Universitair docent IT-recht en cyberveiligheid Evgeni Moyakine, van de Rijksuniversiteit Groningen. Foto: Jan Willen van Vliet
Gevaar dreigt voor de zorg als een medicijnleverancier wordt gehackt. De energievoorziening kan in gevaar komen als cruciale software doelwit is van datagijzeling. De wereld moet waakzaam zijn, maar universitair docent cyberveiligheid Evgeni Moyakine maakt zich grote zorgen over het gebrek aan kennis.
Een paar weken geleden werd Chinese spionagesoftware ontdekt op een netwerk van Defensie, terwijl het nota bene de militaire inlichtingendienst MIVD zelf was die waarschuwde voor zogeheten ‘malware’ uit China.
Ongezien kon er worden meegelezen door een lek in een beveiligingsprogramma van een leverancier van Defensie, waardoor de schadelijke software geplant kon worden. Dat lek was al bekend.
Al in 2009 onderzocht Moyakine over digitale oorlogsvoering tussen landen, toen nog aan de universiteit van Tilburg. Inmiddels onderzoekt hij sinds 2015 namens de Rijksuniversiteit Groningen (RUG) ‘cyberattributie’.
Of beter gezegd: hoe landen als landen als Rusland, China en Noord-Korea meer en meer inzetten op offensieve cyberoperaties en hoe deze aan deze staten kunnen worden toegerekend
,,Het ministerie van Defensie, kom op’’, verzucht Moyakine in zijn nieuwe kantoor in het opgeknapte Röllinggebouw van de RUG in Groningen. ,,Het niveau van beveiliging moet echt hoger zijn als het om Defensie gaat. Gelukkig ging het om een geïsoleerd netwerk, waardoor de hackers niet van systeem naar systeem konden hoppen. Wel heel goed dat er daarna open kaart is gespeeld door de minister.’’
Sloeg u van deze hack achterover?
,,Niet meteen, al weten we niet hoe lang de software er al zat. We zijn een vrijwel volledig digitale samenleving geworden en het neemt nog altijd toe. Dat maakt ons kwetsbaar. Een willekeurige hacker kan vrij gemakkelijk een smartphone binnenkomen, zeker als updates niet worden geïnstalleerd of als met zwakke werkwoorden wordt gewerkt. Het probleem wordt natuurlijk groter als het de AIVD of Defensie treft.’’
Waarom doen de Chinezen dit?
,,Digitale spionage is niet verboden in het internationale recht. Er bestaat geen verdrag dat landen verbiedt cyberoperaties uit te voeren. Ergens is het ook nuttig. Het is voor staten belangrijk om bij anderen ‘binnen te kijken’, om zichzelf beter te beschermen. Ik zou er niet voor pleiten het strafbaar te maken, dat zou naïef zijn. Maar we moeten niet denken dat alleen landen als China of Rusland zich hiermee bezighouden.’’
Hoe raakt dit uw vakgebied?
,,Ik heb veel onderzoek gedaan naar bedrijven die namens landen zaken uitvoeren. Dat kan gaan om voedselvoorziening in oorlogsgebied, vertalers in Afghanistan of het planten van spionagesoftware. Als bij hen mensenrechtenschendingen plaatsvinden, kunnen landen hun handen er makkelijk vanaf trekken. Maar ik vind het niet kunnen dat alleen die ondernemingen kunnen worden aangepakt. Ook overheden moeten verantwoording afleggen en aansprakelijk gesteld kunnen worden.’’
Het voelt ver van ons bed, landen die elkaar met virussen bestoken.
,,In Nederland misschien, maar als in Oekraïne de luchtalarmsystemen worden uitgeschakeld door Russische hackers, kunnen de gevolgen enorm zijn. Als staten betrokken zijn bij cyberaanvallen, wordt met veel meer mankracht en financiële middelen gewerkt. Dan kun je denken aan het lam leggen van elektriciteitsnetwerken, dat je door een DDos-aanval niet meer kunt bankieren of dat dossiers van ziekenhuizen worden geblokkeerd. Het zijn reële gevaren, ook hier.’’
Hoe gaat dat in zijn werk?
,,Er wordt onder andere gezocht naar kwetsbaarheden in bedrijfsketens. Neem de hack van Defensie, die begon bij een leverancier. Je kunt het zien als corona; als het virus bij één iemand is binnengedrongen, kan het vanuit daar verder proberen te komen. Daarom is het van belang dat bij iedereen de ‘cyberhygiëne’ op orde is. Sterke wachtwoorden, constante updates en niet klikken op een vaag linkje in je mailbox. De gevolgen kunnen enorm zijn.’’
Is die hygiëne op orde in Nederland?
