Het zijn niet meer alleen de boeven met een nylonkous over het hoofd die het bedrijfsleven verontrusten. Daar kun je beveiliging tegenover zetten: hekken, camera’s, geüniformeerde mannen, honden desnoods. Hoe goed dat helpt is overigens de vraag, maar één ding is zeker: als het om de ‘booming business’ van de computercriminaliteit gaat, helpen de klassieke middelen niet meer.
Het Belgische bedrijfsleven is zo lek als een mandje. Een uurtje praten met Yvan De Mesmaeker, security auditor, laat geen andere conclusie toe. Je moet wat hersens hebben – en een beetje boef heeft die toch wel – maar dan kun je willekeurig welke onderneming in dit land binnen, vertelt hij. Ja, ook de grote. Ja, ook de zogenaamd goed beveiligde. De Mesmaeker geeft veiligheidsadviezen aan bedrijven en instellingen, over diefstal en vandalisme, over fraude en industriële spionage, over persoonsbeveiliging, over terrorisme. Toegegeven, het is ’s mans beroep om zijn klanten stevig in de gordijnen te jagen, maar toch, zijn relaas is onthutsend. Hem wordt gevraagd zich in de huid van de ‘agressor’ te verplaatsen, waarna hij het kat-en-muisspel in de regel opent met ‘fysieke penetratietesten’.
De Mesmaeker: ‘Ik begin met gewone observatie, een dag, soms een nacht. Staat er een hek, kun je erover, is er bewaking? En als er een hek is, loopt dat dan door aan de achterkant? Vervolgens haal ik bij de gemeente de tekeningen van het pand. Die kun je krijgen op grond van de wet op de openbaarheid van bestuur. Gewapend met die kennis komt de volgende fase: de daadwerkelijke penetratie, het binnenkomen. Er zijn verschillende mogelijkheden. Je kunt je onder een voorwendsel laten uitnodigen. Dan zeg je bijvoorbeeld dat je een opleiding facility management volgt – catering, schoonmaak, dat soort dingen – en graag eens komt praten. De meeste mensen zijn vriendelijk, je kunt meteen een afspraak maken. Eenmaal binnen kijk je rond. Draagt het personeel badges? Er eentje namaken is niet zo moeilijk. Een volgende keer loop je gewoon de deur door met badge en al, keurig in het pak. In grote bedrijven is altijd wel ergens een leeg bureau te vinden. Je gaat zitten en zegt: “Goeiedag, ik ben de nieuwe collega, waar zijn hier de computerfaciliteiten?” Ik heb het op die manier gedaan. Het werkt.’
Bluf en panache
‘Hoe kwetsbaar is uw bedrijf?’, vroeg werkgeversvereniging Agoria onlangs aan haar leden. Agoria is de grootste sectorfederatie binnen het Verbond van Belgische Ondernemingen (VBO) en groepeert zo’n 1300 bedrijven – grote én kleine – van de metaal- tot de ICT-sector. Philips, Siemens en Toyota zijn enkele gerenommeerde namen. De enquête waarvan sprake leverde treffende gegevens. Zo werd 80 procent van de ondernemingen ooit bestolen. Object van diefstal was vooral materiaal (gereedschap, computers) en in mindere mate knowhow. Eenderde zegt last te hebben van namaak van de eigen producten. Aan preventie wordt weinig gedaan. Eenderde heeft geen bewakers rondlopen, eigen noch ingehuurd. Slechts eenderde laat de producten registreren en beschermen via bijvoorbeeld patenten. Aan veiligheidsbeleid dat die naam verdient doet bijna niemand: nog geen 30 procent heeft een studie gemaakt van de risico’s die het bedrijf bedreigen.
Helaas was de enquête meer als pakkende teaser voor de jaarvergadering bedoeld dan als ernstig onderzoek. Zo blijft onduidelijk hoe groot de respons was (’tussen 50 en 100 leden’, meldt pr-chef Stijn Ombelets van Agoria) en vooral ook welke categorie leden vertegenwoordigd was: onderscheid naar omvang van het bedrijf is niet gemaakt. Ook de aangerichte schade blijft in het duister. Ombelets: ‘We hadden geen wetenschappelijke pretenties.’
Toch was de teneur op de jaarvergadering zelf er wel degelijk een van zorg en verontrusting. En dat klopt dan weer met de uitkomsten van een op het oog wat degelijker onderzoek van een jaar eerder, door het overkoepelende Verbond van Belgische Ondernemingen. Dat ondervroeg 250 ondernemingen over het thema bedrijfsbeveiliging, en vond onder meer dat ruim de helft last had van diefstal, en 21 procent van informaticacriminaliteit. En dat laatste, zo liet bijna 60 procent van de ondernemers in 2004 weten, zou wel eens kunnen toenemen.
