Vorig weekend raakten 230.000 systemen geïnfecteerd met de WannaCry-ransomware. Gebruikers konden niet meer bij belangrijke documenten, tot ze een bedrag in Bitcoin over zouden maken naar de daders. Ook delen van de National Health Service in Groot-Brittannië en Deutsche Bahn lagen plat.

De aanval werd uiteindelijk gestopt door één dude, de mysterieuze MalwareTech, die na een klopjacht van de Britse roddelpers werd ontmaskerd als een pizza-etende 22-jarige hacker die nog bij zijn moeder op zolder woont. Hij vond per ongeluk een zelfmoordknop in de vorm van een domeinnaam in de ransomware. Hij registreerde het domein en inderdaad, het werkte. De ransomware was dood en de 22-jarige jongen danste in het rond. Overheden en bedrijven weten het internet niet veilig te houden – een gast op zolder wel.

Dit is geen houdbare situatie. We kunnen er niet op rekenen dat bij elke cyberaanval iemand die nog bij zijn moeder woont de wereld komt redden. Er zijn niet genoeg woorden in het Nederlands om te zeggen hoe zeker het is dat dit nog duizenden keren gaat gebeuren.

De hackergroep Shadow Brokers, die de exploit achter WannaCry openbaar maakte, zegt dat het vanaf volgende maand exploits op abonnementsbasis gaat aanbieden. Ze verkopen cyberwapens waarmee criminelen in potentie “het hele universum kunnen vernietigen“. De Shadow Brokers claimen dat het een grote voorraad exploits van de NSA heeft weten te bemachtigen. “Wij waarschuwen er al jaren voor”, zegt Martijn van Lom, manager van Kaspersky Lab Benelux. “Die cyberwapens vallen vroeg of laat in verkeerde handen.”

Wat ging er eigenlijk fout? Een voordeel van de ontmaskering van MalewareTech is dat iedereen een klein kijkje krijgt in hoe ontzettend amateuristische internetveiligheid eigenlijk is. Als een 22-jarig hackertje een wereldwijde aanval weet te stoppen, weet je zeker dat cyberveiligheid niet serieus wordt genomen. Nederland investeert maar 28 miljoen in cyberveiligheid, en is volgens een rapport dat eerder deze week uitkwam dan ook totaal niet “cyber ready”.

Maar het antwoord is niet alleen dat overheden falen om ons veilig te houden. Het ligt in de eerste plaats aan ons zelf: te weinig mensen zien cyberdreiging als een echt gevaar. De WannaCry-aanval kon alleen maar zo snel om zich heen grijpen omdat heel veel mensen te lui waren om hun systeem te updaten.

Als dat wel was gebeurd, zou de aanval nooit zijn uitgebroken. Bij bedrijven hangt blijkbaar vaak een gemakzuchtige cultuur. Ze updaten niet omdat het allemaal te duur, te omslachtig, of gewoon niet belangrijk genoeg lijkt.

“99 procent van alle problemen ligt in verouderde software,” zegt veiligheidsexpert Brenno de Winter. Nieuwe wetgeving of meer geld zijn veel minder belangrijk dan het creëren van bewustzijn over dit gigantische probleem.

We moeten vooral de zwakkeren van de samenleving helpen. Natuurlijk worden ook tech-fanaten het slachtoffer van ransomware, maar vooral kinderen en ouderen zijn een gemakkelijk doelwit. Ouderen hebben niet de skills om aan te haken bij veilig internetgebruik, kinderen snappen het belang niet. “We vroegen kinderen wat online privacy betekent, en ze dachten dat het ging om internetten op de kamer met de deur dicht,” zegt Sonnia Chiasson, onderzoeker aan de Canadese Carleton University.

Chiasson probeert een nieuwe veilige online interface te maken voor ouderen en kinderen. “We moeten aan ze denken bij het ontwerp van een interface,” zegt ze. “Het ontwerp is nu gericht op de ‘gemiddelde’ gebruiker, en dus totaal niet geschikt voor hen.” Zolang er nog geen nieuwe wereldwijde interface is, moeten we ons zorgen maken om deze groep en brengen ze ons allemaal in gevaar. Al voelt het soms als trekken aan een dood paard.

Is er dan wel een structurele oplossing? De Winter en Van Lom roepen het bijna in koor: de cyberwapens afschaffen. “Ze maken meer kapot dan ons lief is,” zegt Van Lom. De Winter pleit er ook al langer voor. Wie veilig wil zijn op het gebied van internet, moet zijn cyberleger juist ontmantelen.

Wacht even. Dit klinkt natuurlijk fantastisch, maar is het wel realistisch? Natuurlijk moeten geheime diensten niet met sleepnetten al onze data opvissen. Maar als Nederland haar cyberleger ontmantelt, hoe gaan Rusland en Noord-Korea dan reageren? Als zij niet ook hun wapens neerleggen, zitten we alleen nog maar verder in de problemen.

De Winter: “Bij non-proliferatie is het ook heel ingewikkeld om die controles uit te voeren. Toch doen we dat. Op het moment dat je bewijzen vindt dat dit soort dingen gebeuren, kun je daar wel degelijk sancties voor verzinnen. Bovendien: als we die wapenwedloop inzetten om de lekken juist te dichten, zou [iedereen er veiliger op worden].”

Laten we hopen dat onze overheid eindelijk eens zijn verantwoordelijkheid neemt en ons echt gaat beschermen in plaats van ons alleen maar schijnveiligheid te geven. Want volgende keer hebben we misschien niet het geluk dat een random 22-jarige gast op een zolder ons kan redden.