Column - Olympische cyberspelen

Door Lex Borger 15 apr 2022

De Olympische winterspelen van 2022 in Beijing moeten nog aanvangen wanneer ik dit schrijf, maar zijn afgelopen wanneer jullie dit lezen. Meer en meer hebben de spelen ook een kritieke cyber-dimensie. Je kunt spreken van Olympische cyberevents.

Het grootste cyberevent is een veilige uitvoering. Hierbij is er maar één deelnemer, het gastland. En de opdracht is alle bedreigingen tot verstoring van de spelen blokkeren. Een hoop kan voorkomen worden door de cyber-infrastructuur van de spelen aan te pakken als een hoog betrouwbaar grootschalig ITproject. En daarnaast natuurlijk ook deze infrastructuur goed te monitoren en intelligence te verzamelen. Dit voer je uit op die infrastructuur, via social media en natuurlijk ook op traditionele, non-cyber manieren. Dit is wel toe te vertrouwen aan het gastland deze keer.
Daarnaast is er dezer dagen een pandemie te beteugelen. Nu heeft gastland China dit al goed onder controle, dus alle deelnemers en bezoekers kunnen hier al primair als bedreiging gezien worden. Hoe houd je dat in de klauwen? Met een app. In dit geval met de schattige titel ‘My 2022’. Als je de beschrijving in de appstore doorleest, staat er geen woord over de monitoring van gezondheidsinformatie door deze app, in de privacysectie staat wel een notificatie. Het is verplicht voor atleten en bezoekers om deze app 14 dagen voor vertrek al te gebruiken. Om bij de openingsceremonie te zijn, had je het monitoren op 20 januari moeten beginnen. Zal het de organisatie lukken om covid binnen de perken te houden? Vast wel. En deze app zal daar een grote rol in spelen.

Al met al, voor dit event lijkt China goud al binnen te hebben.

Dan zijn er nog wat bedreigingen die wat unieker gerelateerd zijn aan de locatie. Als de spelen gebruikt worden om ook aandacht te geven aan vermeende misstanden in het land, kan men daar niet traditioneel hard op ingrijpen, door de aanwezige internationale media. Wat kan dan wel gedaan worden? De intelligence gebruiken die toch al verzameld wordt. Maar je kunt een stap verder gaan en alle personen met de ‘My 2022’ app te monitoren. Security researcher Citizen Lab vond een zwarte lijst
met ruim tweeduizend woorden die hiervoor ingezet kon worden. Ik ben benieuwd hoeveel gebruik hiervan achteraf aangetoond kan worden.
Het andere Olympische cyberevent is ongewenste intelligence inzameling en monitoring tegengaan. Hier speelt ieder deelnemend land aan mee. Nederland raadde atleten af om hun eigen mobieltje of laptop mee te nemen, maar daarvoor in de plaats een ‘burner’ te gebruiken. En ook om alleen maar een apart, tijdelijk e-mailadres te gebruiken. Om dan maar niet te spreken van het niet gebruiken van sociale media. Dat kun je atleten toch niet ontzeggen? Bij de euforie van een medaille winnen hoort het delen van dit moment op sociale media. Ik verwacht dat dit even groots zal gebeuren als op andere recente spelen is gebeurd.
Australië had een andere aanpak gekozen, die lijkt op de Nederlandse aanpak tijdens de winterspelen in Sotsji in 2014. Ze bouwden een eigen netwerk waar de ploeg mee communiceerde middels een VPN. Met wat discipline én medewerking van het gastland kan dit werken. Het is wel simpel om hier de stekker eruit te trekken — met kans op een imagorel, dus ik verwacht wel wat terughoudendheid. Wie zal dit event winnen? De tijd zal het leren. En vergeet niet, dit event is niet over wanneer de spelen
ten einde komen. Alles wat persistent is wordt mee teruggenomen naar huis en bij huldigingen van atleten zijn dan laterale besmettingen van huldigende bobo’s mogelijk. Het kan een tijd duren voordat hier de winnaars en verliezers duidelijk zijn. Olympische cyberspelen

Lex Borger
security consultant bij Tesorion en oud-hoofdredacteur van iB-Magazine.
Lex is bereikbaar via lex.borger@tesorion.nl

Deze column verscheen in IB2-2022.