,,Nee, dat is mijn allergrootste zorg op dit moment. Je bent nooit honderd procent cyberveilig, maar we staan te weinig stil bij hetgeen waartoe hackers in staat zijn. En wat ze met jouw gegevens zouden kunnen doen. Identiteitsfraude, waardoor ze met jouw profiel of telefoonnummer je vrienden en familie geld aftroggelen. Of dat ze vanuit jouw werkmail heel veel schade kunnen toebrengen aan het bedrijf of instelling waarvoor je werkt. Dit zouden leerlingen op middelbare scholen al moeten leren.’’
Zo wordt ook gewaarschuwd voor apps als TikTok. Moeten die geweerd worden van de RUG?
,,Ik kan er niet over beslissen, maar er kleven natuurlijk gevaren aan. Of de cyberveiligheid van de universiteit meteen in het geding is, weet ik niet, maar wat de ontwikkelaars van TikTok met de gegevens van gebruikers doen is een ander verhaal. Bij het vak privacyrecht laat ik studenten privacyverklaringen van websites ontleden. Niemand leest ze, maar de studenten ontdekten bijvoorbeeld ook groten online winkels al meerdere schendingen. Het schudt je wakker, op een goede manier.’’
En met de razendsnelle opkomst van artificiële intelligentie (AI) hebben we misschien nog wel meer te vrezen, of niet?
,,Ik zie het niet meteen voor me dat een algoritme wordt ontworpen dat uit zichzelf cruciale systemen platlegt. Maar het mes van AI snijdt aan twee kanten. Aan de ene kant kan het worden ingezet om kwaadaardige codes te schrijven en elkaar digitaal aan te vallen, maar juist ook om onszelf beter te verdedigen.’’
Hoe blijven overheid en onderwijs bij de tijd als technologie zo veel harder gaat?
,,Het is hartstikke moeilijk, zelfs voor mensen als ik die in de materie zitten. Het is heel belangrijk om op verschillende gebieden samen te werken. Dat wij als juristen de handen ineen slaan met techneuten. Dat is wat ik al doe binnen en buiten de RUG.
,,Maar we kunnen concrete stappen maken, zoals ontwikkelaars verplichten hun voorwaarden overzichtelijk en kort weer te geven. Dat mensen sneller en gemakkelijker zien wat er daadwerkelijk met hun gegevens gebeurt. Al zal de wereld van cybersecurity altijd een kat- en muisspel blijven.’’
Publieksacademie over cybercrime
Op 6 maart kijken we bij de Publieksacademie voor de Rechtspraak door de juridische bril naar de wereld van digitale fraude. Steeds meer criminaliteit verplaatst zich naar ‘het web’. In coronatijd nam het een vlucht, vooral onder jongeren. In 2021 was 47 procent van de verdachten 21 jaar of jonger, waar dat in 2018 nog 33 procent was bij cybercrime-zaken.
Zo kreeg een 21-jarige man uit Hoogezand, in de ‘cyberonderwereld’ bekend als Pieter Babbeltruc, in januari vier jaar de celstraf. Hij deed zich voor als bankmedewerker en troggelde 55 mensen geld af, voor een totaal van bijna een miljoen euro.
Officier van justitie Jan Hoekman is gespecialiseerd in cybercrime en leidde meerdere grote cyberonderzoeken in Noord-Nederland. Meerdere keren eiste hij forse celstraffen tegen vaak jongere verdachten. Hoe gaan deze criminelen te werk en kunnen wij die kennis gebruiken om onszelf beter te beschermen?
Universitair docent Evgeni Moyakine is onder andere deskundig op het gebied van IT-recht en digitale veiligheid bij de Rijksuniversiteit in Groningen. Moyakine onderzocht onder andere hoe andere landen achter cyberaanvallen zitten en welke rechtsgevolgen dat moet hebben. Is dit een probleem dat de gemiddelde internetgebruiker ook aangaat?
Na de lezingen is er ruimte voor het stellen van vragen. Wel verzoeken wij u om de vragen algemeen te houden. Tijdens de Publieksacademie is er geen ruimte om persoonlijke kwesties te behandelen.
De lezingen zijn geschikt voor een breed publiek. Kennis over het recht is niet nodig om te lezingen te kunnen volgen. Deelname is gratis. De avond over cybercrime begint 19.30 uur in de Lokinzaal in het Rölinggebouw, Oude Boteringestraat 18 in Groningen. Opgeven kan via www.dvhn.nl/publieksacademie.
Publieksacademie voor de Rechtspraak
De Publieksacademie voor de Rechtspraak is een samenwerking tussen de Rechtbank Noord-Nederland, de Faculteit Rechtsgeleerdheid van de Rijksuniversiteit Groningen, het Openbaar Ministerie Noord-Nederland en het Dagblad van het Noorden. Rechters, officieren van justitie, hoogleraren en andere deskundigen vertellen over thema’s in het recht waar veel mensen mee te maken krijgen.