USB-sticks
‘Social engineering’ noemt Yvan De Mesmaeker het bloedserieuze spel van bluf en panache in de ondernemingen die hij aan een test onderwerpt. Het exploiteren van menselijke zwakheden, daar komt het op neer. En met succes: ‘Laat ik het zo zeggen: het is me nog nooit niet gelukt om binnen te komen. Ook al is er toegangscontrole, ook al kun je alleen met een badge naar binnen, als je pal achter iemand aanloopt houdt die meestal vriendelijk de deur voor je open.’ De beste tijd, zegt De Mesmaeker, is die voor en na de normale bedrijfsuren. ‘Dan zijn de schoonmaakploegen aan het werk, staat er een emmer tegen de deur omdat ze er steeds door moeten. Je gaat in maatpak naar binnen en zegt: ‘Laat u mijn bureau maar open’. Zij denken dat het klopt, dat het inderdaad jouw bureau is. Of stel, er staat een bewaker die naar je identiteit vraagt. Dan antwoord ik: “Meneer, ik neem toch aan dat u de leden van de algemene directie kent, en zo niet, dan kunt u morgen opkrassen.” Zo’n man schrikt en biedt meteen zijn excuses aan.’
Op basis van zijn ervaringen levert De Mesmaeker adviezen hoe de situatie te verbeteren. Voor een belangrijk deel, zegt hij, gaat het om de attitude van de medewerkers. ‘Het makkelijke stuk is de investering in de bewaking, de camera’s, de elektronica enzovoorts, maar daarna komt de menselijke factor. Zorg voor duidelijke spelregels, duidelijke sancties. Industriële spionage vindt ook plaats zonder dat iemand je bedrijf fysiek betreedt. Als je medewerkers na de vergadering nog even verder praten in de sandwichbar op de hoek, heb je al een probleem. Want wie luistert daar mee? En wie kijkt mee over de schouder van jouw salesmanager als die in de TGV naar Parijs nog even zijn PowerPointpresentatie bijwerkt? Daar moet je dus voorzichtig in zijn. En vergeet niet dat moderne kantoorgebouwen vaak van glas zijn. Als het buiten donker is en binnen verlicht zie je daar al die borden met vitale bedrijfsgegevens voor de vergadering van die ochtend. Zo nodig kun je vanaf de gebouwen aan de overkant op de hogere verdiepingen naar binnen kijken.’
Industriële spionage, zegt De Mesmaeker, baseert zich niet op die ene grote slag die men kan slaan, maar op talloze kleine stapjes die het beeld steeds verder vervolmaken. ‘Wat in die sandwichbar te horen was, wordt gecombineerd met andere gegevens, open bronnen ook. En er is een gesprekje met een gemeenschappelijke leverancier. Of men pretendeert een nieuw hoofd research & development te zoeken en hoort de kandidaat, veelal afkomstig van de concurrent, uit. Zo komen de stukjes van de puzzel bij elkaar.’
Spreek met een gerechtsdeskundige als professor Luc Golvers en je krijgt verhalen te horen over imitatie, piraterij en inbreuken op intellectueel eigendom. Over gekopieerde ontwerpen van dekbedovertrekken (‘een magazijnbediende had de tekeningen gestolen en doorverkocht’) waar de gerechtelijke politie achteraan ging om de ‘artiesten’ in Brussel in de kraag te vatten. En over invallen in bedrijven op zoek naar illegale software. Golvers: ‘Dan tref je één licentie aan en zestig pc’s die het programma eveneens gebruiken.’
Dat de digitale misdaad groeit, daarvan waren de ondervraagde ondernemers in de VBO-enquête vorig jaar al overtuigd. Gerechtsdeskundige Golvers is dat ook: ‘Ik krijg steeds meer opdrachten in die sfeer. Kerels die met een USB-stick het bedrijf uitlopen waarop de klantenlijsten staan. De informaticus die bij zijn werkgever vertrekt en voor zichzelf begint met een programma dat niet van hem is. De piraterij neemt toe.’
Hoeveel schade het bedrijfsleven oploopt als gevolg van allerlei soorten van (economische) criminaliteit, van ordinaire diefstal tot industriële spionage, geen mens die het weet. Een indicatie schuilt in de groeiende omzet van de Belgische bewakingsbranche. De Beroepsvereniging van Bewakingsondernemingen (BVBO) vertegenwoordigt naar eigen zeggen 90 procent daarvan en meldt een omzettoename van 410 miljoen euro in 2000 naar 525 miljoen in 2003.
