Wat als het hele internet offline gaat?

Op 4 oktober 2021 ging Facebook, en alle diensten die het runt zoals Messenger, Instagram en WhatsApp, offline. Een interne fout zorgde ervoor dat de datacenters van het bedrijf (dat tegenwoordig Meta heet) niet meer vindbaar waren vanaf de rest van het internet. Het duurde tot zes uur om deze fout recht te zetten.

Dat zorgde voor zware problemen. Voor heel wat mensen in de wereld zijn apps zoals Whatsapp cruciaal om te communiceren met vrienden en familie of om hun werk te doen. Dat het plots wegviel was dramatisch voor hen. Het toonde onmiddellijk hoe afhankelijk onze maatschappij is van het internet.

Internetstoringen vonden de voorbije jaren regelmatig plaats. Alleen dit jaar al zorgden problemen bij de online dienst Fastly dat belangrijke sites zoals Reddit, Amazon en Spotify offline gingen. En eind 2020 zorgde een storing bij de datacenters van Amazon dat een groot deel van het internet ontoegankelijk was. Ons internet is dus tegelijk cruciaal, maar ook kwetsbaar. Maar hoe kwetsbaar is het net? En is het realistisch dat het hele netwerk offline gaat? We doken in het internet, en spraken met de mensen die de belangrijke schakels van het netwerk online houden.

Atoombunkers

Een eerste belangrijke schakel zijn datacenters. Dat zijn grote warenhuizen vol servers waarop zowat alle apps, websites en online software ter wereld staan. Een fout daar kan dramatisch zijn, maar niettemin bereiden datacenters zich constant voor om problemen te voorkomen. “Datacenters zijn gebouwd om continuïteit te garanderen”, stelt Stijn Grove, managing director van de Dutch Datacenter Association. Dat doen ze op verschillende manieren, en redundanties inbouwen staat voor hen centraal. “Stel dat de netstroom uitvalt”, vertelt Grove. “Dan gaat een datacenter naar zijn noodstroomvoorziening. Bijna elk datacenter heeft een tweede stroomvoorziening, in de vorm van batterijen of een noodgenerator. En sommigen hebben zelfs een derde bron van elektriciteit klaarstaan. Zo is er altijd een back-upsysteem. Maar het gaat verder. Elke zaal moet zijn eigen switches hebben bijvoorbeeld, zodat overal de stroom juist kan worden omgeschakeld. Dat testen we ook. Datacenters doen zogenaamde ‘black building’-testen, waarbij we de stroom afzetten en we kijken of alles het doet.”

Een gemiddeld datacenter kan zo 24 uur overleven op noodstroom zonder dat er elektriciteit van buitenaf komt. “De stroom valt vaker uit dan het internet”, stelt Grove. “In 2015 was er een grote stroomstoring in Nederland, maar het internet zelf deed het nog wel. Wifi werkte dan natuurlijk niet meer, omdat het elektriciteit nodig heeft. Maar als je online zat via mobiele netwerken dan kon je gewoon door blijven werken.”

Fysieke beveiliging

Er is een focus op de fysieke veiligheid van datacenters. “Er is een hekwerk en doorgaans ook een slotgracht rond een datacenter”, stelt Grove. “De muren zijn van dik beton. En binnen het datacenter kan je enkel de ruimte betreden waarvoor je geaccrediteerd bent. Je krijgt dus een toegangspas en je moet jezelf aanmelden. Je wordt zelfs gewogen wanneer je binnen en buitengaat, zodat er niemand iets achterlaat of meeneemt. Voor heel veel bedrijven is dit een kritieke omgeving, dus je wil dat zo goed mogelijk beveiligen.”

Die beveiliging wordt volgens een viervoudig model ingedeeld. “Bij een tier 1 datacenter is er maar één noodstroomvoorziening, en er is maar één back-up voor alles”, stelt Grove. “Tier 4 datacenters staan helemaal aan de andere kant van het spectrum, deze bevinden zich in atoombunkers met verschillende lagen van redundantie. De meeste commerciële datacenters in Nederland bevinden zich in tier 3.”

Digitale afhankelijkheid

Maar hoe kwam het dat de datacenters van Facebook begin oktober onbereikbaar bleken, zodat al hun diensten even offline waren? “Dat gaat over de IT van de servers die in de datacenters staan”, stelt Grove. “De storing bij Facebook kwam door een probleem in het DNS, dat ervoor zorgde dat de adressering naar de datacenters van Facebook afwezig was. Van buitenaf kon je de datacenters van Facebook dus niet meer vinden. Ze waren nog wel online, maar de verbinding ertoe werd niet gelegd.”

