ORANJESTAD – Cyberexpert Erik Jan Koedijk waarschuwt dat verschillende vitale organisaties op Aruba gevaar lopen, omdat hun ICT-beveiliging niet op orde is. Andere veiligheidsexperts op het eiland ontkennen dit. Wie is Koedijk? En waarom reageren Arubaanse cyberexperts boos op hem?
Een aantal zeer belangrijke organisaties op Aruba lopen onnodig gevaar voor cyberaanvallen, blijkt uit het onderzoek van Koedijk. Het gaat om de water-, stroom- en telecommunicatie-bedrijven, maar ook de eigen Veiligheidsdienst, Openbaar Ministerie en NCTVI. Het gaat om de basisveiligheid van email- en websystemen die vaak niet op orde is, stelt Koedijk. Iets wat gevaarlijk is, maar ook eenvoudig op te lossen is.
Koedijk komt al enige jaren op Aruba en de andere eilanden om trainingen te geven over cyberveiligheid. Sinds hij zijn onderzoek aankondigde, zitten lokale experts op de kast, zo ervaart Caribisch Netwerk. Ze zijn ‘not amused’ zijn, sommigen zelfs boos en vinden dat hij aan ‘paniekzaaierij’ doet. Koedijk zou van Aruba bovendien onnodig een doelwit maken voor hackers. En ermee vooral zijn eigen bedrijf willen promoten, blijkt uit de reacties.
“Ik wil niet overkomen als een of andere macamba die het allemaal beter weet. In Nederland hebben we ook nog een lange weg te gaan. Maar ik richt mij op Aruba, omdat iemand mij hier tijdens een masterclass vorig jaar heeft gevraagd: kun je iets zeggen over de staat van de organisaties op Aruba, want ons ziekenhuis is al gehackt. Met name de overheid, vitale organisaties waar wij als burgers mee moeten communiceren. Ik heb beloofd dat in maart te doen en dat heb ik dus gedaan”, legt Koedijk uit.
Wie is Erik Jan Koedijk eigenlijk?Lees het eerder gepubliceerde interview: |
Caribisch Netwerk heeft inzage gekregen in zijn onderzoek en is vervolgens met de resultaten wederhoor gaan halen bij tien van de 25 onderzochte organisaties. De onderzochte organisaties kregen enkele weken de kans om de beveiligingslek te dichten, voordat er gepubliceerd wordt.
Op kantoor bij het Nationaal Centraal Bureau Terrorismebestrijding, Veiligheid en Interpol
En wat vindt de overheidsdienst die Aruba moet beschermen tegen cyberaanvallen? Op het kantoor van het Nationaal Centraal Bureau Terrorismebestrijding, Veiligheid en Interpol (NCTVI) worden Koedijks conclusies stellig ontkend. Een taskforce cybersecurity is speciaal bij elkaar gekomen om een reactie te geven aan Caribisch Netwerk.
De taskforce is een redelijk nieuwe groep van experts die vertrouwelijk informatie uitwisselt met elkaar over cyberbedreigingen, -aanvallen, -criminaliteit en oplossingen. “Het is een publiek-private samenwerking, want de meeste kennis ligt buiten de overheid”, legt NCTVI-directeur Dolfi Richardson uit.
De bevindingen van Koedijk doen ze af als ‘niet waar, overtrokken, van lage risico en dat we nu eenmaal niet alles kunnen beveiligen’.
“We hebben alles in place. Misschien een ding niet gedaan, wat hij (Koedijk, red.) zei, maar dat is niet belangrijk. De basis is er zeker en meer”, zegt Giovanni Tromp, ICT-hoofd van water- en energiebedrijf WEB. “Elke seconde worden we wel aangevallen. Daar zitten kinderen tussen die willen spelen en serieuze hackers. Het gaat erom of ze dieper in het systeem kunnen komen en dat gaat helemaal niet zo gemakkelijk als zijn onderzoek stelt.”
‘Elke seconde worden we wel aangevallen, maar het is niet makkelijk om binnen te komen’
-Giovanni Tromp, ICT-hoofd van water- en energiebedrijf WEB
Manager informatiebeveiliging van telecommunicatiebedrijf Setar, Paul Eelens, deelt die mening. “Hij heeft testen gebruikt die heel gemakkelijk en publiek zijn. Er zijn bedrijven in de scope van zijn onderzoek waar hij de verkeerde omgeving heeft gebruikt die dient als honeypot.” Eelens legt uit dat ze bij Setar ook gebruik hiervan maken: “We leiden hackers naar een honeypot, een val, om hun bewegingen te volgen. Maar die leiden tot nergens en dieper komen ze zeker niet.”
Heel Aruba is internet-afhankelijk van monopolist Setar. Eelens zegt dat het bedrijf veel en structureel investeert in cyberveiligheid. “We zien ook de trend net als in de rest van de wereld dat de aanvallen groter en meer worden. Bij ons gaat het om vijftig- tot honderdduizend per dag. Wereldwijd gaat het bij naar schatting eenderde van het internetverkeer om botaanvallen.”
