Hoe de volkstelling in Australië deze week een gigantische IT-ramp werd

Waarschijnlijk heb je er niks van mee gekregen in Nederland, maar het was een heftige week in Australië. Daar begon maandag de volkstelling, Census, die voor een grootste deel online verloopt. De verwachting was dat tweederde van de Australiërs het benodigde formulier naar verwachting online zouden invullen. Maar al vrij snel ging het finaal mis. De website van de volkstelling en die van de Australian Bureau of Statistics (ABS) werden in de nacht van maandag op dinsdag (lokale tijd) via een DDoS-aanval offline gehaald. Wat ging er mis?

Het Australische volk werd dinsdag wakker om tot de conclusie te komen dat ze niet mee konden doen aan de volkstelling. De website was offline. Al vrij snel werd aangegeven dat het om een aanval van buitenlandse hackers ging. Data werd er niet gestolen, maar burgers waren al vrij snel in paniek. Hoe gingen ze nu formulier invullen? Doe je namelijk niet mee aan de volkstelling, dan krijg je een boete.

David Kalisch, statisticus bij ABS, probeerde iedereen gerust te stellen: “We willen Australiërs helpen herinneren dat ze nog genoeg tijd hebben om te volkstelling te voltooien, tot ruim in september. Voltooi je de volkstelling pas na de volkstellingsnacht, dan krijg je geen boete.”

Geen hack

Diezelfde dag kwam er nog een persconferentie. Conclusie: het was geen aanval en geen hack. “Een hack is wanneer iemand een systeem binnendringt en het gebruikt voor malafide doeleinden. Er was geen aanval, geen hack, omdat dat soort informatie niet naar buiten kwam”, lichtte de president toe.

In werkelijkheid ging het om een distributed denial of service attack, beter bekend als DDoS-aanval. Hierbij wordt er zoveel verkeer naar een website toegestuurd, dat de servers het niet aankunnen en de website offline gaat. Uiteindelijk heeft de ABS de website zelf offline gehaald. Deze was in totaal twee dagen niet beschikbaar.

Opvallend genoeg zijn experts kritisch over deze benaming. “Er is vrij weinig bewijs voor een substantiële DDoS-aanval”, vertelt Stephen Merity, een onderzoeker naar kunstmatige intelligentie, op news.com.au. “Grote DDoS-aanvallen zijn zelfs in triviale netwerkanalyses duidelijk en kunnen real-time gevisualiseerd worden. Of er heeft geen DDoS-aanval plaatsgevonden, of – nog zorgwekkender – een kleine en zeer voorspelbare DDoS-aanval heeft de website platgelegd.” Tot nu toe lijkt het laatste het geval.

IBM

En daarmee verschuift de focus naar IBM. De techgigant was namelijk door de ABS aangenomen om een groot deel van de technologie achter de volkstelling op zich te nemen. Patrick Gray, een ervaren journalist, zegt dat ABS en IBM bescherming tegen DDoS-aanvallen aangeboden kregen van NextGen Networks. De beide bedrijven zouden echter gezegd hebben dat ze het niet nodig hadden. Wat ze wel deden was NextGen vragen om al het verkeer buiten Australië te blokkeren als er een aanval zou plaatsvinden.

Tijdens de eerste aanval deed NextGen dit dan ook. Maar toen er later nog een aanval kwam – een relatief kleine – kwamen er waarschuwingen uit de bewakingsapparatuur van de Australische IBM die ten onrechte werden geïnterpreteerd als data die risico liepen. Daarnaast faalde er een vitale router, waarop ABS de website offline haalde.

IBM heeft inmiddels aangegeven dat ze de “ongemakken oprecht betreuren”. Daarnaast gaven ze aan dat er geen data naar buiten is gekomen. “Onze cybersecurity-experts werken met de nationale inlichtingendiensten om de integriteit van de website te waarborgen.”

Kritiek

Niet alleen IBM werd aangenomen voor de volkstelling, ook Revolution IT uit Melbourne werkte er aan mee. Dit bedrijf werd ingehuurd om loadtesting te doen, zodat ze zeker wisten dat de website al het verkeer aan kon. Een woordvoerder van Revolution IT zegt echter dat het probleem een “beveiligingsprobleem was, dat geen onderdeel uitmaakte van de loadtesting waar Revolution IT voor betaald werd”.

Ondertussen kan IBM niet alleen rekenen op kritiek van de Australische overheid, de president en zijn kabinet. Ook de techwereld heeft wat scherpe kritiek op het bedrijf. Zo noemt de CEO van PoweredLocal, een Australische startup, Michael Jankie het een “klap in het gezicht voor ons allemaal” en benadrukt hij hoe de mislukking reflecteert op de gehele industrie. Daarnaast is dit volgens Jankie een flinke stap achteruit op het gebied van elektronisch stemmen.

Te verwachten

Meest opvallend is nog wel dat veel partijen aangeven dat ze de mislukking wel hadden verwacht. Een anonieme bron binnen ABS vertelde het radiostation 2UE dat hij had gezien hoe de systemen getest werden en dat ze regelmatig faalden. “Degene die het testte wist dat het ging mislukking. Veel van hen wisten dat.”

Chris Libreri, de baas van ABS, sprak dit tegen. “We hebben de website acht uur lang getest op 150 procent van de mensen waarvan we verwachten dat ze het dinsdag zouden gebruiken. Het leek er niet op dat het kapot ging. We zouden dit niet doen tenzij we het veilig konden doen.”

Niet voor het eerst

Maar het niet voor het eerst dat er dingen fout gaan bij IBM in Australië. In 2013 waren er zulke rampzalige problemen tussen IBM en de regering van de staat Queensland, dat de techgigant op een zwarte lijst kwam te staan. In 2010 rolde IBM namelijk een gebrekkig systeem uit voor Queensland Health, waardoor er duizenden fouten met betalingen werden gemaakt. Dit project had 6,9 miljoen dollar moeten kosten, maar kwam uiteindelijk neer op 1,25 miljard dollar.

Ondertussen is de website weer online en kunnen Australische bewoners de volkstelling invullen. Velen geven echter aan er nog niet zeker van te zijn of ze dit doen, als gevolg van de DDoS-aanval en de nasleep ervan.