Cyberaanvallen op journalisten: van digitaal kattenkwaad tot doelgerichte acties
Nieuws | Op de werkvloerTurkse activisten die je Twitter-account hacken en bronnen benaderen vanuit jouw naam. Het overkwam Nieuwsuur-journalist Jan Eikelboom in 2017 bij een digitale aanval. En hij is zeker niet de enige. Bijna dagelijks zijn journalisten doelwit van online inbraakpogingen, van digitaal kattenkwaad tot doelgerichte acties. Hoeveel gevaar loop je als journalist en wat kun je doen om een aanval te voorkomen? ‘Het gaat niet alleen om jezelf, je moet vooral je bronnen goed beschermen.’
Digitale aanvallen zijn er in allerlei soorten en maten. Criminele groepen schieten bijvoorbeeld met hagel op bedrijfssystemen in de hoop ergens binnen te komen en geld te verdienen met afpersing. Ze komen binnen via mails met een geïnfecteerde bijlage, of door het stelen van inloggegevens via phishing. Eenmaal doorgedrongen in een systeem maken hackers cruciale programma’s en bestanden onbereikbaar. Dat gebeurde vlak voor kerst bij de Engelse krant The Guardian, vorig jaar werd RTL slachtoffer van zo’n ransomware-aanval.
Als gevolg van de aanval kon RTL een week lang haar redactiesysteem niet gebruiken, maar door goede preventiemaatregelen bleven de gevolgen verder beperkt. Dat laatste geldt ook voor The Guardian, waar medewerkers weliswaar tijdelijk thuis moesten werken, maar konden doorgaan met publiceren. Dat de gevolgen veel groter kunnen zijn, bleek in 2015 toen de Franse tv-zender TV5Monde door een gerichte aanval bijna failliet ging. Het lukte de hackers om het tv-kanaal uren op zwart te zetten en door de grote omvang van de hack duurde het ook maanden voordat de redactie weer verbonden kon worden met het internet.
Bij zo’n aanval met ransomware zijn criminelen vooral uit op losgeld, legt cyberbeveiliger Cas Bilstra van Eye Security uit. Als extra drukmiddel worden er vaak ook gegevens gestolen. ‘Bij logistieke bedrijven is het voor criminelen interessant om de bedrijfsvoering plat te leggen omdat dat veel schade oplevert’, zegt hij. Hoe groter de schade, hoe eerder een bedrijf besluit losgeld te betalen en zo weer toegang te krijgen tot het systeem. Als voorbeeld noemt Bilstra een hack die tot gevolg had dat er dagenlang geen kaas in de supermarktschappen lag.
Bronnen en betrouwbaarheid
Bij journalistieke organisaties gaat het natuurlijk niet om een fysiek product, maar om de waarden die ze vertegenwoordigen. Journalistiek kan bijvoorbeeld niet zonder vertrouwelijkheid. ‘Daarom is het voor criminelen interessant om bij journalistieke organisaties te dreigen met openbaarmaking van gegevens. Ook al is de inhoud van die gegevens voor criminelen geen doel op zich.’
Sommige hackers richten zich specifiek op journalisten. Volgens tech-journalist Daniël Verlaan van RTL Nieuws moet de beroepsgroep zich dan ook zorgen maken over haar bronnen en betrouwbaarheid. ‘Je maakt producties met mensen die hun verhaal in vertrouwen aan jou vertellen. Die moet je dus heel goed beschermen.’ Daarnaast kan het heel ongemakkelijk zijn als iemand weet in te breken in bijvoorbeeld je Twitter-account, zegt Verlaan. ‘Als er dan een tweet verschijnt dat de minister-president is doodgeschoten, dan kan dat heel schadelijk zijn voor je reputatie.’
Bij Verlaan zelf wordt wekelijks geprobeerd om zijn 06-nummer over te nemen, toegang te krijgen tot zijn Twitter of via phishing-mails aan inloggegevens te komen. Vaak gaat het daarbij om digitaal kattenkwaad, voegt hij eraan toe, en halen whizzkids er plezier uit om een account over te nemen. Dat gebeurde bijvoorbeeld onlangs bij het Eindhovens Dagblad en eerder bij Jinek. In beide gevallen slecht beveiligde accounts. ‘Het gevaar is dan dat het podium dat je hebt wordt misbruikt.’
Nieuwsuur-journalist Jan Eikelboom was in 2017 slachtoffer van een gerichte aanval op zijn Twitter-account. Via een frauduleuze link in een privé-bericht verloor hij de toegang tot zijn account. In de uren daarna werden meerdere bronnen van Eikelboom door Turkse activisten benaderd in een privé-bericht, waarbij ook om extra contactgegevens werd gevraagd. Toen Eikelboom na een paar uur weer toegang had tot zijn account liet hij weten snel voor extra bescherming te zorgen door het instellen van twee-factor-authenticatie.
