verdedigingslinie die later versterkt werd met forten, batterijen en andere verdedigingswerken.

De nog jonge Republiek van de Zeven Verenigde Nederlanden werd naar het randje van de afgrond geduwd. De Franse legers dreven grote menigten van wanhopige vluchtelingen voor zich uit. De ooggetuige Petrus Valkenier beschreef de stemming van het land als volgt:

    “Het subiet aannaderen der vijanden bracht geheel Holland en Zeeland in grote consternatie en ongemeene schrik: elk stond als bedwelmt en stom en elk was sijn huis te kleijn en te bang.

    Daarom begaf eenieder zich op de straat, waar hij niets anders ontmoette als gekerm en miserie; elk liet sijn hoofd hangen, elk zag eruit alsof hij sijne sententie des doods ontvangen had. De ambachten stonden stil; de winkels waren dicht; de rechtbanken waren gesloten; de academieen en scholen maakten vacantie. De kerken daarentegen wierden te klein voor alle benauwde herten, die van angst meer suchten als sy konden bidden.”

De vrome paniek veranderde gaandeweg in woede tegen de regenten. Spreekkoren en plunderaars trokken door de straten en eisten de terugkomst van de prins van Oranje tot stadhouder en legeraanvoerder. Raadpensionaris Johan de Witt en zijn broer Cornelis werden gelyncht door een woedende menigte die werd opgezweept door orangistische partijgangers. Willem III, de achterkleinzoon van Willem de Zwijger, kreeg uiteindelijk de positie die hem naar zijn eigen idee ook rechtens toekwam.

De Engelsen werden op zee verslagen door de vloot van Michiel de Ruyter, de Groningers weerstonden de kanonnen van de bisschop en Willem III hernam Naarden. Maar de nieuwe koning ondernam ook meerdere onbezonnen veldtochten buiten het grondgebied van de Republiek die maar net goed aflopen. Uiteindelijk loopt de hele onderneming met een sisser af. De Fransen lagen een tijd voor de waterlinie, plunderden buitenplaatsen en staken dorpen in brand. Uiteindelijk werd de internationale situatie voor Lodewijk te ongunstig en verliet hij ons land.

Wat zich in dit rampjaar in de straten en binnenkamers afspeelde, behoort tot de meest extreme verhalen uit onze geschiedenis.

In het rampjaar van C-Day werd ons land wederom reddeloos ontregeld en raakte het volk in redeloze paniek. De aanvallen kwamen van alle kanten, maar we wisten nog steeds niet waar ze vandaan kwamen. Er werd geen schot gelost, maar de gevolgen waren even rampzalig als in 1672.


Net als toen was de regering volslagen radeloos. De premier zat met zijn handen in het haar. Zijn sociaaldemocratische coalitiegenoot wreef over zijn kale hoofd. Hij was de enige die nog een lichtpuntje zag: “Nog een geluk dat ze die centrale in Borssele met rust hebben gelaten”. De premier lachte als een boer met kiespijn. “Tjsa, dat uitgerekend jíj dat nu moet zeggen!?”.

De premier speelde met de gedachte om het hele Nederlandse internet maar af te sluiten. Maar hij had geen flauw idee hoe dat moest. Generaal Goetz wist dit wel. Hij keek op zijn horloge. Nog een half uur. Als de Nederlandse regering dan nog niet had gecapituleerd zouden reserve aanvalsplannen in werking treden. Hij hoopte vurig dat dit niet nodig zou zijn.

Index Het laatste uur dat nooit zal slaan

Bij alle scenario’s voor een totale cyberoorlog zijn drie vragen aan de ordei.

Index


Vooronderstellingen en cognitieve functies
Een cyberdoemscenario is een theoretisch model van digitale oorlog. Aan de constructie van zo’n model ligt een analyse ten grondslag van de feitelijke ontwikkelingen van interstatelijke confrontaties in cyberspace.

Een theoretisch model geeft een abstracte of geïdealiseerde (en dus vereenvoudigde) afbeelding van de werkelijkheid. Dat is het gevolg van de vooronderstellingen waarvan een doemscenario uitgaat. Een doemscenario gaat van extreme vooronderstellingen, namelijk van het ergste of het meest vergaande wat men zich kan voorstellen. Het is dus een worst case scenario dat vertrekt vanuit de minst gunstige situatie en omstandigheden: alles wat verkeerd kán gaan, gaat ook daadwerkelijk mis.

