IHet is niet helemaal juist om te zeggen dat de cyberaanval op de British Library op 28 oktober 2023 plaatsvond. Hoogstwaarschijnlijk was Rhysida, de hackersbende die de aanval orkestreerde en vermoedelijk Russisch is, al onopgemerkt door de Britten geslopen. Maandenlang het digitale territorium van de bibliotheek, vertelde hij me. Enrico Mariconti, docent veiligheids- en misdaadwetenschappen aan de UCL.
Zodra het inbreekt in het Virtual Private Network (VPN) van de bibliotheek – een externe verbinding waarmee medewerkers vanaf elke locatie toegang kunnen krijgen tot het netwerk – zou het in theorie kunnen beginnen door gesloten deur na gesloten deur van de vele onlinesystemen van de bibliotheek te breken, zoekend totdat ze e-mails en documenten ontdekt met details zoals scans van paspoorten van werknemers en arbeidsovereenkomsten. Hij hoopte dat deze documenten een bieder zouden kunnen verleiden om 20 bitcoins (ongeveer £600.000) te betalen voor geprivilegieerde toegang tot al die persoonlijke gegevens.
Uiteindelijk, nadat de British Library weigerde een losgeld van £600.000 te betalen, gaven de hackers bijna 500.000 bestanden vrij met wat zij ‘exclusieve, unieke en indrukwekkende’ gestolen gegevens noemden, die iedereen gratis kon downloaden op het dark web. Een beeld van de nasleep van Rizida’s aanval in oktober zou er zo uit kunnen zien: een pre-digitale nationale bibliotheek, geen wifi, geen computertoegang, zelfs de telefoonlijnen zijn dood. Behalve dat er één belangrijk verschil was. Niemand kon zelfs maar gebruik maken van de enorme collectie van 170 miljoen items van de British Library. Drie maanden later bevindt de bibliotheek zich nog steeds in de beginfase van haar herstel en zijn veel van haar diensten en systemen nog steeds niet beschikbaar. De aanval van Rizida was volgens Ciaran Martin, de voormalige topman van het National Cyber Security Centre, “een van de ergste cyberincidenten in de Britse geschiedenis”.
De tijd dat solo-hackers computerbeveiligingssystemen doorbreken om maar op te scheppen, is al lang voorbij, zoals de uitgebleekte tieners in de film Hackers uit 1995. In februari 2022 lekten jarenlange interne berichten van een Russische ransomwaregroep uit, die een kijkje boden in de logistieke dynamiek van hackgroepen. De groep in kwestie had vaak meer dan 100 werknemers op de loonlijst, die elk op afstand werkten aan verschillende bewegende delen van hun zorgvuldig geplande cyberaanvallen. Het personeelsbestand was verspreid over talrijke afdelingen, elk met een eigen budget, en er was een speciale personeelsafdeling. De afgelopen jaren heeft cybercriminaliteit zich ontwikkeld van een huisnijverheid tot een geavanceerd, gespecialiseerd crimineel racket.
Rhysida is een ransomware-as-a-service-groep. Dit betekent dat iedereen hem kan contracteren om zich op een slachtoffer van zijn keuze te richten. Zijn cliënten hoeven geen basiskennis van cybercriminaliteit te hebben, omdat Rhysida het zware werk zal doen. Hij ontdekt hoe hij in het privénetwerk van zijn slachtoffer kan inbreken, de informatie kan ophalen, vervolgens de gegevens van het slachtoffer kan coderen en een losgeldbericht kan sturen, waarbij hij vooraf een bedrag bepaalt dat aanzienlijk zal zijn, maar niet genoeg om het slachtoffer failliet te laten gaan. Vervolgens maakt het verbinding met het slachtoffer via een berichtenportaal, terwijl de cliënt een gedetailleerd overzicht krijgt van zijn voortgang.
Haar motivaties zijn verschillend. Mariconti vertelde me dat hij geloofde dat de cyberaanval op de British Library waarschijnlijk een ‘window dressing’-operatie was. Aanvallen met een hoog profiel werken als reclame voor potentiële klanten. “Er staat: ‘Hé, we zijn in staat een groot instituut aan te vallen'”, zei Mariconti. “Kom naar ons toe, geef ons geld, en wij nemen wat je maar wilt.” Dan is er nog het opportunistische element. De British Library is een uiterst belangrijke plaats voor kennis, maar in tegenstelling tot de NHS of GCHQ zou een inbreuk op de cyberbeveiliging geen onmiddellijke bedreiging vormen voor de openbare veiligheid, waardoor er minder prikkels zijn voor de overheid om haar IT-systemen te verbeteren.
De toekomst van cybercriminaliteit begint op elke andere wapenwedloop te lijken. Er zijn veel aan Rusland gelinkte hackergroepen die de neiging hebben aanvallen uit te voeren op hun eigen land (veel soorten malware werken zelfs niet eens op Russische computers). Nicole Perlroth, voormalig cybersecurityverslaggever voor de New York Times, vat de Russische richtlijnen voor hackers als volgt samen: “Ten eerste: niet hacken in het thuisland. En ten tweede: als het Kremlin om een gunst vraagt, doe dan wat het vraagt.” Ondertussen heeft het gebrek aan investeringen van de regering in cyberveiligheid het land in Groot-Brittannië tot een open doelwit gemaakt voor potentiële agressors (vorig jaar adverteerde het ministerie van Financiën voor een baan als hoofd cyberveiligheid met een startsalaris van £50.000; het gemiddelde salaris voor een rol als hoofd cyberveiligheid in de particuliere sector is bijna twee keer zo groot).
En er is nog een verborgen kostenpost die met deze wapenwedloop gepaard gaat: de impact ervan op het milieu. Het draaien van servers die malware bouwen of zich tegen dergelijke aanvallen verdedigen, vereisen een enorme CO2-uitstoot. In 2020 kon een Amerikaans cyberbeveiligingsbedrijf binnen enkele uren malware ontsleutelen die een technologiefabrikant uit zijn gegevens blokkeerde met behulp van bijna 100 cloud computing-servers. De cloud heeft naar verluidt nu een grotere ecologische voetafdruk dan de luchtvaartindustrie.
Ik vroeg professor Mariconti of de oplossing voor de groeiende mondiale dreiging van cyberaanvallen het creëren van sterkere interne grenzen binnen het internet zou zijn, zodat de firewalls van elk land meer zouden gaan lijken op die van China, waar de servers veel internationaal verkeer en internationale websites blokkeren. “Het druist in tegen de logica van internet”, antwoordde hij. “Het internet is ontstaan uit het idee om zonder beperkingen over de hele wereld te kunnen communiceren.” Deze tweezijdige kwaliteit bestaat al sinds het allereerste begin van het internet: de vrijheid om zonder grenzen rond te zwerven en het potentiële misbruik van die vrijheid.
Al die tijd hebben de Rhysida-hackers vrijelijk door de netwerken van de British Library gezworven terwijl wij in de fysieke leeszalen zaten, naïef tegenover hun bestaan. Ik vraag me af of ze ooit de ironie van hun aanvallen hebben overwogen. De omstandigheden die hen in staat stelden hun handel over de open vlaktes van cyberspace uit te oefenen, zijn de omstandigheden die ze nu van plan zijn te misbruiken, door de communicatie en het delen van kennis stop te zetten, informatie te stelen en te versleutelen, gebruikers te dwingen hun gegevens op te kopen of te verliezen, en cruciale instellingen op de knieën, zoals bibliotheken – die al deze kennis beschermen en delen, zodat iedereen er toegang toe heeft.