Tekst ritmeester Djenna Perreijn
Foto Hans Roggen

‘Kwetsbaarheden in wapensystemen aanpakken’

Een zwaar, gepantserd, mechanisch voertuig van de landmacht. Onverwoestbaar. Wie erin zit, is goed beschermd tegen de vijand. Toch? Dat is niet altijd waar. De software en de netwerkarchitectuur binnenin zijn soms niet meer bestand tegen de moderne cyberdreigingen. De afdeling Grondgebonden Wapensystemen, onderdeel van de Defensie Materieel Organisatie, neemt daarom maatregelen om de cyberveiligheid van deze pantsers te vergroten.

Informatie stelen, toegang tot systemen verkrijgen en verkeerde data invoeren. Dat zijn de gevaren die militairen lopen als hackers toeslaan in bijvoorbeeld Fenneks, Boxers, CV90’s en Pantserhouwitzers. “Stel je voor dat tijdens een operatie de locatiegegevens beïnvloed zijn. Dan kan de bestuurder denken dat zijn maatjes 100 meter links van hem staan, in plaats van rechts”, vertelt luitenant-kolonel Mike Bingel, hoofd van het bureau Techniek Manoeuvrematerieel.

Onvoldoende aandacht

Defensie en Bingel in het bijzonder wil zien te voorkomen dat zulke incidenten daadwerkelijk plaatsvinden. “Er zijn kwetsbaarheden gevonden in wapensystemen. Daar worstelen alle NAVO-partners mee. Veel wapensystemen komen uit een tijd dat er onvoldoende aandacht was voor cybersecurity. Ze zijn nu nog onvoldoende beschermd.”

De systemen in voertuigen gaan soms tot 30 jaar mee en worden gedurende hun levensduur te weinig op cybergebied geüpdatet. “De virussen zijn veel geavanceerder dan 10 jaar geleden. Hackers worden ook steeds slimmer. Wij dichten de gaten voordat zij er doorheen kunnen dringen.”

Overste Mike Bingel en Patrick van der Burg: "Onze kennis moeten we vasthouden en doorgeven binnen Defensie om de snelle ontwikkelingen in cyber het hoofd te kunnen bieden."

Grootste dreiging

Hackers vallen de website van Defensie dagelijks aan, net als die van andere departementen van de Rijksoverheid. Bingel: “Bij aanvallen op websites is vaak sprake van copycats. Die hackers zijn overal. Denk aan scholieren van 16 of 17 jaar op hun zolderkamer. Een aanval op een militair pantservoertuig ligt veel ingewikkelder. Onze grootste dreigingen komen uit andere staten. Landen met veel geld, tijd en mensen om er werk van te maken.”

Samen met Patrick van der Burg, senior medewerker Techniek, zette Bingel het project Cyber Security Grondgebonden Wapensystemen op. “In Utrecht zitten maar 3 mensen op het karwei, maar we werken samen met 4 andere organisatieonderdelen: MatlogCo, Joint IV Commando, Defensie Cyber Commando en cyberreservisten van 1 CMI Co. De reservisten hebben allemaal uitstekende hackerkwalificaties en werken bij grote bedrijven als cyberspecialist.”

Inbreken in het netwerk van een CV90 moet onmogelijk worden (archieffoto van onderhoud aan de CV90).

We willen de gaten dichten voor hackers er doorheen kunnen dringen

Nieuwe experts

De hackercompetenties zijn in het samenwerkingsverband heel belangrijk, vindt Van der Burg. “Cyberveiligheid is een jong domein, dus Defensie spant zich in om nieuwe experts aan zich te binden.” Ze hebben hun waarde nu al bewezen, vindt Bingel. “Met offensieve hacks kropen we in de huid van de tegenstander. Zo ontdekten we de zwakke plekken. Met defensieve cybermaatregelen beveiligen we de systemen nu.”

Met de resultaten maakt het team een actueel dreigingsprofiel en een risicoanalyse om vast te stellen waar ze als eerste mee aan de slag moet. “De technische oplossing kan heel eenvoudig zijn. USB-poorten, die besmet kunnen raken met virussen door het opladen van telefoons, krijgen bijvoorbeeld een tussenstukje. Daarmee worden de datapinnetjes onklaar gemaakt en laadt slechts de batterij op.” Het team deelt onze bevindingen met de leverancier en eventuele NAVO-partners. “De leverancier heeft vaak nog een bepaalde systeemverantwoordelijkheid. Estland gebruikt bijvoorbeeld ook onze CV90, dus dat land krijgt dezelfde informatie. De NAVO-ketting is zo sterk als de zwakste schakel.”

Overste Mike Bingel: "Ik ben trots op de aanpak van ons project, die is generiek toepasbaar. De luchtmacht en marine hebben onze hulp al gevraagd bij de netwerken van vliegende en varende wapensystemen."

Kwaadaardig

Om cyberweerbaarheid bij Defensie naar een hoger plan te tillen, bemoeit het projectteam zich in alle fases met de voertuigen. Bingel: “Bij de aankoop en instandhouding moeten we meer cyberbewustzijn en kennis creëren. Elke wapensysteemmanager moet zijn of haar verantwoordelijkheid nemen. De bescherming tegen kwaadaardige software is minstens zo belangrijk als de fysieke bescherming van een wapen- of communicatiesysteem. De benodigde kennis zit nog vaak verborgen in de organisatie, wij proberen een vertaalslag naar de managers en gebruikers te maken.” Een einddatum heeft het project niet. “Cyberawareness moet een vast onderdeel worden van hoe we met wapensystemen omgaan. Wij zijn dus nooit klaar.”