Ligt WhatsApp, je telefoonnetwerk of het internet plat? Dat komt maar zelden door hackers
Maar een fractie van de verstoringen online wordt veroorzaakt door hackers. Veel vaker heeft een niet-werkend internet te maken met configuratiefouten, met softwarebugs, stroomuitval of mislukte updates. Laten we ons dus niet blindstaren op mogelijke cyberaanvallen, maar breder kijken bij het ontwerpen en beschermen van digitale infrastructuur.
Niemand weet precies hoe het internet eruitziet. Dat is eigenlijk merkwaardig, omdat de mens het zelf heeft ontwikkeld. Wat iets meer dan vijftig jaar geleden begon als een klein netwerk van de Amerikaanse Defensie, is ogenschijnlijk organisch gegroeid tot het wereldwijde netwerk van netwerken waaruit het internet bestaat. Dat internet en de (mobiele) telecommunicatie-infrastructuur die ermee samenhangt vormt het weefsel van onze moderne maatschappij.
Om die infrastructuur te doorgronden, observeren wetenschappers het internet bijna zoals astronomen het heelal bestuderen. Maar in tegenstelling tot het heelal kan het internet worden aangepast, onder andere op basis van ideeën van diezelfde wetenschappers. Die dualiteit van het doorgronden en verbeteren van het internet, tezamen met de maatschappelijke relevantie, maakt het zo’n boeiend vakgebied.
Wij zijn niet de enigen. Cybercriminelen vinden digitale infrastructuur ook boeiend, maar dan vooral als middel voor financiële uitbuiting.
96 procent van de uitval komt niet door kwaadwillenden
Veiligheidsinstituten NCTV en NCSC publiceerden eind juni hun jaarlijkse analyse van de digitale dreiging van onze nationale veiligheid.* Die dreiging blijkt niet gering: door covid-19 is digitalisering in een stroomversnelling geraakt, en daarmee ook cyberspionage en gijzelsoftware-aanvallen. Doelwit: de ICT-huishouding van bedrijven en instellingen.
Facebook had deze week per ongeluk de routes naar zichzelf verwijderd, waardoor het niet meer te bereiken was
Maar hoe zit het met het internet zelf als doelwit? Het Agentschap Cybersecurity van de Europese Unie (ENISA) publiceert jaarlijks een rapport over de oorzaken van aanzienlijke telecommunicatiestoringen. In 2020 werd maar 4 procent van de verstoringen in Europese telecommunicatie-infrastructuur veroorzaakt door kwaadwillende actoren (vooral cybercriminelen en mensen die antennemasten in brand staken). Maar liefst 96 procent van de incidenten had een andere oorzaak.
Kijk je naar het percentage gebruikersuren dat verloren is gegaan door die verstoringen, dan komt nog minder op conto van kwaadwillende actoren: slechts 2 procent. In 98 procent van de gevallen was de oorzaak te herleiden tot misconfiguraties, mislukte software-updates, softwarebugs, falende hardware, energie-uitval en natuurgeweld. Oorzaken die lang niet altijd prominent in het nieuws komen.
Deze week gebeurde dat wel. Facebook, Instagram en WhatsApp werkten maandagavond urenlang niet. De oorzaak? Een misconfiguratie.
Dat gebeurde bij een enorm complex protocol, BGP, dat je kunt zien als de wegwijzers voor het internetverkeer. Met BGP zijn al vaker ongelukjes gebeurd die wereldwijde impact hadden. In dit geval had Facebook per ongeluk de routes naar zichzelf (om precies te zijn de eigen DNS-apparatuur) verwijderd, waardoor het niet meer te bereiken was.
Complexiteit staat digitale soevereiniteit in de weg
Mijn zorg is dat we bij misconfiguraties en andere grote risico’s voor onze vitale digitale infrastructuur niet dezelfde urgentie ervaren als bij cybercriminaliteit – wellicht omdat er geen ‘vijand’ achter natuurgeweld of menselijke fouten zit.
Ik verwacht dat de publieke nadruk op cybercrime ook doorsijpelt naar netwerkbeheerders en beleidsmakers. Maar die niet-criminele risico’s raken onze digitale weerbaarheid net zo goed en zouden prominenter geagendeerd moeten worden (voilà, een tip voor de vaste Kamercommissie voor Digitale Zaken).
Internet- en telecommunicatienetwerken worden namelijk steeds groter en complexer. Ze draaien op software die op de juiste manier geconfigureerd moet worden. Daarnaast is er een toestroom aan apps die steeds stringentere kwaliteitsgaranties van het netwerk eisen.