In aanloop naar de oorlog in Oekraïne monitorde Setar al extra grote bewegingen van cyberaanvallen. En vooral staatsgesponsorde cyberaanvallen, in dit geval dus door de regering van Rusland, maken landen en ook Aruba, kwetsbaar. Maar waarom zouden hackers Aruba interessant vinden, als klein eilandje?
‘Aruba is geen eiland, we zitten op milliseconden van elkaar op internet’
-Paul Eelens, manager informatiebeveiliging van telecombedrijf Setar
Eelens laat de submarine cable map zien. “Je ziet hierop dat Aruba geen eiland is. We zitten op milliseconden van elkaar op het internet. China waarvandaan ook veel gebeurt, zit bijvoorbeeld op 0,2 seconden. En bots die aanvallen, die discrimineren niet.”
Richardson voegt toe: “We hebben vaak de neiging omdat we zo klein zijn, te denken van: het is allemaal ver-van-mijn-bed-show. Maar we vergeten dat we tot het Koninkrijk behoren en die is wel in de wereld gepositioneerd als geopolitiek belangrijk.”
Het gesprek in het FBI-achtige kantoor gaat steeds meer richting de dreiging van de nationale veiligheid van Aruba door cybercriminelen en staatsactoren. Met wat doorvragen, bekent Richardson van NCTVI: “Cybercriminaliteit staat in de top 3, het moet dus topprioriteit krijgen.”
Is cyberveiligheid ook topprioriteit voor de Arubaanse politiek?
Richardson legt uit dat in 2016 een start is gemaakt met cyberveiligheid. Het Nederlandse onderzoeksbureau TNO was trekker, zou een nulmeting doen en er werd een symposium gehouden voor bewustwording. Toen kwam er een kabinetswisseling en lag het stil.
“In het laatste regeringstermijn (kabinet Wever-Croes I) wilden ze e-government van de grond tillen. Toen zeiden we dat kan alleen als er ook aan cyberveiligheid wordt gewerkt”, zegt Richardson.
Uit zijn verhaal blijkt veel nog in de planfase te zitten: een nationaal beleid, maar ook wetgeving waardoor bijvoorbeeld organisaties verplicht cyberattacks moeten melden. Iets wat ze vanwege reputatieschade vaak niet doen. Bovendien heeft het NCVTI geen bevoegdheid. Het is daarom dat deze taskforce puur op vrijwilligheid en vertrouwen informatie deelt, zegt Richardson.
‘Er moet nog veel gebeuren, maar je kan ons niet vergelijken met Nederland
-Dolfi Richardson, directeur NCTVI
Hoe veilig de overheid eigenlijk is en andere belangrijke organisaties, weet bovendien niemand. Daarvoor moeten dus nog nulmetingen worden gedaan. Ook moet er een nationale cyberraad komen onder voorzitterschap van de minister van Algemene Zaken. En vooral meer geld. “We hebben wat gekregen, eindelijk nu met de nieuwe begroting. Maar om het plan nationaal te uit te rollen, is er veel meer nodig”, aldus Richardson.
Toch vindt hij niet dat Aruba te laat is begonnen. “We zijn er net op tijd bij en ja, er moet nog veel gebeuren. Maar je kan ons niet vergelijken met Nederland, of Amerika, die zijn zelfs in de wereld voorlopers.”
‘Burgers moeten ervan uit kunnen gaan dat ze geen slachtoffer worden’
Terug naar het onderzoek van Koedijk die dus concludeert dat de overheid en vele vitale bedrijven op Aruba waaronder ook banken trouwens, de basis niet op orde hebben. “Terwijl van burgers steeds meer verwacht wordt dat ze digitaal zaken moeten regelen. Die moeten er toch vanuit kunnen gaan, dat zij geen slachtoffer kunnen worden van diezelfde organisaties?”, vindt Koedijk.
Stroombedrijf Elmar blijft erbij dat ze hun klanten wel die cyberveiligheid bieden. “We garanderen het” zegt hun IT-manager Alfred Croes. “Ja, zo moet je het niet zien, want je kan het nooit helemaal garanderen”, reageert Richardson snel daarop.
Setar legt uit dat zij de bedreigingen indelen aan de hand van risico’s en impact. “De meeste middelen gaan naar het beschermen van onze kroonjuwelen. Op nummer 1 staat aanvallen afweren die de meeste impact hebben op onze gebruikers. We kunnen ook niet iedereen gaan filteren, vanwege privacy, en onze democratie. Anders zouden we een dictatuur worden”, zegt Eelens.
‘Het is net alsof je in de wijk adverteert dat bij die buren het raam oud en stuk is. Je nodigt de dieven uit’
-Eelens over het onderzoek van Koedijk
De zorgen over deze publicatie blijven, zo blijkt aan het einde van het interview met de taskforce. Want hoewel de partijen blijven herhalen dat Koedijks onderzoek weinig zegt over hun cyberveiligheid, maken ze zich wel druk over eventuele schade door publicatie ervan.
“Het is net alsof je in de wijk adverteert dat bij die buren het raam oud en stuk is. Je nodigt de dieven uit”, zegt Eelens van Setar. “Het is niet goed voor het Koninkrijk, we komen zo onnodig in het vizier van de groten in de wereld. Die boodschap willen we wel teruggeven, dat het voor meer werk kan zorgen voor NCTVI”, concludeert Richardson.