Cybersecurity zit óók onder de grond: glasvezelnetwerken en sabotage

We investeren massaal in cybersecurity. Firewalls, intrusion detection, DDoS-bescherming en geavanceerde monitoringtools zijn inmiddels gemeengoed. En dat is natuurlijk ook cruciaal . Maar terwijl de digitale verdediging op de actieve laag almaar sterker wordt, blijft één kwetsbare laag vaak onderbelicht: de passieve laag – de fysieke glasvezelverbindingen waarop álles draait.

Verstoringen: niet alleen digitaal

DDoS-aanvallen zijn een bekend risico. Maar wie écht grote schade wil aanrichten, richt zich op de fysieke infrastructuur. Denk aan het doorknippen van glasvezelkabels – sabotage die niet via een toetsenbord gebeurt, maar via een graafmachine of brand. Daarom moeten zowel de actieve als passieve laag voldoende gemonitord en beveiligd worden. Voorbeelden:

• In de Baltische Zee werden eind 2024 meerdere zeekabels beschadigd. Dat leidde tot capaciteitsverlies én NAVO-bewaking van maritieme infrastructuur.
• Tijdens de Olympische Spelen in Parijs (2024) werden zowel cyberaanvallen (door o.a. APT28) als fysieke sabotages op glasvezelverbindingen gemeld.
• In Amsterdam veroorzaakte een brand bij de Oeverlandenweg – gericht op glasvezel- en voedingskabels – uitval van al het treinverkeer van en naar Schiphol.
• Tijdens de recente NAVO-top in Den Haag voerden pro-Russische hackers DDoS-aanvallen uit, terwijl er ook fysieke sabotage plaatsvond nabij kritieke netwerkknooppunten.

Best practices, normen, en wet- en regelgeving

• De Europese wetgeving begint in te lopen op deze risico’s:
• NIS2 verplicht aanbieders van essentiële diensten om single points of failure weg te nemen, risicoanalyses uit te voeren én incidenten binnen 24 uur te melden.
• CER-richtlijn (Critical Entities Resilience) richt zich op fysieke bescherming van kritieke infrastructuur, waaronder glasvezel. Organisaties moeten plannen hebben om na een incident diensten te herstellen, inclusief alternatieve levering en back-up systemen .
• DORA stelt eisen aan beschikbaarheid en integriteit van ICT-systemen, inclusief risicoafdekking in contracten met netwerkleveranciers. Uitval of sabotage van één verbinding of systeem mag geen impact heeft op de dienstverlening.
• EECC & Gigabit Infrastructure Act richten zich op de infrastructuur van elektronische communicatie, met nadruk op openheid, toegang én redundantie.
• EN 50600-2-4 – eisen aan netwerkredundantie voor datacenterconnectiviteit
• ISO/IEC 27001 & 27035 – fysieke beveiliging en incidentresponse
• Uptime Institute Tier IV – volledige scheiding van netwerk- en voedingen

Fysieke kwetsbaarheid van de passieve laag

De toegang tot datacenters en PoPs is meestal goed geregeld. Maar verderop in het netwerk – bij bijvoorbeeld  straataftakkingen en tracés – liggen kabels vaak relatief onbeschermd. Wie weet waar ze liggen en een graafmachine heeft, kan in slechts enkele minuten enorme schade aanrichten. Edge-faciliteiten liggen soms afgelegen – als er opzettelijk schade wordt veroorzaakt, dan ben je er niet snel genoeg bij om problemen direct op te lossen.  

Redundantie: alleen effectief als het écht gescheiden is

Redundantie is het sleutelwoord. Maar dan moet het wel aan strikte eisen voldoen:

• Fysiek /geografisch gescheiden routes: geen gedeelde goten, bruggen of mantelbuisjes en flinke afstanden tussen tracés.
• Onafhankelijke leveranciers: dubbele verbindingen via verschillende netwerkbedrijven.
• Topologie: voorkeur voor ring- of mesh-structuren - niet simpelweg ‘twee lijnen’ aanleggen.
• PoP-beveiliging: aparte beveiliging, fysieke afscherming en verborgen ligging van kritieke knooppunten.

Enkele ongemakkelijke vragen 

• Zijn jouw datacenters geografisch gescheiden?
• Worden écht gescheiden verbindingen gebruikt – fysiek én organisatorisch?
• Hoe snel weet je het als er op de passieve laag wordt ingebroken?
• Is je infrastructuur bestand tegen zowel een aanval met malware als met een graafmachine?

Enkele bronnen:

• https://apnews.com/article/baltic-sea-estonia-russia-nato-sabotage-92d7135682be74ef3c94298c046ae4e9
• https://apnews.com/article/france-russia-cyberattacks-paris-olympics-07389699dff13b04aa09844e488ecb7d
• https://www.nctv.nl/onderwerpen/cer--en-nis2-richtlijnen
• https://connectontech.bakermckenzie.com/europes-enhanced-cybersecurity-regime-who-does-nis2-apply-to-and-what-are-the-key-obligations 
• https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en
• https://www.swissbit.com/en/blog/post/cybersecurity-eu-regulations-that-companies-should-know-now