Ze worden de “digitale Zwitserse Garde” genoemd, de 90 cybersecurityexperts die het Vaticaan beschermen tegen cyberaanvallen. De initiatiefnemer en leider van deze groep vrijwilligers is Nederlander Joseph Shenouda: “De online wereld is een belangrijk strijdperk aan het worden, en het Vaticaan is daar ook aanwezig.”
Met hun blauw-gele uniformen en hellebaarden zien de leden van de Zwitserse Garde er tamelijk excentriek uit. Toch weet iedereen die Vaticaanstad bezoekt en deze beroepsmilitairen op wacht ziet staan meteen dat de paus en zijn directe omgeving streng beveiligd worden.
Wat echter niemand kan zien, is dat ook de digitale aanwezigheid van de Kerk en Vaticaanstad door alerte schildwachten beschermd wordt. De Vatican CyberVolunteers hebben lang niet zo’n iconisch uiterlijk als de Zwitserse Gardisten, maar in een wereld waarin conflicten steeds vaker met cyberaanvallen worden uitgevochten, is het werk van deze cybersecurityexperts onontbeerlijk.
Hun oprichter en leider is de in Helmond woonachtige cybersecurityspecialist Joseph Shenouda. Hij startte het netwerk in 2022, toen hij besefte dat de digitale beveiliging van het Vaticaan er beroerd aan toe was. “Ik zag dat het Vaticaan heel erg achterliep op dat gebied. Alles stond gewoon onbeveiligd online.”
Volgens een ranglijst van de Internationale Unie voor Telecommunicatie, een organisatie van de Verenigde Naties, valt de Heilige Stoel op dat vlak in de slechtste categorie, samen met landen als Jemen en Afghanistan. “Dan ben je loslopend wild”, aldus Shenouda.
“Het Vaticaan heeft wel een sterk IT-team, maar dat team heeft niet veel verstand van cybersecurity. Ook is er niemand die beleid maakt over digitale veiligheid. Daardoor krijg je een jungle van dingen die online komen. Verder neemt het Vaticaan veel digitale producten af bij externe partijen, die niet gecontroleerd worden.”
Dat maakt Vaticaanstad kwetsbaar voor verstoring en diefstal van gegevens. “Met die kennis ben ik het Vaticaan gaan aanschrijven, met de boodschap: ik zie deze problemen en ik zie dat er niets aan wordt gedaan”, vertelt Shenouda. Daarbij besloot hij ook om de daad bij het woord te voegen en “gewoon te beginnen” met het verbeteren van de Vaticaanse cyberbeveiliging.
In een paar jaar tijd groeide de Vatican CyberVolunteers uit tot een netwerk van ongeveer negentig – voornamelijk katholieke – cybersecurityspecialisten uit onder meer Italië, de Verenigde Staten, Polen en Nederland. “De een heeft toegang tot bepaalde kennis, de ander heeft heel goed materiaal tot zijn beschikking. Zo draagt iedereen een stukje bij.”
Zoals de naam al verklapt werken alle specialisten binnen het netwerk op vrijwillige basis. Daarbij genieten ze hemelse bescherming: de zalige Carlo Acutis, de vijftienjarige ‘internetapostel’ die in september heilig zal worden verklaard, is de patroonheilige van de groep.
De Vatican CyberVolunteers houden zich voornamelijk bezig met zogenaamde security findings: het opsporen van zwakke plekken. Daarbij komen ze van alles tegen: van mailadressen van Vaticaanse medewerkers die worden verkocht op het darkweb (een niet vrij toegankelijk deel van het internet dat vaak voor criminele doeleinden gebruikt wordt) tot signalen dat een cyberaanval in aantocht is.
“Ook hebben we wel eens valse wifirouters gevonden op het Sint-Pietersplein”, vertelt Shenouda. “Cybercriminelen laten die achter in de hoop dat mensen hun telefoon of laptop daarmee verbinden, zodat ze gegevens kunnen stelen en mogelijk ook een virus op je apparaat kunnen achterlaten.”
Shenouda verzamelt de ontdekkingen van zijn medevrijwilligers, analyseert en verifieert die informatie en giet dat vervolgens in een rapport voor het Vaticaanse IT-team, samen met een gedetailleerd stappenplan dat zij kunnen volgen om de problemen op te lossen. “Negen van de tien keer gebeurt dat dan ook. Die ene keer dat het niet gefikst wordt, komt dat doordat de Vaticaanse medewerkers de capaciteit niet hebben om het op te lossen.”
We hebben wel eens valse wifirouters gevonden op het Sint-Pietersplein.
