blogbanneimg
February 26th 2018

Gepakte cybervandalen niet doodknuffelen

Opinie | Remco Verhoef, CHO DutchSec
De recente DDoS-aanvallen op Nederlandse banken en de Belastingdienst hebben voor veel discussie gezorgd. De beschuldigende vinger wees naar de Russen of Noord-Korea, er zouden geavanceerde technieken zijn gebruikt en er waren enorme geldbedragen mee gemoeid.

 

Uiteindelijk bleek de dader een Nederlandse jongen van 18 jaar met een creditcard, die slechts 40 euro had besteed bij een zogeheten ‘stresser’, een online dienst om de DDoS-bestendigheid van websites te testen. Zijn daden zijn te vergelijken met digitaal vandalisme, de online variant van een bushokje slopen. Van een intelligente en gecoördineerde cyberaanval was absoluut geen sprake.

 

Saillant detail: de jongen voerde eerder ook een DDoS-aanval uit op de website van mijn bedrijf. Hoe we dit hebben ontdekt? Hij was zo brutaal om ons voor zijn aanval een kwade e-mail te sturen naar aanleiding van een interview dat ik die dag had gegeven. Daarin durfde ik te beweren dat de dader van de DDoS-aanvallen geen buitenlandse mogendheid was, maar een cybervandaal met een creditcard. Zijn werkwijze was zeker niet geavanceerd, waardoor zijn identificerende gegevens probleemloos in onze security-systemen werden vastgelegd.

 

Na zijn arrestatie deelde ik die informatie en deed aangifte bij de politie. De schade voor mijn bedrijf is minimaal, maar voor de banken en Belastingdienst wordt die op tonnen geschat. Tot mijn verbazing adviseerden meerdere mensen in mijn omgeving me sindsdien om de jongen niet aan te geven bij de politie, maar hem een baan aan te bieden. Dat klinkt natuurlijk idealistisch: help die hacker-op-het-zolderkamertje op het goede pad door hem in dienst te nemen. Voor een cybersecurity bedrijf is het ook helemaal niet vreemd om ‘slimme jongens die soms domme dingen doen’ onder je hoede te nemen. Wij hebben dat in het verleden al meerdere keren gedaan.

 

Cybervandalisme

 

We moeten niet voor eigen rechter spelen als het om cybervandalisme gaat. We moeten vertrouwen op ons rechtssysteem. Maar ‘onze’ DDoS-aanvaller valt absoluut niet in die categorie. Integendeel: hij is eerder een ‘handige jongen met een creditcard die domme dingen doet’. Vijf maanden geleden liep hij namelijk ook al tegen de lamp na een aanval op een andere Nederlandse bank. Deze besloot geen aangifte te doen, maar hem een taakstraf te geven. Dit bleek vooral een mooie marketingactie, want hij heeft zijn straf nooit uitgevoerd en werd ook niet achter zijn broek gezeten door de bank. Zo bleef zijn daad onbestraft en besloot hij maanden later weer op het slechte pad te gaan. Daaruit blijkt zijn criminele intentie, en dat maakt het verschil tussen hem en anderen.

 

Ik denk dat hiermee aangetoond is dat we niet voor eigen rechter moeten spelen als het om cybervandalisme gaat. We moeten vertrouwen op ons rechtssysteem, zoals bij alle soorten criminaliteit. Bedrijven moeten cybervandalen niet doodknuffelen. Want je wilt geen personen in de organisatie met een gebroken moreel kompas. Bovendien loop je het risico dat ze de volgende keer een stap verder gaan, met alle gevolgen van dien. 

 

 

Dit artikel verscheen 26 februari 2018 in het Financieel Dagblad.

RELATED ARTICLES