De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) houdt zich bezig met het onderzoeken van Advanced Persistent Threats (APTs) die het op de Nederlandse infrastructuur hebben voorzien. Dat liet de inlichtingendienst bij monde van Sebastian Reyn tijdens de conferentie van het Nationaal Cyber Security Center in Den Haag weten.

Cyberspionage is volgens Reyn nog steeds één van de grootste dreigingen waar Nederland mee te maken heeft. APTs, malware die gemaakt is om onopgemerkt en vaak over langere tijd netwerken te infiltreren om vervolgens allerlei gegevens te stelen, spelen daarbij een belangrijke rol.

"De nadruk ligt met name op de APTs. Het is onze taak om 'ondergrondse' dreigingen te detecteren die zich onder het oppervlakte bewegen." Naast cyberspionage gaat het ook om aanvallen op de kritieke infrastructuur. De AIVD zegt dan ook dat het dreigingen zoals Stuxnetachtige wormen probeert te detecteren.

"Wij zoeken niet naar criminelen die creditcardgegevens stelen. Wij zoeken niet naar spammers of naar mensen die Project X feestjes zoals in Haren organiseren." Dat laat de inlichtingendienst volgens Reyn aan de politie over.

Bevoegdheden
De AIVD beschikt over speciale bevoegdheden, zoals het gebruik van apparaten om encryptie te omzeilen en het monitoren van telecommunicatie. "Door deze bevoegdheden kunnen de inlichtingendiensten cyberaanvallen op een unieke wijze onderzoeken."

"Wat ons ook uniek maakt, is dat we allerlei aanpakken kunnen toepassen", ging Reyn verder. In het geval dat de kritieke infrastructuur wordt aangevallen en hier mogelijk een specifiek land van wordt verdacht, zou de AIVD een human intelligence source kunnen inzetten.

Die kan achterhalen of de aanval door de overheid in dat land of onder toezicht ervan is uitgevoerd, of dat het toch het werk van een privépersoon is. "Attributie vereist meer dan alleen technisch onderzoek naar een cyberaanval om de herkomst te achterhalen."

Detectie
Het werk van de AIVD zou zich steeds meer naar het cyberdomein verplaatsen. Om aanvallen tegen de kritieke infrastructuur te voorkomen detecteert de AIVD APTs, onderzoekt het digitale aanvallen en cyberspionage, verhoogt het bewustzijn en werkt het mee aan de ontwikkeling van cybermogelijkheden.

Wat betreft APTs helpt de AIVD zowel overheidsorganen als bedrijven met het detecteren van geavanceerde malware-aanvallen op hun netwerken. Op verzoek van organisaties analyseert de AIVD het netwerkverkeer op verdachte activiteiten. De inlichtingendiensten gebruiken deze informatie, aangevuld met informatie van andere diensten, om signatures te ontwikkelen.

"Daardoor kunnen we malware detecteren die nog niet publiek bekend is", vertelde Reyn tegenover de zaal. Deze informatie kan de AIVD vervolgens gebruiken om andere organisaties te beschermen.

China
Als het gaat om staatsaanvallen en cyberspionage is er een land dat vaak genoemd wordt, namelijk China. "Volgens schattingen gebruikt China tienduizenden cyberspionnen in het leger en inlichtingendiensten." Reyn stelt dat China actief van de hackergemeenschap in het land gebruik maakt om de eigen cybermogelijkheden te vergroten. Ook zou het land duizenden soldaten hebben die zich met het verzamelen van inlichtingen via internet bezighouden.

"Wij onderzoeken malware-aanvallen die vanuit China afkomstig zijn." Een opmerkelijke eigenschap is dat veel van de malware waarvan China wordt verdacht, tijdens Chinese kantooruren is ontwikkeld of actief is, merkte Reyn op. Bij de meeste aanvallen is het echter onmogelijk om de dader te achterhalen.

Ook de AIVD gebruikt het internet om inlichtingen te verzamelen. "Maar we doen dit wel binnen het raamwerk van de wet." Reyn stelt dat bedrijven die met strategisch waardevolle informatie werken moeten weten dat ze samen met de AVID kunnen werken, om verdachte activiteiten op hun netwerken te detecteren. “We zullen hen helpen om hun netwerken veiliger te maken.”