Den Haag plat

Afbeelding via Pixabay

Je hebt het inmiddels wel gehoord: over ruim een week wordt Den Haag een onneembare vesting. Mensen die in de wijde omgeving van het World Forum wonen en werken ondervinden al weken de nodige hinder van de grootste veiligheidsoperatie aller tijden. Maar net als bij een ijsberg zie je ook nu niet het hele plaatje.

Het vorige event dat aan deze schaalgrootte kon tippen was de Nuclear Security Summit in 2014. Die bracht ook tientallen wereldleiders naar datzelfde congrescentrum. In de elf jaar die sindsdien zijn verstreken is de dreiging op het gebied van cybersecurity enorm toegenomen. Zowel de aanvalsmethodes als de mensen daarachter zijn slimmer geworden. Veel slimmer. En uitgekookter. En dat is gemeen, omdat je je daar als gewone burger maar moeilijk tegen kunt wapenen.

“Maar wat heb ik, als gewone burger, met die hele NAVO-top te maken?”, hoor ik je denken. De meesten van ons hebben daar inderdaad weinig tot niets mee van doen – in directe zin althans. Toch kun je er wel degelijk mee in aanraking komen, al zul je lang niet altijd weten dat er een verband met die bijeenkomst is.

Dat zit zo. Grote gebeurtenissen als deze werken als een magneet op wat we met een verzamelterm ‘kwaadwillenden’ noemen. Zoals zakkenrollers afkomen op een markt, zo komen cybercriminelen en spionnen af op zo’n event van wereldformaat. Dat gebeurt om drieërlei redenen: geld verdienen, informatie buitmaken en invloed uitoefenen. Het eerste is vooral het domein van criminelen, al zijn ook sommige schurkenstaten daar van regeringswege bepaald niet vies van (ik kijk naar jullie, Noord-Korea).

Informatie buitmaken zou je vooral toedichten aan statelijke actoren uit Rusland, China en Irak (en nog een handjevol andere landen die niet op het openbare lijstje staan), maar je mag de criminelen ook hier niet uitvlakken: met ransomware-aanvallen leggen ze niet alleen organisaties plat, maar stelen ze ook gegevens, om vervolgens te dreigen met openbaarmaking. Dat vergroot hun kans dat ze losgeld ontvangen.

Invloed uitoefenen kan op verschillende manieren. Eén daarvan is het verspreiden van desinformatie. Daarmee kun je niet alleen de publieke opinie beïnvloeden, maar ook die van conferentiegangers; er zijn zelfs staatshoofden die zich gemakkelijk door desinformatie laten meeslepen. Je kunt ook invloed op zo’n top uitoefenen door hem te verstoren, waardoor bijvoorbeeld de planning in de war raakt en agendapunten komen te vervallen – in het extreme zelfs de hele bijeenkomst.

Wat ook de achtergrond van dat soort activiteiten is, ze komen samen bij jou als achteloze burger omdat ze alle drie een zelfde mogelijk startpunt hebben: phishing. Je ziet dan ook rond dergelijke evenementen een flinke toename aan phishing-pogingen, vaak met het evenement als thema. Je zou bijvoorbeeld een mailtje kunnen krijgen dat afkomstig lijkt te zijn van de gemeente Den Haag, met als inhoud: “Ondervindt u hinder van de NAVO-top, bijvoorbeeld doordat u niet op uw werk kunt komen? Vraag dan hier een schadeloosstelling aan.” Kwaadwillenden weten donders goed dat ze meer kans maken als ze met hun verhaal een gevoelige snaar weten te raken en ze geld in het vooruitzicht stellen.

Gewone phishing is schieten met hagel: het bericht gaat naar heel veel mensen en dan zien ze wel of er iemand hapt. Daarnaast wordt er ook gericht gephisht. Dat heet spearphishing. Dan hebben ze een specifiek doelwit op de korrel en wordt de phishing maatwerk. In de context van de NAVO-top zal dit ook wel toenemen.

Ik vraag me wel af hoe ze het ‘m in het Vaticaan flikken. Daar overleed de paus en vijf dagen later vond zijn uitvaart plaats, waarbij veel hoogwaardigheidsbekleders – inclusief de Amerikaanse president – acte de présence gaven. Nederland is al maanden bezig met de veiligheidsoperatie rondom de NAVO-top. Misschien wordt het eens tijd voor een informatieve dienstreis naar Rome.

 

En in de grote boze buitenwereld …

• is spionage soms heel geavanceerd.
• draagt de ware CISO een hoody en een spijkerbroek.
• vormen gestolen gegevens de brandstof voor de digitale onderwereld.
• verzetten Wikipedia-redacteuren zich tegen AI-samenvattingen, omdat ze vrezen voor de integriteit van de informatie.
• maakt AI inderdaad ‘wel eens’ pijnlijke fouten.
• was je telefoonnummer niet veilig bij Google.
• zijn je gegevens bij een Europese dochter van een Amerikaans bedrijf wél veilig; althans, wettelijk.