De eerste vooronderstelling van een cyberdoemscenario is dat de kritische infrastructuren van een samenleving ontregeld of vernietigd kunnen worden door ze met cyberwapens aan te vallen. De tweede vooronderstelling is dat de onderling sterk afhankelijke infrastructuren zodanig beschadigd kunnen worden dat de samenleving wordt verlamd en dat de burgers in deze chaos in paniek raken. De derde vooronderstelling is dat er een kwaadaardige actor is —een vijandige staat of misschien zelfs een terroristische groepering— die bereid en in staat is om een cyberoorlog te ontketenen.

Het nut van zo‘n theoretisch model van cyberdoem is in eerste instantie louter cognitief: het verscherpt onze blik op wat er feitelijk gebeurt in het licht van de mogelijkheden en het stimuleert ons om kritische vragen te stellen. Wanneer is er eigenlijk sprake van cyberoorlog? Is die oorlog al begonnen? Voltrekt deze onverklaarde cyberoorlog zich daadwerkelijk zo langzaam dat we het niet zien? Een cyberdoemscenario fungeert als een referentiekader dat we gebruiken om feitelijke incidenten van cyberoorlog op hun waarde te schatten.

Index


Hoe realistisch? — Hypothetische constructie met sterke condities
Een cyberdoomscenario is dus slechts een hypothetische constructie om feitelijke cyberconfrontaties te verklaren. Zo’n scenario kan alleen maar werkelijkheid worden:
  1. wanneer er vijanden zouden zijn die zich louter strategisch en rationeel oriënteren op het ontregelen resp. vernietigen van álle kritische infrastructuren en computersystemen van een nationale staat;
  2. wanneer deze vijanden daarbij alleen maar gebruik zouden maken van cyberwapens (code als wapen) en dus zonder inzet van kinetische, elektromagnetische of nucleaire wapensystemen;
  3. wanneer deze vijanden over álle noodzakelijke informatie zouden beschikken over die infrastructuren over hun beveiligings- en defensiesystemen; die informatie moet niet alleen adequaat/voldoende zijn, maar ook nog eens valide/betrouwbaar.
  4. wanneer deze vijanden zouden beschikken over adequate analyse en duidingspatronen om de kwetsbaarheden van die infrastructuren en hun beschermingssystemen te definiëren en af te wegen;
  5. wanneer deze vijanden de kwetsbaarheden van de infrastructuren en lekken in de beveiligingssystemen van computernetwerken daadwerkelijk en effectief kunnen exploiteren, en dus in staat zijn om daarvoor de geschikte kwaadaardige software te ontwikkelen;
  6. wanneer deze vijanden beschikken over voldoende intellect om een strategisch plan op te stellen waarin alle afzonderlijke operaties stapsgewijs zijn opgenomen, waarbij niet alleen de volgordelijkheid en/of gelijktijdigheid van die cyberoperaties wordt bepaald, maar ook met hun interactie-effecten
  7. wanneer deze vijanden over leidinggevende capaciteiten beschikken die nodig zijn om de uiterst complexe veelvoud van cyberoperaties te coördineren en aan te sturen (managing complexity) en om flexibel te reageren op veranderingen die zich tijdens de campagne voordoen in de strategisch-tactische configuratie van het cyberdomein waarop men intervenieert.
  8. en wanneer deze vijanden daadwerkelijk zouden beschikken over voldoende financiële, technologische en personele bronnen (én over voldoende durf, fantasie en geduld) om een scenario voor C-Day daadwerkelijk te concipiëren, te plannen en uit te voeren.
De lijst van condities waaraan voldaan moet worden wil een totale C-Day (zoals dat in het bovenstaande cyberdoemscenario is geschetst) werkelijkheid worden is nogal lang en de voorwaarden zijn zeer zwaar. Praktisch gesproken is het daarom zeer onwaarschijnlijk dat zo’n ‘zuivere’ C-day zal gebeuren — en hopelijk blijft dat ook zo.

”Cyber-doom scenarios are hypothetical stories about prospective impacts of a cyberattack and are meant to serve as cautionary tales that focus the attention of policy makers, media, and the public on the issue of cybersecurity. These stories typically follow a set pattern involving a cyberattack disrupting or destroying critical infrastructure” [Lawson 2012:5].
Een doemscenario is een hypothetische constructie en is daarom per definitie niet realistisch. In een doemscenario worden geen uitspraken gedaan over de termijn waarop een dergelijke ramp werkelijkheid kan worden, en zeker niet over een bepaald jaar waarin het cyberdoemsdag zal zijn. Het laatste uur van een cyberdoemscenario zal nooit slaan.