Kortom, het werk van netwerkbeheerders wordt er niet eenvoudiger op en een configuratie- of updatefout is gauw gemaakt, getuige ook het ENISA-rapport. Er zijn dus goed opgeleide netwerkprofessionals nodig, die in Nederland willen (blijven) werken. Maar daarmee zijn we er nog niet.
Er zijn ook tools nodig om menselijke netwerkfouten te reduceren. Bijvoorbeeld oplossingen die de netwerkoperator helpen configuratie-aanpassingen te maken of te verifiëren door kunstmatige intelligentie. Denk aan hoe de spellingcontrole mij bij het schrijven van dit artikel helpt spelfouten te voorkomen. Of, nog futuristischer, een ‘zelfrijdend’ netwerk dat zichzelf kan configureren en programmeren en dat ook kan uitleggen!
Deze nieuwe manier van netwerkbeheer past bij Europa’s streven naar digitale soevereiniteit, waarbij er betere controle komt over ons eigen netwerk. Want is het wenselijk om vitale digitale infrastructuur en daarmee de data van zijn gebruikers buiten Europa te laten beheren? Of om niet-Europese apparatuur, die misschien op afstand uitgezet zou kunnen worden, in de kern van het netwerk te plaatsen?
Het in eigen hand nemen van de ontwikkeling en het beheer van zulke digitale infrastructuur, wat nu veelal buiten Europa wordt uitbesteed, kan alleen van de grond komen als we netwerkcomplexiteit kunnen temmen.
Niet alleen maar moeilijk
Het streven naar digitale soevereiniteit is niet alleen moeilijk of duur, het biedt ook kansen voor Nederland. Bijvoorbeeld op het gebied van innovatie, onderwijs en verduurzaming doordat er een link is tussen digitale voorsprong en welvaart.* Om die kansen te benutten is een holistische aanpak nodig, en samenwerking tussen verschillende vakgebieden.
Welke kenmerken moet een soevereine infrastructuur dan hebben? Digitale weerbaarheid blijft cruciaal, maar is onderhevig aan meerdere risico’s zoals complexiteit en natuurgeweld, en moet als zodanig worden geanalyseerd. Functionaliteit, privacy en de impact op milieu zijn net zo belangrijk.
Dit soort aspecten staan niet los van elkaar, maar hebben een wisselwerking die het gedrag van het gehele ‘systeem’ bepaalt. Een sterk en duurzaam internet vergt een holistische benadering, ook wel systeemdenken genoemd, waarbij we de kans hebben om onze soevereine digitale infrastructuur gedeeltelijk opnieuw op te bouwen op basis van Europese normen en waarden, zoals transparantie.
Onze data vliegen onzichtbaar door de lucht richting onze modems of naar antennemasten, de wereld aan kabels en datacenters daarachter zien we niet
Nu zijn netwerken nog onzichtbaar voor de eindgebruikers, voor jou en mij met onze smartphones en computers. Onze data vliegen onzichtbaar door de lucht richting onze modems of naar antennemasten. Maar de wereld aan kabels en datacenters die daarachter schuilgaat zien we niet. We komen er ook niet achter hoe ons data- en telefonieverkeer wordt gestuurd. Gaat het via netwerken in landen of van (‘Big Tech’-)bedrijven met andere privacyregels, of andere veiligheidsstandaarden, of die het minder nauw nemen met de klimaatdoelen?
Kortom, digitale soevereiniteit biedt de burger ook de kans op meer transparantie in, en controle over, de manier waarop zijn dataverkeer wordt afgehandeld.*
Voor systeemdenkende internetwetenschappers ligt hier een mooie uitdaging om het internet weer wat beter te maken. Voor strategie- en beleidsmakers is er de uitdaging om te faciliteren dat digitale diensten die nu bij de grote techbedrijven draaien in Europa zelf worden opgezet: gelukkig is de opensourcesoftware veelal al beschikbaar.
Ik behoor tot de categorie wetenschappers. Met mijn studenten aan de TU Delft werk ik aan het temmen van netwerkcomplexiteit en aan het in kaart brengen en voorkomen van digitale ontwrichting. En samen met andere onderzoekers en via een uniek testnetwerk werk ik aan een transparanter internet. Ikzelf doe dit veelal met programmeerbare netwerkapparatuur waarbij we volledige controle hebben over welke software er in het netwerk wordt geïnstalleerd.
Het vertrouwen dat dit wekt, en de veiligheid die je daarmee waarborgt, zijn essentieel voor digitale soevereiniteit. En daarmee voor een beter en inzichtelijker internet.