Dat doen Shenouda en zijn medevrijwilligers allemaal naast hun baan, maar volgens hem “valt het wel mee” hoeveel tijd de digitale beveiliging van het Vaticaan hun kost. “Als ik genoeg bevindingen heb verzameld, werk ik er een uurtje aan. Het kost niet veel tijd, maar de impact is groot. Het gaat tenslotte om grote en vaak hele gevoelige zaken.”
Ook zijn de Vatican CyberVolunteers sinds enige tijd in gesprek met een aantal grote cybersecuritypartijen om hun slagkracht flink uit te breiden. “We hebben een overeenkomst getekend die ons toegang geeft tot hoogst geclassificeerde informatie, die eigenlijk alleen op overheidsniveau beschikbaar is. Daarmee kunnen we nog veel pro-actiever op zoek gaan naar veiligheidsproblemen.”
Niet alleen cybercriminelen hebben het op de Heilige Stoel gemunt. Tegenwoordig worden geopolitieke geschillen steeds vaker met digitale wapens beslecht, waarbij ook het kleine en neutrale Vaticaanstad doelwit is.
Zo heeft China in het verleden cyberaanvallen uitgevoerd tegen het Vaticaan vanwege de activiteiten van de Kerk in Hongkong, een ‘speciale administratieve regio’ die Beijing steeds meer onder controle wil krijgen.
In november 2022 gooiden Russische hackers de website van het Vaticaan plat nadat paus Franciscus de Russische invasie van Oekraïne in felle bewoordingen had veroordeeld. “Voor cybersecuritybegrippen was dat een laagdrempelige aanval, maar daarmee wilde Rusland wel een signaal afgeven”, legt Shenouda uit.
“Een raket afvuren als signaal doen ze niet, daarmee zouden ze een oorlog ontketenen. Maar een digitale aanval, daar komen ze wel mee weg. Daarom is de online wereld zo’n belangrijk strijdperk aan het worden, en het Vaticaan is daar ook aanwezig.”
Wat Shenouda vurig hoopt, is dat het Vaticaan een Chief Information Security Officer (CISO) aanstelt, oftewel een eindverantwoordelijke voor digitale beveiliging. “Toen in 2019 Gianluca Gauzzi Broccoletti het hoofd van de Vaticaanse veiligheidsdienst werd, had ik goede hoop, want hij is cybersecurityexpert. Maar hij heeft zich eigenlijk alleen maar beziggehouden met fysieke beveiliging. Er moet een digitale Gianluca komen, die zich volledig toespitst op cybersecurity.”
Mensen denken al snel: ons zal niks gebeuren, dus het zit wel goed. Maar dat is niet zo.
Het liefst ziet Shenouda dat het werk dat de Vatican CyberVolunteers nu vrijwillig doen uiteindelijk volledig door het Vaticaan wordt overgenomen. “Ze kunnen niet voor altijd leunen op vrijwilligers voor hun cybersecurity.”
“Dat werkt weliswaar al drie jaar heel goed – het Vaticaan is nog steeds online aanwezig, we hebben veel kunnen ontmantelen en veel infrastructuur kunnen verbeteren – maar ze hebben in het Vaticaan gewoon echt een CISO nodig. Iemand binnen het Vaticaan moet honderd procent van zijn tijd aan cyberbeveiliging kunnen besteden.”
Shenouda en zijn Vatican CyberVolunteers zijn actief op Vaticaans niveau, maar parochies zijn ook digitaal aanwezig. Parochies drukt hij vanuit zijn expertise op het hart om altijd voorzichtig te zijn, want zij zijn net zo goed interessant voor internetcriminelen.
“De belangrijkste tip die ik kan geven is: gooi nooit zomaar iets online. Of het nu om een website of een online project gaat: laat het checken door een cybersecurityexpert. Die gaat dan op zoek naar zwakke plekken, net als een hacker, maar hij dicht de gaten zodat hackers geen kans meer maken.”
Daarnaast vindt hij het belangrijk dat mensen gaan beseffen dat de wereld hoe dan ook een stuk digitaler is geworden. “Heel veel gebeurt online: het is al lang niet meer allemaal op papier en plaatselijk. De Kerk is voor een heel groot deel online. Mensen denken al snel: ons zal niks gebeuren, dus het zit wel goed. Maar dat is niet zo, want er gebeurt een heleboel; wij komen telkens weer nieuwe dingen tegen.”
Daarom wil Shenouda het bewustzijn bevorderen dat het digitale deel van de Kerk ook bescherming nodig heeft. “Hoe meer mensen dat besef delen, des te meer worden wij gesteund in onze belangrijkste oproep aan het Vaticaan: stel nou een CISO aan.”
Kijk voor meer informatie op de LinkedIn-pagina van de Vatican CyberVolunteers.