Een goed onderbouwd en dus geloofwaardig doemscenario heeft meestal tot gevolg dat er maatregelen worden genomen om de voorspelde ramp te voorkomen of af te wenden. Een cyberdoemscenario is een zichzelf ontkennende voorspelling. Zij komt niet uit juist omdat de cyberramp werd voorspeld.

Overleveraars — Doomsday Preppers
Uitbarsting van de Vesusius.
Uitbarsting van de Vesuvius
Schilder: Peter V. Bianchi
In een land dat zonder energie, water en voedsel zit, overleven alleen nog maar de survivors. Dat zijn mensen die zich al hadden voorbereid op het ergste. Hun gemeenschappelijk motto is: “Wie zich niet op het ergste voorbereid, gaat eraan!”

Overleveraars bereiden zich voor op een grote ramp en nemen de meest vergaande maatregelen om die ramp te overleven. Zij verschansen zich in sterk gefortificeerde huizen waarin zij volledig autarkisch zijn met eigen energie- en waterbronnen, grote voedselvoorraden en uitgebreide wapenarsenalen.

In Amerika worden zij doomsday preppers genoemd: mensen die zich voorbereiden op het einde van de wereld zoals wij die kennen. Zij zijn zowel uniek in hun door onheilsprofeten ingegeven geloof of waan, in hun specifieke persoonlijke motivaties als in hun bijzondere overlevingsstrategieën. De een verwacht een mega-aardbeving, een super tsunami, een giga zonne-explosie, een drastische verschuiving van de poolas of een galactische catastrofe. De volgende verwacht een microbiologische epidemie of een dodelijke pandemie. Er zijn overleveraars die zich voorbereiden op een nucleaire oorlog of op een extreme oliecrisis of een totale economische ineenstorting.

In Nederland zijn er niet zoveel fanatieke overleveraars. In de meeste huishoudens zijn slechts een paar kaarsen en reservebatterijen aanwezig. Voedselvoorraden zijn niet veel omvangrijker dan de koelkast en ijskast toelaat. Particuliere waterreserves zijn er niet of nauwelijks. Voor bijna alle Nederlanders is het onmogelijk om zelfs maar een week te overleven zonder aanvoer van nieuw voedsel en andere basisvoorzieningen.

Index


Politieke functie — Risico’s van doemscenario’s
Scenario’s waarin een apocalyptische C-Day wordt geprojecteerd hebben ook een maatschappelijke en politiek-ideologische functie. De uithangborden en metaforen waarmee dergelijke rampscenario’s worden gepresenteerd, geven een eerste indicatie: een digitaal Pearl Harbor, een cyber-9/11, een cybergeddon, en dus ook de hier gepresenteerde C-Day.

Cyberdoemscenario’s boezemen angst in. Vooral wanneer die griezelscenario’s in romans en thrillers worden gedramatiseerd, of in films en video’s worden gevisualiseerd. Bekende voorbeelden van apocalyptische en negatief utopische films zijn Die Hard 4.0 (Live Free or Die Hard), Cyber Wars en Enemy of the State. Dergelijke producties worden opgezet met de bedoeling om te vermaken, om de fantasie te stimuleren, om te shockeren, om te verbazen, en om gevoelens van angst op te roepen (suspense pays).

Aanvankelijk was cyberoorlog alleen nog maar een geschikt onderwerp voor science fiction. Tegenwoordig is het een belangrijke veiligheidszorg van politieke en militaire leiders in de hele wereld. Ook al hebben zij meestal nog weinig zicht op de mogelijkheden en kwetsbaarheden van kritische infrastructuren en op de potentie van cyberwapens

Die Hard 4.0
The Good and the Bad
Het scenario van «Die Hard 4.0» begint als in Amerika opeens een aantal van de meest getalenteerde computerkrakers worden vermoord. Dat gebeurt in opdracht van de kwade genius Tomas Gabriel (Timothy Olyphant). Hij huurde de hackers in om een aantal algoritmes en codes te schrijven. Zodra deze huurlingen daarmee klaar zijn, worden ze thuis vermoord door explosieven die op hun computers zijn aangebracht. Wanneer er op ‘delete’ gedrukt wordt, ontploft de bom.