Volgens Grove toont dat het risico van concentratie in de digitale sector. “We moeten beseffen hoe we verbonden zijn met de hele digitale wereld”, stelt hij. “Bepaalde digitale spelers worden zo groot dat als zij wegvallen er ook een hoop cruciale online diensten wegvallen. Gelukkig zijn er heel veel cloud-providers, en hebben heel wat bedrijven nog eigen datacenters voor hun primaire activiteiten. Dat gaat over organisaties zoals overheden, maar ook kritische zaken zoals ziekenhuizen. Zij hebben eigen IT-systemen, die vaak verspreid staan over verschillende datacenters. Als er één zou wegvallen, dan is er nog een back-up. Niet alles gaat via Amazon, Microsoft, Google of Facebook. Maar er is wel een afhankelijkheid van een kleine groep spelers. De cloudmarkt wordt gedomineerd door Amerikaanse partijen.”

Grove stelt wel dat het besef van die afhankelijkheid groeit op Europees niveau. En hij juicht initiatieven toe die de Europese cloud-infrastructuur willen versterken, zoals Gaia-X.

Redundant en gedistribueerd

De meeste storingen komen weliswaar tot stand door menselijke fouten. Dat stelt Niels den Otter, teamleider netwerk engineering bij SURF, de organisatie die het netwerk van de Nederlandse universiteiten en onderzoeksinstellingen beheert. “De meeste storingen starten bij werkzaamheden aan het netwerk”, stelt hij. “Dat proberen we natuurlijk te vermijden via een redundante netwerkarchitectuur en het goed plannen van werkzaamheden. Als we een aanpassing moeten doen waarvan we weten dat het risicovol is, dan doen we dat op een moment dat er weinig gebruik gemaakt wordt van het netwerk. Maar soms kan het ook misgaan bij minder gevoelige aanpassingen. Dat gebeurt op allerlei soorten schalen, je hebt grootschalige internetstoringen, maar er zijn ook zaken die praktisch niemand ziet. Glasvezelkabels breken bijvoorbeeld regelmatig, maar het netwerk is zo ingericht dat je het verkeer gewoon omleidt.”

Het internet als netwerk is namelijk vrij veerkrachtig. “Het internet an sich is vrij redundant en gedistribueerd”, stelt den Otter. “Niettemin kunnen bepaalde netwerken wel onbereikbaar worden. Verkeerde configuraties zorgen soms voor problemen, denk maar de recente Facebook-storing, en dat kan een effect hebben op het verkeer van anderen.”

Wel waarschuwt den Otter voor toenemende concentratie van het internet. Het netwerk als geheel mag dan wel redundant en gedistribueerd zijn, maar als een groot deel van de wereldbevolking afhankelijk is van diensten van één bedrijf, dan is een storing bij dat bedrijf voor een erg grote groep zichtbaar. Dat verhoogt de impact van lokale storingen.

Ook zijn er plekken waar de impact van storingen groter is. “Elk netwerk heeft wel plaatsen die cruciaal zijn”, stelt den Otter. “Die voer je redundant uit, maar deze plaatsen blijven wel gevoeliger dan andere plekken in het netwerk. Als op zo’n plaats iets misgaat, dan is de kans dat klanten daar last van hebben veel groter. Internet exchanges zijn bijvoorbeeld cruciaal, maar ook de routers waarmee de internetproviders gekoppeld zijn aan die exchanges zijn gevoelig. Dat is de connectie met de buitenwereld. Als één zo’n router wegvalt dan heeft dat een grote impact en moet behoorlijk veel verkeer via andere routes verstuurd worden.”

Internet-knooppunt

Ruben van den Brink, CTO van AMS-IX, de internet exchange van Amsterdam, probeert alvast zo’n scenario’s te vermijden. Hij legt uit wat een internet exchange doet. “Het internet is een netwerk van netwerken. Het internet wordt gevormd door vele organisaties die hun eigen netwerk beheren, van universiteiten tot ISP’s. De enige manier waarop dat wereldwijd functioneert is door informatie van het ene naar het andere netwerk te routeren. Dat betekent dat die netwerken aan elkaar geknoopt moeten worden, wat gebeurt bij een internet exchange.”

Dat maakt een internet exchange een knooppunt dat gevoelig is voor verstoring. “Het kan op een aantal manieren foutlopen”, vertelt van den Brink. “Eén manier is apparatuur die faalt. Apparaten komen bijvoorbeeld zonder stroom te zitten. Als een datacenter om één of andere reden wegvalt, dan is dat deel van je netwerk onbereikbaar. Daarom doen de meeste professionele datacenters alles eraan om ervoor te zorgen dat zoiets niet gebeurt.”

