De enige link tussen Edward Snowden en ons land is voorlopig het afluisterschandaal bij Belgacom. Maar dat heeft wel een schokgolf door de Belgische economie gejaagd. Tot in de hoogste regionen van het bedrijfsleven maken ze zich zorgen om cyberbeveiliging.
Op het einde van zijn uiteenzetting nam Jan Neutze, directeur cybersecurity policy van Microsoft, nog even de tijd om de prominente genodigden van het Verbond van Belgische Ondernemingen iets op het hart te drukken: hij wilde formeel ontkennen dat Microsoft samenwerkte met de NSA, de Amerikaanse veiligheidsdienst die in opspraak kwam door de Snowden-files. De software en datasystemen van Microsoft werden in geen geval opengesteld voor zulke zaken.
Het hoge profiel van de aanwezigen op de recente studiedag van het VBO toonde aan dat het belang van cyberbeveiliging tot op het hoogste niveau van de Belgische economie is doorgedrongen. Eerder op de dag had VBO-baas Rudi Thomaes al zijn bezorgdheid uitgesproken. ‘Elke dag sijpelt er door cybercriminaliteit kennis weg uit onze innovatieve economie, naar onze concurrenten. De inlichtingendiensten van andere landen spelen daar een actieve rol in, dat geef ik u op een briefje.’ De naam Belgacom, waarover in september in het Duitse tijdschrift Der Spiegel uitlekte dat de Britse geheime dienst GCHQ het internationale telefoonverkeer van de telecomoperator via een virus had gehackt, werd niet genoemd.
‘Uitzonderlijk aan de Belgacominbraak is niet dat ze heeft plaatsgevonden, maar dat ze is uitgekomen’, stelt Christian Van Heurck. Hij is coördinator van Cert.be, het Federal Cyber Emergency Team, of de zogeheten brandweer van cybercriminaliteit in België. ‘De Belgacomzaak brengt cyberspionage natuurlijk erg dichtbij, maar we wisten natuurlijk al langer dat dit gebeurde.’
Praat je met specialisten op het terrein, dan blijkt al snel dat zulke inbreuken van cyberveiligheid allesbehalve uitzonderingen zijn. ‘Er zijn bedrijven die gehackt zijn, en er zijn er die het nog niet weten’, is volgens Ann Mennens van het cybercrimeplatform B-CCENTRE een boutade die behoorlijk dicht bij de werkelijkheid ligt. ‘Vraag je aan de gemiddelde ceo of zijn bedrijf al gehackt is, dan zegt die waarschijnlijk nee’, valt ook IT-security expert Koen Machilsen van EY bij. ‘Stel je dezelfde vraag aan de IT-verantwoordelijke, dan hoor je het tegendeel.’ Bij Microsoft is men voorzichtiger, om de vertrouwensband met klanten niet te schaden.
‘Maar kijk eens naar het rijtje gevallen van de afgelopen maanden’, zegt Jean-Marc Boxus, directeur Enterprise Services. In juni bleek dat bendes de systemen van reders PSA en DP World in de haven van Antwerpen hadden gehackt om containers vol drugs te laten verdwijnen. En in september, net na het Belgacomnieuws, gaf minister van Buitenlandse Zaken Didier Reynders toe dat er een grote aanval was ontdekt op de computers van zijn ministerie, waarschijnlijk door Chinese bedrijven. Adobe speelde in dezelfde maand de gegevens van 38 miljoen klanten kwijt, en enkele broncodes van producten als Acrobat Reader. En vorige week doken twee miljoen gestolen paswoorden van Facebook, Google en Yahoo op.
Off the record vallen bij gesprekspartners nog andere voorbeelden te rapen. Een groot Belgisch-Luxemburgs bouwbedrijf zag een internationaal megaorder weggekaapt door een identieke Chinese offerte die net iets goedkoper uitkwam. Een verzekeringsmaatschappij vond een virus dat in brand- en diefstalverzekeringen neusde, op zoek naar lucratieve inboedels. En er zijn heel wat voorbeelden van Belgische kmo’s die net wanneer ze een patent willen aanvragen voor zelfs bescheiden innovaties, moeten ontdekken dat een speler aan de andere kant van de wereld hen voor is. Securityspecialist Mandiant presenteerde onlangs een rapport over de blootgelegde werking van een Chinese spionagecel, APT1, die met enkele honderden hackers duizenden organisaties en bedrijven doorzocht op informatie. Zogenaamde informatiemakelaars verzamelen alles wat interessant kan zijn, en verkopen het daarna aan de hoogste bieder – inlichtingendienst of concurrent. ‘Data zijn het nieuwe betaalmiddel’, lacht Boxus. Is er dan geen waterdichte beveiliging? Ann Mennens: ‘Bestaat God?’