De FBI voelt nattigheid en vraagt de voormalig politieagent John McClane (Bruce Willes) om de hacker Matthew Farrell (Justin Long) te beschermen. Zijn computer is ook al voorzien van een C4-explosief. Maar uiteraard slaagt de held er in om de kraker te redden.

De schurk Gabriel geeft zijn eigen hackers opdracht om de controle over de verkeerslichten en aandelenmarkt over te nemen. Alle verkeerslichten gaan tegelijk op groen waardoor grote opstoppingen en veel ongelukken ontstaan. Via de televisie wordt een boodschap wordt uitgezonden waarin hij de V.S. bedreigt.

Kracht van cyberwapens
Dit is het begin van een ‘fire sale’, een omvattende cyberaanval op de computersystemen waarvan de hele natie afhankelijk is geworden. De datum van de aanval is geprikt op 4 juli, Onafhankelijkheidsdag. In een tweede televisieuitzending brengt Gabriel de bevolking in paniek door een filmpje te vertonen waarin het Capitool in Washington ontploft. Het blijkt een simulatie te zijn.

De jonge hacker Farrell denkt dat het volgende doelwit van de cyberterroristen de elektriciteitscentrale in West Virginia zal zijn. Dit systeem staat los van andere computersystemen en kan dus niet van een afstand worden platgelegd. Met veel geweld slaagt de held erin omde aanslag op de centrale te verhinderen. De schurk neemt wraak door aardgas via de pijpleidingen naar de centrale te sturen. De centrale ontploft, maar McClane en Farrell weten nog net te ontsnappen. De hele oostkust van Amerika zit nu zonder elektriciteit.

Farrell neemt McClane mee naar een bevriende hacker, Frederick ‘Warlock’ Kaludis (Kevin Smith) in Baltimore. In de kelder van het huis van zijn moeder draaien de computers van zijn ‘commandocentrum’ op generatoren. Volgens Warlock is de code die Farrel schreef gebruikt om toegang te krijgen tot de administratie van een sociale verzekeringsinstelling in Woodlawn. Zij ontdekken dat die instelling een dekmantel is voor de National Security Agency (NSA).

Digitale kroonjuwelen
In het NSA-gebouw ligt een reservekopie van alle belangrijke digitale informatie van het land. In noodsituaties worden alle belangrijke personele en financiële informaties opgeslagen in het NSA-gebouw. De schurk Gabriel wist dit — hij had zelf het beveiligingssysteem van de NSA —na 9/11— ontworpen toen hij nog bij het Ministerie van Defensie werkte; waar hij eerloos werd ontslagen omdat hij de alarmklok had geluid over de kwetsbaarheid van Amerika in een cyberoorlog. Gabriel kan alle informatie uit het NSA-gebouw op zijn eigen computer downloaden om zo alle bankrekeningen leeg te roven. Het is zoveel informatie dat hij alle computersystemen moet platleggen om met voldoende snelheid de informatie op zijn harde schijf te kopiëren.

Happy End?
Door moedig optreden van de onvermoeibare held en zijn slimme white-hat hacker wordt het kwaad uiteindelijk overwonnen. Amerika is op het nippertje gered van een cyberterroristische aanslag, maar is sindsdien wel gewaarschuwd. De hele Amerikaanse infrastructuur kan door een kwaadaardige, in zijn trots gekrenkte computerspecialist met digitale manipulaties worden platgelegd.

Veiligheid versus Privacy?
Sommige politici grijpen populaire films aan om hun eigen politieke visie te etaleren. Zo gebruikte het CDA-kamerlid Raymond Knop de film «Die Hard 4.0» als ondersteuning van een pleidooi om meer privacy op te offeren aan de veiligheid. Om het scenario van de film te voorkomen zouden we een deel van onze privacy moeten inleveren om onze veiligheid te garanderen. De christendemocraat wil met name iets het anoniem deelnemen aan het internetverkeer verbieden. Motorvoertuigen zijn immers ook via het kenteken herkenbaar en traceerbaar... [De Dagelijkse Standaard, 16.05.11].

Jaar Aantal opgevraagde gegevens
2004
2005
2006
2007
2008
2009
2010
2011
   991.273
1.220.518
1.771.941
1.991.024
2.827.839
2.930.941
2.595.320
2.328.595
Bronnen: Ministerie van Veiligheid en Justitie, Jaarverslagen Gebruik van CIS: 2009, 2010, 2011 en Rejo Zenger, 16.9.09. Hierbij zijn de informatieopvragen van de AIVD en de MIVD niet meegeteld.