Opnieuw zijn redundantie en decentralisatie hier kernprincipes. “AMS-IX zit in Nederland verspreid over 16 datacenters”, vertelt van den Brink. “We zitten dus niet op één plek. Die datacenters zijn allemaal met elkaar verbonden, waardoor we verkeer zo efficiënt mogelijk her-routeren. Eén router kan natuurlijk uitvallen. Elk van onze klanten zit echter altijd minstens aan twee routers gekoppeld, zelfs wanneer ze maar verbonden zijn met één glasvezelkabel. Dat doen we via een photonische cross-connect. Dat is een apparaat dat het licht uit de glasvezel kan schakelen tussen twee andere poorten via een spiegel. Als aan één kant van de router niet werkt, dan schakelen we de verbinding gewoon om. Redundantie zit in alles wat we doen.”

Van den Brink stelt opnieuw dat de grootste bron van problemen menselijke fouten zijn. “Ik hoor onder onze netwerk engineers soms nog horrorverhalen over de outage van 2015”, stelt hij. “Een engineer in een datacenter maakte per ongeluk een loop. Als dat gebeurt dan is het protocol niet slim genoeg om te voorkomen dat die pakketjes heel de tijd worden rondgestuurd. Zo trek je de bereikbaarheid naar beneden, en dat gebeurde dus in 2015.”

Tijdens die storing werden een aantal sites zoals Facebook en GeenStijl, moeilijker of helemaal niet bereikbaar in Nederland. Dat probleem was snel verholpen, maar zorgde wel voor een kortstondige verstoring van het internetverkeer dat via de exchange liep. Niettemin gaat het niet altijd over zo’n menselijke fout. In juni van dit jaar gingen bijvoorbeeld duizenden websites zoals Reddit, Amazon en CNN offline. De boosdoener was de dienst Fastly, dat het laden van sites versnelt door een versie op een lokale server op te slaan. Een software-bug zorgde ervoor dat die dienst wegviel, en dus ook alle sites die er gebruik van maakten.

Zero-touch

Toch is het volgens van den Brink verstandig om in te zetten op automatisatie. “De heilige graal van netwerkbeheer wordt vaak zero-touch genoemd. De grootste bron van fouten in het netwerk zijn mensen. Dus het is logisch dat je zo weinig mogelijk menselijke ingrepen wil, en dus zoveel mogelijk automatiseert. Door te zorgen dat je het beheer en administratie aan goedgeteste software overlaat voorkom je inconsequenties.”

Maar zorgt dat niet voor extra kwetsbaarheden? Want een probleem in de software kan grote gevolgen hebben. “Op het moment dat je meer vertrouwt op software, dan moet je ook meer procedures rond die software hanteren”, stelt van den Brink. “Dat betekent dat je code op een goede manier schrijft, laat reviewen en verschillende testfases laat doorlopen.”

Maar wat als een internet exchange dan wel uitvalt? Dat is een moeilijk scenario volgens van den Brink, maar niet apocalyptisch. “De kracht van het internet steunt op de decentralisatie ervan”, stelt hij. “Onlangs verscheen er een studie van de Universiteit Twente. Zij deden een simulatie met de internet-exchanges van Europa, en wat er zou gebeuren als zij zouden uitvallen. Daaruit bleek bijvoorbeeld, dat als de Duitse internet exchange zou wegvallen, netwerken hun pakketjes grotendeels via de Amsterdam Internet Exchange zouden sturen. Er is altijd een back-up route wanneer het fout gaat.”

DDOS-aanvallen

Het goede nieuws is dus dat het internet niet zomaar zal uitvallen. Op allerlei punten zijn cruciale schakels redundant gemaakt. Die decentrale aard maakt het internet dus erg sterk. Delen ervan kunnen wel problemen ondervinden, maar een algehele shutdown is zeer onwaarschijnlijk.

Niettemin zijn er trends die bezorgdheid opwekken bij experts. Zo is er de consolidatie van de markt die het internet kwetsbaarder maakt voor panne. En dan zijn er nog de bewuste aanvallen van kwaadaardige spelers. “Aanvallen kunnen voor commerciële of zelfs politieke doelen plaatsvinden”, stelt Georgios Smaragdakis, professor cybersecurity aan de TU Delft. “Overheden doen dat steeds meer. In 2007 en 2008 gebeurde er bijvoorbeeld een aanval op Georgië en Estland door Rusland. Het resultaat was dat de internetinfrastructuur van Georgië zwaar in de problemen kwam, terwijl Estland, die meer had ingezet op digitalisering, er beter doorkwam.”