Niemand praat
Experts gaan ervan uit dat slechts het topje van de ijsberg bekend is. Een van de belangrijkste redenen daarvoor is dat de meeste bedrijven niet eens weten dat ze gehackt zijn. ‘Virussen om te saboteren zijn vandaag het probleem niet meer’, zegt Boxus. ‘Virussen moeten vandaag observeren en zijn er dan ook bij gebaat om net niet op te vallen. Uit studies blijkt dat de gemiddelde perio-de tussen de aanval en de detectie van een virus zo’n anderhalf jaar is. En bij complexe malware begint zo’n detectie in de praktijk vaak per toeval: een werknemer die aan een database werkt en een fout ziet, een server die wat vaker crasht dan de andere, een verdacht ip-adres of admin-profiel dat informatie opvraagt, data die om onduidelijke redenen het netwerk verlaten.’
Hoe moeilijk het is om zulke onregelmatigheden op te sporen, blijkt ook uit de Belgacomzaak. De details over dat virus zijn volgens Belgacom gedeeld met andere Belgische telecomoperatoren, zoals Telenet. ‘Wij zijn op die manier gericht op zoek kunnen gaan, overigens zonder gevolg’, zegt Eric De Smedt van Telenet. ‘Anders ben je op zoek naar een speld in het heelal.’ ‘En als je het virus al vindt, dan moet je het nog wegkrijgen’, waarschuwt Boxus. ‘Zulke virussen zijn gebouwd om overal updates achter te laten en zichzelf te dupliceren. Wij hebben bij Microsoft als regel dat we onze datasystemen volledig moeten kunnen weggooien, en opnieuw opbouwen. Een virus dat je niet kent helemaal onschadelijk maken, is aartsmoeilijk.’
De tweede reden waarom zo weinig inbreuken in de cyberveiligheid van Belgische bedrijven publiek opduiken is volgens Thomaes ‘de enorme terughoudendheid van bedrijven om incidenten te melden of openbaar te maken’. Niemand klapt uit de biecht. Bij gecontacteerde bedrijven is meestal te horen dat men geen beveiligingsdetails wil delen, of de aandacht van hackers op zich wil vestigen. KBC stelt ‘alles in het werk tegen cybercrime’, 3D-printingbedrijf Materialise ‘heeft robuuste systemen’, Electrabel ‘heeft de nodige systemen om aanvallen te scannen en ze tegen te gaan’.
‘Er bestaat een zekere schaamte om inbreuken te erkennen’, bevestigt Van Heurck. ‘Omdat men bang is dat er getwijfeld wordt aan hun cyberbeveiliging. Alsof je moet aangeven dat er auto’s zijn gestolen van je parkeerterrein, maar met de sleutels op de deur. Punt is dat door die stilzwijgendheid het probleem alleen maar groter wordt. Niet alleen omdat elk gelekt geval dan in de ogen van het publiek een uitzondering blijft, maar ook omdat dezelfde technieken keer op keer opnieuw kunnen worden gebruikt bij andere bedrijven.’
De oplossing ligt voor de specialisten dan ook niet alleen bij een verbeterde cyberbescherming van bedrijven. Securityspecialist Mandiant ontdekte dat bij al zijn gehackte klanten de antivirussoftware up-to-date was. Wellicht zijn de banken de beste graadmeter, want de financiële wereld staat het verst op het gebied van cyberbescherming. Toch ligt de bankfraude dit jaar al 25 keer hoger dan in 2011.
‘Ik kom nog vaak bij grote bedrijven waar ook grote gaten in hun cyberveiligheid zitten. Er is dus zeker nog heel wat ruimte voor verbetering’, tempert Machilsen. ‘En zeker de kmo’s en start-ups, waar vaak heel wat innovatie zit, lopen achter. Maar zelfs al timmer je alles dicht, dan raden wij toch aan om een stappenplan te hebben over hoe je reageert op een inbreuk. Want die gebeuren toch. En in dat stappenplan moet meer aandacht gaan naar communicatie, niet alleen met de bevoegde diensten maar ook met het publiek. Er komt binnenkort ook Europese wetgeving die het zal verplichten om incidenten te melden. Mensen vinden het niet meer dan normaal dat ze gewaarschuwd worden als de persoonlijke gegevens die ze aan een bedrijf hebben gegeven, zijn gehackt. En het bedrijf moet die mensen dan begeleiden om hun gegevens weer te beveiligen, zoals bij een klachtendesk.’ Spionage? Kan gebeuren.
DOOR JELLE HENNEMAN
Een verzekeringsmaatschappij vond een virus dat in brand- en diefstalpolissen neusde, op zoek naar lucratieve inboedels.
