Digitale ontwrichting

Huib Modderkolk sprak voor zijn onderzoek met 110 ‘bronnen’ © Ruud Pos

Op 11 september 2014 werd in de Amerikaanse staat Louisiana een sms-bericht verspreid met de waarschuwing dat er giftige wolken waren ontsnapt uit een chemische fabriek na een aanval door Islamitische Staat. Op Twitter gingen screenshots rond van de cnn-website die over de aanval berichtte. Op Facebook leverde een lokale nieuwspagina, een maand eerder door onbekenden opgericht, reportages en foto’s van na de explosie. YouTube toonde een video van IS waarin de aanslag werd opgeëist. Er was onrust en verwarring, maar het bleek loos alarm. Het betrof een korte, hevige desinformatiecampagne van Russische internettrollen van de Internet Research Agency, opererend vanuit een pand in Sint-Petersburg, dat wordt aangeduid als ‘de trollenfabriek’ (zie ook De Groene van 29 augustus 2018).

In zijn boek Het is oorlog maar niemand die het ziet voert Huib Modderkolk deze gebeurtenis op als voorbeeld van digitale ontwrichting. Een grondig voorbereide actie, maar relatief onschuldig: het betrof fake news, de ramp was niet echt. Maar naarmate je dieper in Modderkolks meeslepende verhaal raakt, besef je hoe internetaanvallen allesbehalve onschuldig zijn. De Russische hackers hadden net zo goed de communicatie van hulpdiensten uit de lucht kunnen halen, het telefoon-, internet- en geldverkeer kunnen platleggen, en de stroom- en watertoevoer kunnen afsluiten. Ze hadden waarschijnlijk zelfs, door het plaatsen van malware (computervirussen) op cruciale plekken in het besturingssysteem van de chemische fabriek, werkelijk een fatale explosie kunnen veroorzaken.

Russische staatshackers gaven een staaltje van hun kunnen in Oekraïne, toen ze een deel van de elektriciteitsvoorziening uitschakelden, waardoor 230.000 mensen in het donker kwamen te zitten, en verstoken bleven van leidingwater. Dat kunnen ze ook in Nederland, waar volgens Modderkolk de beveiligingsmaatregelen te vergelijken zijn met het plakken van ‘ducttape in het ruim van een zinkend schip’.

In de systemen van de stormvloedkering is Russische malware aangetroffen

Sinds zes jaar doet Huib Modderkolk onderzoek naar de schaduwkanten van het internet, eerst voor de NRC tegenwoordig voor de Volkskrant. Dat hij begon als buitenstaander is voor de lezer een voordeel. Modderkolk laat zien wat hij allemaal moest leren, en legt zo helder de techniek van het internet, de werking van virussen en de praktijken van hackers en inlichtingendiensten uit. Hij toont ook hoe hij als journalist te werk ging in die schimmige wereld, en hoe hij vaak maanden en soms zelfs jaren (met tussenpozen) aan een verhaal werkte. Hij sprak met 110 ‘bronnen’ – mensen uit het veld die hem niet-publieke informatie verschaften. Daaronder ook (oud-)medewerkers van de aivd en de militaire inlichtingendienst mivd. Dat is knap: op het lekken van staatsgeheimen staat zes jaar gevangenisstraf.

De belangrijkste onthulling in Modderkolks boek betreft het vernietigende Stuxnet-virus, waarvan tot nog toe onbekend was hoe het in het afgeschermde netwerk van de zwaarbewaakte uranium-opwerkingsfabriek in Natanz was gekomen. Het virus werd ontwikkeld door de Verenigde Staten en Israël om de Iraanse uraniumverrijking te saboteren. Modderkolk beschrijft hoe een door de aivd gerekruteerde Iraniër met een usb-stick de klus klaart. Ook doet hij nu uitgebreider uit de doeken wat hij eerder met Eelco Bosch van Rosenthal van tv-programma Nieuwsuur in korter bestek onthulde: hoe hackers van de aivd jarenlang meekeken bij operaties van Russische hackers, en wat ze zagen doorgaven aan de fbi. Toen ze een aanval openden op het Amerikaanse ministerie van Buitenlandse Zaken, ontstond een verwoede strijd – de eerste digitale veldslag in de geschiedenis duurde 24 uur.

Ook Nederland wordt aangevallen. Al jaren waarschuwen de inlichtingendiensten voor de digitale gevaren uit met name Noord-Korea, China, Rusland en Iran. Je haalt er makkelijk de schouders over op. Wat is het belang van de inlichtingendiensten? Willen ze er geld bij? Ruimere bevoegdheden misschien? Er is een zorgvuldig opgebouwd en meeslepend verhaal als dat van Modderkolk – die overigens net als velen zijn bedenkingen had bij de nieuwe wet op de inlichtingendiensten (de ‘sleepwet’) – voor nodig om in te zien hoe belangrijk digitale veiligheid is. Niet langer moeten we onze vitale infrastructuur, zoals stormkeringen, bruggen, sluizen, ziekenhuizen, waterzuiveringsinstallaties en elektriciteitscentrales, louter beveiligen tegen luchtbombardementen en bomaanslagen; minstens zo belangrijk is de bescherming tegen digitale aanvallen.

Als dat geld kost, moeten we dat maar ophoesten. Hoe kun je nog rustig slapen als je hebt gelezen dat volgens twee van Modderkolks bronnen Russische malware is aangetroffen in de systemen van de stormvloedkering in de Oosterschelde? Een verhaal dat hij overigens niet journalistiek rond kreeg, vond hij zelf, omdat er te veel vragen openbleven: Wat voor malware was het precies? Hoelang zat het er al, en hoe diep? Wat kon het aanrichten?

Het is oorlog maar niemand die het ziet laat zien waar we staan. Of preciezer: hoe we wankelen. Op een smal koord, gespannen tussen hoge gebouwen boven een drukke verkeersader. ‘We denderen de digitale tijd binnen, maar we zien de gevaren niet’, zei Modderkolk onlangs bij De Wereld Draait Door. Dat koord, waarop we moedig ons evenwicht trachten te bewaren, rafelt ook nog eens aan alle kanten, door een wedloop in het ontwikkelen en planten van vernietigende virussen door overheidshackers. Een levensgevaarlijke race, in gang gezet met behulp van onze eigen aivd, die Stuxnet hielp activeren: het allereerste digitale wapen ooit.