In een eerste reconstructie van de problemen bij ING vroeg NRC Handelsblad zich af hoe een ‘ervaren bank toch zo kan blunderen’. ING zou fouten hebben gemaakt ‘in de weergave van de saldo’s en ‘de mogelijkheid dat het ging om ‘een Ddos-aanval lijkt onzinnig’.
De Consumentenbond verweet ING slechte communicatie. Brancheverenigingen vonden dat banken meer moeten investeren in hun systemen. Hans Biesheuvel, voorzitter van MKB-Nederland, vond de kwestie ING ‘een onacceptabele situatie’. Minister Opstelten moest naar het vragenuurtje in de Tweede Kamer komen. PvdA, CDA en SP willen met experts spreken om inzicht te krijgen hoe de veiligheid op internet kan worden vergroot.
Beschuldigingen ING deels onterecht
Het meest opmerkelijk is dat de ING werd bedolven onder verwensingen. Te oordelen naar die reacties leek Nederland op de rand van een financiële meltdown en algehele ontwrichting te staan. Inmiddels lijkt het toch om een Ddos-aanval te gaan die meerdere banken, iDEAL én de Telegraaf trof. Beschuldigingen aan het adres van ING bleken dus deels onterecht.
Dat cyberaanvallen niets nieuws zijn, blijkt uit de recente geschiedenis. Parlement, banken en overheidsinstellingen van Estland werden in 2007 aangevallen. Omdat er een controverse met Rusland heerste over oorlogsgraven en een Russisch standbeeld, werd al snel met de vinger in die richting gewezen. Iran zou achter de aanval op DigiNotar zitten waardoor in 2011 Nederlandse overheidswebsites gevaar liepen. In Zuid-Korea gingen twee weken geleden banken plat. Deze week voerde Anonymous naar eigen zeggen een aanval op overheidswebsites van Israël uit, uit onvrede met de behandeling van Palestijnen. Dit soort activisten zal zich steeds meer op internet laten gelden om door middel van hacks en cyberaanvallen een boodschap over te brengen of om gewoon de boel ontregelen.
Internet is kwetsbaar
We slagen er niet in om criminaliteit uit onze maatschappij te bannen. Dat zal ook niet lukken met digitale misdaad. Digitale criminelen richten zich steeds meer op het verkrijgen van toegang tot grote, kwetsbare computernetwerken. Via inbraken in complexe procesbesturings- of SCADA-systemen hopen ze in één klap een slag te slaan. Het probleem is dat dit veelal aan elkaar gekoppelde houtje-touwtje-systemen zijn. Cybersecurity speelde bij het ontwerp geen rol.
De technische kant van de kwetsbaarheid van het internet is interessant, maar de sociale kant is dat ook. Internet behoort bij de vitale infrastructuur. Loopt die gevaar, dan is de nationale veiligheid in het geding.
Ik was niet ongelukkig met de kwestie-ING, want dit drukt mensen met de neus op de feiten: het internet is kwetsbaar. Storingen en criminaliteit horen erbij. De lessen? Snel conclusies trekken over de oorzaak en het aanwijzen van schuldigen is hachelijk zonder gedegen feitenonderzoek. Dat laatste kost tijd, maar woedende twitteraars eisen onmiddellijk tekst en uitleg. Dat is onmogelijk. Wel weten we dat een kleine groep Nederlanders haar woede en onzekerheid via Twitter en andere sociale media afreageert op anderen. Negeer hen, zeg dat je aan het probleem werkt en voorkom dat schreeuwers invloed op bedrijfsvoering en politiek krijgen. De belangrijkste les? Leg wat extra contanten onder je matras voor als het echt fout gaat.