Daartegen beveiligen we onszelf, maar we zullen er altijd kwetsbaar voor blijven. Volgens Smaragdakis is dat omwille van de manier waarop het internet werd ontworpen. “Het zwakste punt van het internet is dat het geen ingebouwde veiligheid heeft”, besluit hij. “Het internet is meer dan vijftig jaar geleden gebouwd om netwerken te verbinden. De ontwerpers veronderstelden toen dat alle partijen elkaar zouden kennen en vertrouwen. Als er dus spelers zijn die slechte bedoelingen hebben dan kunnen we ze niet stoppen. Tegelijk is het vandaag erg moeilijk om zo’n maatregelen te introduceren, want het zou een akkoord verwachten tussen heel wat verschillende, decentrale spelers. Het internet is fragiel. Zo zijn er DDOS-aanvallen. Een aanvaller stuurt zo erg veel verkeer naar een server, zodat het onderuit gaat. Daar is geen ingebouwde verdediging tegen, en gebeurt heel regelmatig. Heel wat bedrijven, gebruikers en overheden ondervinden er de gevolgen van.”

Een algehele internet-shutdown is zeer onwaarschijnlijk. Maar dat betekent niet dat we niet bezorgd moeten zijn. Een dreiging is er altijd, en we moeten waakzaam blijven voor de kritieke infrastructuur die het internet ondertussen werd.

Vernietigt de zon het internet?

Niet enkel cyberaanvallen of stroomuitval bedreigen het internet, ook de zon kan het globale netwerk misschien onderuit halen. Zo vrezen wetenschappers dat een zonnestorm mogelijk het internet offline zal zetten. “Zonnestormen zijn plasmawolken”, vertelt Tom Van Doorsselaere, hoogleraar aan de KU Leuven met een specialisatie in plasma-astrofysica. “Er zijn vier toestanden van materie: vast, vloeistof, gas en plasma, wat weinig voorkomt op aarde. Plasma is gas dat erg heet wordt en zo geladen, in plaats van neutrale, deeltjes bevat. Zo’n zonnestorm is een plasmawolk die naar de aarde komt, en doordrenkt is van een magneetveld.”

Een zonnestorm raakt regelmatig onze aarde, en komt ons magnetische veld binnen aan de Noord en Zuidpool. Meestal heeft dat weinig gevolgen. Het veroorzaakt vooral het bekende noorderlicht. Maar een heel intense zonnestorm zou wel zware gevolgen kunnen hebben.

“Als je aan een dynamo draait dan genereert dat een magneetveld, wat voor elektrische stroom zorgt”, maakt Van Doorsselaere de vergelijking. “Als die zonnestorm tegen het magnetisch veld van de aarde botst, dan genereert dat ook een elektrisch veld, net zoals bij een dynamo. Als die storm sterk genoeg is, dan wordt het gevaarlijk. Er zijn vandaag namelijk erg veel zaken die dat elektrische veld kunnen dragen, denk maar aan hoogspanningslijnen. Er komt zo extra stroom op die lijnen te liggen, wat al blackouts veroorzaakte.”

Moeilijk te voorspellen

Een heel hevige zonnestorm zou onze elektronica, elektriciteitslijnen en internetkabels kunnen overladen, en dus grootschalige problemen veroorzaken. Zo’n storm zagen we al heel lang niet meer, maar de laatste, uit 1859, zette zelfs telegramkabels in brand. Toen was elektriciteit nog vrij nieuw en weinig verspreid. “Vandaag zou zo’n storm ons terug naar het stenen tijdperk brengen”, stelt Van Doorsselaere.

Daarom onderzoeken wetenschappers zonnestormen, deels om elektronica op aarde beter ertegen bestendig te maken, maar ook om ze te voorspellen. “Dat is de heilige graal”, stelt Van Doorsselaere. “Enkele van mijn collega’s observeren bijvoorbeeld het magneetveld van de zon om te voorspellen wanneer een uitbarsting zal gebeuren. Maar dat is zeer moeilijk. De analogie die zij maken is een hoopje zand, waarop je de hele tijd korrels laat vallen. Het is erg moeilijk om te voorspellen wanneer er een zandverschuiving zal zijn. In de zon weet je ook niet goed wanneer de druk te hoog zal zijn, en er een uitbarsting plaatsvindt”