Microsoft waarschuwt voor een virtuele 9/11, een aanslag erger dan die op de Twin Towers in New York in 2001. De massale hack van SolarWinds waarbij op 18.000 netwerken van overheden en bedrijven malware werd afgevuurd, is daar een voorbode van. Als er niet snel collectief tegenmaatregelen worden genomen, kan het straks te laat zijn als de volgende 9/11 zich aandient.
Microsoft-president Brad Smith deed tijdens zijn keynote op de Consumer Electronics Show (CES) een dringende oproep aan techbedrijven, regeringen en de publieke en private sectoren zich tegen de aanvallen van staatshackers te wapenen. Informatie over dreigingen moet veel beter worden uitgewisseld. ‘We moeten data op nieuwe manieren gaan delen,’ aldus Smith die opriep tot veranderingen in (bedrijfs)cultuur.
De kwestie rond SolarWinds leert dat het volgens hem snel anders moet. Bij onvoldoende en late deling van informatie wordt een dergelijke ramp onnodig groot. Een uitgebreide keten van softwareleveranciers waaronder ook Microsoft bleek na deze hack kwetsbaar.
War Games
Volgens Smith dreigt het zwarte scenario uit sciencefiction-films uit te komen. Computers kunnen in de verkeerde handen komen en veel onheil aanrichten. De Microsoft-president toonde tijdens zijn toespraak beelden uit de film War Games (1983) waarin een knaap onbedoeld inlogt op een computer die is gekoppeld aan het Amerikaanse arsenaal kernwapens. Bijna wordt een beslissingsprogramma ten uitvoer gebracht dat de Amerikaanse tegenaanval inzet bij een nucleaire dreiging. Deze computer kan nauwelijks worden gestopt. Deze film bracht de toenmalige president Ronald Reagan op andere gedachten over nieuwe kernwapens. Anno 2021 hebben we geen film meer nodig om ons op de gevaren te wijzen, zei Smith.
De recente besmetting van een hele keten aan softwarebedrijven laat zien hoe groot de veiligheidsrisico’s zijn. Het gevaar is levensgroot aanwezig dat de mensheid de controle over computers kwijtraakt. Na de hack van SolarWinds sprongen de aanvallers van de ene computer naar de andere over. Ze belandden uiteindelijk bij de systemen van de overheid, niet alleen van de Verenigde Staten maar ook van andere landen.
Rusland
Één land heeft deze aanval ingezet, zei Smith zonder daarbij Rusland te noemen. Volgens hem zijn deze statelijke actoren daarbij verder gegaan dan ooit tevoren. Tot voor kort beperkte men zich tot spionage. Alle landen bezondigen zich daar aan. Smith: ‘Maar daarbij gelden nog bepaalde normen en regels.’ Bij de aanval op SolarWinds was echter sprake van volledige wetteloosheid. ‘Dit is niet een geval van een natie die een ander land bespioneert. Hierbij werd de totale supply chain aangevallen op massale schaal en willekeurig,’ aldus de Microsoft-topman.
Het gevaar is aanwezig dat de vitale infrastructuur bij zo’n aanval ontwricht kan raken. Hij herinnerde in dit verband aan de Russische cyberaanval op Oekraïne waar enkele jaren geleden 10 procent van de stroomvoorziening in een etmaal werd platgelegd. Zo’n aanval is volledig onaanvaardbaar, aldus Smith. De hele it-sector moet volgens hem samenwerken om dit soort dreigingen tegen te gaan. Een andere reden om gezamenlijk actie te ondernemen vormt het hacken van ziekenhuizen, organisaties in de gezondheidszorg en eerste-lijn-medewerkers in de zorg tijdens de pandemie. Smith: ‘Wanneer we als industrie onze stem niet laten horen, wie doet dan wel?’