Laaghangend fruit
‘Zo’n tweede inlogstap via je authenticator-app of telefoon is laaghangend fruit. Dat zou iedereen voor z’n belangrijke accounts moeten hebben,’ zegt beveiligingsexpert Bilstra. ‘Het wordt dan niet onmogelijk om binnen te komen, maar wel een stuk lastiger.’ Volgens hem zijn er twee categorieën hackers die je account of netwerk willen kraken: kwajongens en criminelen die met hagel schieten aan de ene kant, en bijvoorbeeld inlichtingendiensten aan de andere kant. ‘Als je de interesse hebt gewekt van een statelijke actor dan komt die je netwerk wel binnen,’ zegt Bilstra. ‘In dat geval is het belangrijk hem er weer zo snel mogelijk uit te werken.’
Als redactie moet je er sowieso van uitgaan dat een kwaadwillende partij je redactiesysteem of interne netwerk uiteindelijk binnen kan dringen, zegt de beveiligingsexpert. ‘Het traditionele beeld van een kasteelmuur om je systemen is achterhaald. Er komt echt wel een keer een mail met bijlage waar je toch op klikt. Je moet er vooral voor zorgen dat je dat dan doorhebt, bijvoorbeeld door op strategische punten in je computernetwerk spreekwoordelijke camera’s op te hangen zodat je de indringer er zo snel mogelijk weer uit kan werken.’
Zowel Verlaan als Bilstra benadrukken het belang van educatie en bewustwording. Zo organiseert Bilstra voor zijn klanten regelmatig oefeningen met bijvoorbeeld phishing-mails om te kijken hoe ze erop reageren. ‘Doe dat regelmatig, want als je het één per jaar doet vergeet je het daarna weer.’ Verlaan geeft bij RTL cursussen over het onderwerp. ‘Bijvoorbeeld over hoe je bestanden van een mail veilig kunt openen. Als journalist moet je eigenlijk constant bezig zijn met het herkennen van phishing, zeker als je over gevoelige onderwerpen schrijft zoals online criminaliteit.’
Als het misgaat
En wat als het dan toch misgaat, zoals vorig jaar bij RTL? ‘Bel dan zo snel mogelijk een specialist en probeer het niet eerst twee dagen lang zelf op te lossen’, zegt Bilstra. ‘Hoe eerder je erbij bent, hoe minder kans de hackers hebben om schade aan te richten.’ Verlaan verwijst voor een standpunt op dat gebied naar de hoofdredactie, die het bij een korte reactie houdt. ‘Als redactie ben je je bij een hack natuurlijk direct bewust van mogelijke gevaren en risico’s. Hebben we gedeelde logins en moeten we daar niet vanaf? Hoe ga ik met een usb-stick om die voor mij bezorgd wordt? We konden destijds draaiende blijven omdat we veel zaken gelukkig goed op orde hadden qua beveiliging,’ aldus adjunct-hoofdredacteur Dennis van Luling.
Verlaan schreef over die inbraak bij RTL overigens gewoon een artikel, zoals hij over andere gehackte bedrijven ook zou doen. ‘Je kunt je wel voorstellen dat er op dat moment verschillende belangen waren,’ zegt hij daar lachend over. Toch vond hij het wel belangrijk om een artikel te schrijven. Volgens Bilstra is dat ook het beste dat je kunt doen: zo snel mogelijk open communiceren. ‘Tijdens een hack is er vaak een dip in het vertrouwen in het bedrijf, maar door open te zijn over de gevolgen kan dat juist voor een positieve impuls zorgen.’
Tips van Daniël Verlaan en Cas Bilstra voor het beveiligen van redactiesystemen:
- Beveilig accounts met multi-factor-authenticatie, waarbij alleen een wachtwoord niet genoeg is om in te loggen
- Kies voor elk account een uniek en lang wachtwoord (dat je kunt opslaan in een wachtwoordkluis)
- Open bestanden uit een bijlage niet zomaar, maar kijk hoe je dat veilig kunt doen. Elk bestand heeft een eigen aanpak. Voor een PDF-bestand is een veilige manier bijvoorbeeld om het in je browser te slepen en het op die manier te openen
- Update je software regelmatig om gaten in oude software-versies te dichten
- Zorg (zowel persoonlijk als op de redactie) voor goede back-ups die niet aan te passen zijn, bijvoorbeeld doordat ze niet standaard aan je netwerk zijn gekoppeld
- Zorg voor genoeg kennis bij jezelf en de redactie over de risico’s en hoe je je kunt beschermen
Meer weten? Lees de online handleiding Laat je niet hack maken van Daniël Verlaan.
Beeld: Markus Spiske (Unsplash)