En er zijn schattingen van de Europese Commissie: eind jaren negentig bestond circa 6 procent van de wereldhandel uit namaak en piraterij. Al dat bedrog zou verantwoordelijk zijn voor een verlies van zo’n 100.000 arbeidsplaatsen in de Europese Unie. Nog wat cijfers: aan de grenzen van de EU wordt jaarlijks voor astronomische bedragen door de douane in beslag genomen: in 2002 beliep dat 85 miljoen euro. Het aantal in beslag genomen artikelen steeg tussen 1998 en 2002 met 800 procent.
De Baltische staten
Weinig harde cijfers? Natuurlijk, want veel blijft binnenskamers. Welke ondernemer ziet graag in de krant dat zijn bedrijf materieel en digitaal een zeef is? En ook: de gevolgen van digitale misdaad zijn moeilijk te kwantificeren. Wat kost het als het interne systeem een dag plat ligt als gevolg van een hackersactie? Verder is de bereidheid om computermisdrijven bij de politie aan te geven minimaal. De Belgische Club voor Informaticaveiligheid Belcliv, vijftien jaar geleden al opgericht door het VBO en een aantal sectorfederaties, spreekt van ‘bijzonder weinig ingediende klachten’. En als er al aangifte wordt gedaan, dan meestal bij de lokale politie.
Dat laatste is niet zo handig, laat Luc Beirens weten. Hij is hoofd van de Federal Computer Crime Unit (FCCU), een speciale politieafdeling die de computermisdaad in ons land bestrijdt. ‘Als een klacht bij het “politiebureau op de hoek” belandt, veroorzaakt dat vertraging. Dan zijn de sporen al weg als wij of een van de regionale computer crime units eraan beginnen.’ Een ander element van vertraging zit bij de grote bedrijven. Beirens: ‘Die halen eerst hun advocaten erbij om te kijken naar de impact van het gebeurde, als er bijvoorbeeld is ingebroken in de personeelsgegevens. Daar speelt de wet op de privacy, men is zowel burgerlijk als strafrechtelijk aansprakelijk. Voor er een klacht ligt, ben je drie weken verder.’
Dat de FCCU en de regionale eenheden bestaan, is op zijn minst een teken dat de overheid de digitale misdaad ernstig neemt. Centraal werkt Beirens met zo’n 25 medewerkers, bij de regionale units zijn er nog eens negentig. De federale ploeg concentreert zich op de omvangrijke dossiers, jaarlijks een stuk of tien, zegt Beirens: ‘Bij incidenten in grotere systemen, hele netwerken, bij warenhuisketens bijvoorbeeld. Een belangrijk risico schuilt in het uitbesteden van de ICT-support van een bedrijf. Als het onderhoud op afstand gebeurt, hoeft een hacker maar bij de ondersteuner in te breken en hij heeft toegang tot alle bedrijven waar die voor werkt.’
Beirens schetst een somber beeld van de huidige toestand: overheid en bedrijfsleven zijn onvoldoende voorbereid op informaticacriminaliteit. Bij grote bedrijven valt het nog enigszins mee, midden- en kleinbedrijf lopen achter. Beirens: ‘Als er geen patron is met gevoel voor de problematiek, gebeurt er niet veel. Dan staat de informaticus in zo’n bedrijf in de woestijn te prediken.’
De situatie is des te ingewikkelder omdat digitale misdaad in alle opzichten grensoverschrijdend is. Beirens noemt een Brits voorbeeld waar een aanval werd gedaan op de websites van bookmakers, die vervolgens financieel werden gechanteerd. Het spoor liep via de Baltische staten naar Rusland, vertelt hij.
Maar het kan allemaal nog erger. De inventiviteit van computercriminelen kent geen einde. Spyware – ‘spionsoftware’ die wordt binnengesmokkeld in computers en netwerken – kan daar ongemerkt grote hoeveelheden vitale gegevens buitmaken. Virussen, wormen, Trojaanse paarden, noem iets griezeligs en de computerwereld kent het of vindt het uit. Beirens: ‘In cyberspace is een digitale oorlog aan de gang. We weten – niet uit officiële bronnen maar we weten het wel – dat Noord-Korea, de Verenigde Staten en landen in het Midden-Oosten cybersoldaten opleiden om aanvallen uit te voeren op essentiële systemen van landen. Vergeet niet dat tegenwoordig alles is gecomputeriseerd: de watervoorziening, de elektriciteit, het telecomnetwerk. Als de knooppunten daarvan buiten werking worden gesteld, is de schade niet te overzien.’
Door Wammes Bos
‘Als je medewerkers na de vergadering nog even verder praten in de sandwichbar op de hoek, heb je al een probleem.’