Om hun veiligheid te garanderen zouden internetgebruikers een deel van hun privacy moeten opofferen. Maar hoeveel privacy kan er nog worden opgeofferd zonder het recht op privacy substantieel aan te tasten? De providers zijn nu al verplicht om de verkeersgegevens van internet te bewaren. Politie, justitie en FIOD (Fiscale Inlichten- en OpsporingsDienst) zijn bevoegd om die gegevens op te vragen. Zij doen dat ook op zeer grote schaal. De tabel laat zien hoeveel keer er informatie over klanten van telecom- en internetproviders zijn opgevraagd. De hit-rate (het percentage dat hier gehoor aan werd gegeven) is in de loop der jaren toegenomen, van 77% in 2004 tot 91% in 2011 [Rejo Zenger, 31.1.11].

Met cyberdoemscenario’s wordt niet alleen angst ingeboezemd. Zij worden ook gebruikt als legitimatie voor contraproductieve en soms regelrecht gevaarlijke remedies tegen een dreigende cyberoorlog. Dat zijn ‘oplossingen’ waarbij het beleid sterker gericht wordt op overheidscontrole (opoffering van privacy voor veiligheid), op militarisering (overheidscontrole op internet) en centralisatie (de autoritaire staat die haar macht misbruikt en haar burgers toch veiligheid belooft). Het overheidsbeleid zou zich veel beter kunnen oriënteren op het versterken van de maatschappelijke weerbaarheid (en op de principes van het herstelvermogen), op de zelforganisatie van burgers en op decentralisatie van heel grote en dus erg kwetsbare instellingen, productie-installaties en databanken [Lawson 2012:277].

Er zijn dus wel degelijk risico’s verbonden aan doemscenario’s — ook wanneer zij nadrukkelijk worden gepresenteerd als louter hypothetische constructies. Die risico’s worden alleen maar groter wanneer onheilsprofeten oplossingen suggereren die vooral profitabel zijn voor hun vrienden in de regering en voor hun werkgevers [Blunden 2010:11; Wired, 13.4.10]. Beveiligingsbedrijven en militaire aannemers zijn altijd op zoek naar nieuwe inkomstenstromen. Zij profeteren het onheil van cyberoorlog, slaan op de trommels van angst, roepen dat cyberveiligheid onze hoogste prioriteit moet zijn en dat we bereid moeten zijn om hiervoor een prijs te bepalen. Er is een reële dreiging van cyberoorlog, maar er dreigt ook een cyberindustrieel complex te ontstaan dat cyberbewapeningsrace in een steeds hoger tempo stuurt.

Doemscenario’s ontlenen een deel van hun geloofwaardigheid aan de angst voor terrorisme en de angst voor ‘het Chinese gevaar’. Zij worden ook gevoed door de angst voor fascinerende maar toch ook vooral onbegrijpelijke nieuwe technologieën [Lawson 2012:282 e.v]. En vooral de angst dat die technologie ‘out of control’ raakt en automatisch zijn eigen gang gaat.

Psychopathologie van de cyberangst
Achter de permanente bezwering van een digitaal of elektronisch «Pearl Harbor» gaat de nieuwe angst voor een hightech samenleving schuil. Vroeger was men bang voor een nucleaire vernietiging volgens het horrorscenario van atoombommen die door foutmeldingen worden afgevuurd. Dr. Stranglove opereert nu in cyberspace. Het is een diffusie angst die makkelijk in agressie kan omslaan. De aanleidingen voor een cyberoorlog nemen toe: anonieme cyberaanvallen kunnen makkelijk worden toegerekend aan degenen die om andere reden vergelding ‘verdiend’ hebben.

«Pearl Harbor» is een collectief angstsignaal (Freud) dat ten koste van alles vermeden moeten worden. Het is de angst voor een overweldigende (para)militaire aanval die zonder waarschuwing opeen vanuit de diepte van cyberspace over ons heen raast. De verwijzing naar «Pearl Harbor» levert vooral ook een metafoor voor de permanente budgetaire eisen van de beveiligingsindustrie.

Index


Home Onderwerpen Zoek Over ons Doneer Contact

19 December, 2016
Eerst gepubliceerd: oktober, 2012