Een maandje geleden had bijna niemand ervan gehoord, inmiddels is het dagelijkse kost in de media: Een zoveelste ‘Ddos–aanval’ heeft de website van een landelijke bank/een nationale luchtvaartmaatschappij/de krant van wakker Nederland lamgelegd waardoor klanten verstoken zijn van internetbankieren/vluchtgegevens/het laatste nieuws over Raf en Syl. Hoewel de ene Ddos-aanval meer maatschappelijke onrust veroorzaakt dan de andere – de problemen bij de ING-bank waren dagenlang de opening van het journaal – is het fenomeen een verontrustende vorm van cybercrime. Vooral omdat het ‘kinderlijk eenvoudig’ schijnt te zijn om zo’n aanval uit te voeren. Of dat werkelijk het geval is en wat eraan te doen is, vroeg Profielen aan Sunil Choenni, lector bij het kenniscentrum Human Centered ICT en expert op het gebied van cybercrime, informatica en databasetechnologie.

Kan elke verveelde puber met een laptop in theorie het betalingsverkeer bij een nationale bank platleggen?
‘Nou, zo eenvoudig is het niet. Maar een Ddos-aanval is wel relatief simpel uit te voeren. Je probeert een webpagina te overvragen. De webserver krijgt zoveel aanvragen te verwerken dat het alleen nog bezig is met communiceren tussen het geheugen en het CPU en geen tijd meer krijgt om opdrachten uit te voeren. Dit zorgt ervoor dat het systeem uiteindelijk platligt. Het is niet gevaarlijk – er wordt geen informatie gestolen – maar wel erg vervelend. Het gebeurde eerder ook al regelmatig, maar bij de laatste serie Ddos-aanvallen lukte het de hackers ook om via de inlogpagina de backend server  te benaderen en die te overvragen. Dat maakt zo’n aanval nog vervelender, want dan gaat de bedrijfsvoering eronder lijden.’

Valt er iets tegen te doen?
‘Lastig. Je kunt de architectuur van een website niet ineens helemaal aanpassen. Een oplossing kan zijn het kanaliseren van aanvragen, zodat er ‘wachtrijen’ ontstaan. Maar dan worden klanten weer boos omdat dit zorgt voor wachttijden. Internetgebruikers zijn gewend aan snelheid. Een andere mogelijkheid is klanten verplichten om een virusscanner op hun computer te installeren. Hackers komen binnen via onbeveiligde computers van geregistreerde gebruikers.

‘Ik verwacht dat er eerst nog wat kopieergedrag zal zijn, maar zodra de aandacht in de media afneemt, zullen die aanvallen ook afnemen. Uiteindelijk bereik je er niet veel mee.’

Zijn de hackers die dit uitvoeren slimmer dan de IT-medewerkers van banken, bedrijven en overheidsinstellingen?
‘Het is een kat- en muisspel. Wij horen alleen de verhalen over cyberaanvallen die succesvol waren. Aanvallen die worden afgeslagen komen niet in de krant. In principe zouden IT’ers net zo goed op de hoogte moeten zijn van de state of the art van computersystemen als hackers. Ze moeten weten waar in hun systemen de potentiële lekken zitten. Maar ze hebben er natuurlijk geen hobby van gemaakt om misbruik te maken van die zwakke plekken, zoals hackers. Er zijn trouwens ook zogeheten white hackers, zij kijken waar ze in systemen kunnen inbreken met als doel zaken bloot te leggen en bedrijven te waarschuwen.’

Moeten IT’ers niet beter opgeleid worden om zich te kunnen verweren tegen hackers met kwade bedoelingen? Wordt er in cybercrime onderwezen op de Hogeschool Rotterdam?
‘Ik geef nu voor het tweede jaar gastcolleges over cybercrime bij de informatica-opleiding. Ook zijn we sinds kort bezig met het binnenhalen van gerelateerde projecten, maar daar gaan vooralsnog nog geen studenten mee aan de slag. We streven er ook naar om een lectoraat Privacy & Security op te zetten. Het algehele thema cybercrime staat wat dat betreft nog in de kinderschoenen. Wat mij betreft mag er landelijk veel meer prioriteit aan worden gegeven binnen het onderwijs.’

Is het niet vreemd dat het weinig urgentie heeft binnen het onderwijs, cybercime is toch booming?
‘Cybercrime is enorm. In 2011 is ongeveer de helft van alle Nederlandse bedrijven slachtoffer geweest van een vorm van cybercrime. Fraude met internetbankieren is in 2011 toegenomen met een factor 3,5 vergeleken bij het jaar ervoor. Met een fenomeen als skimming werd in 2011 40 miljoen euro gestolen. Deze omvang is gebaseerd op wat wordt geregistreerd. Er gebeurt nog veel meer wat langs ons heengaat of wat we niet als crimineel gedrag ervaren, terwijl het wél strafbaar is. Het stelen van intellectueel eigendom, zoals muziek, films en publicaties, valt ook onder cybercrime. Bij fysieke goederen weten we dat we die niet mogen stelen, maar bij virtuele goederen is dat gevoel veel minder ontwikkeld. En veel meer dan in de echte wereld zijn wetten en regels in de virtuele wereld haast niet te handhaven.’

Sabine Schipper