'We zijn totaal niet voorbereid op de aanvallen'

De buitenlandse cyberaanvallen die de voorbije weken aan het licht kwamen op de Belgische ministeries en Belgacom krijgen het label 'advanced persistent threats' opgespeld. Maar de inbraak op zich hoeft helemaal niet zo geavanceerd te verlopen, zegt anti-virusspecialist en directeur van het European Institute for Computer Anti-Virus Research (EICAR) Eddy Willems. Buitenlandse spionnen en inlichtingendiensten maken immers net zoals hackers of andere cybercriminelen gebruik van de zwakste schakel in de beveiliging: de mens. Het enige verschil is dat de ordinaire cybercrimineel in een zo breed mogelijke vijver van lukrake internetgebruikers tracht te vissen, terwijl de cyberspion van de Amerikaanse, Britse of Chinese inlichtingendiensten enkel geïnteresseerd is in de toegang tot de netwerken van strategisch uitgekozen bedrijven of overheidsdiensten. 'Wie binnen wil bij Belgacom, of specifieker bij dochteronderneming BICS waarlangs ongeveer 700 andere telecomoperatoren passeren, gaat eerst op zoek naar de mensen die daar werken', zegt Willems. 'Vervolgens moeten die naar een bepaalde website gelokt worden om hun computer te besmetten. Dankzij sociale netwerken is dat tegenwoordig een fluitje van een cent. Bijna iedereen zit op een of meerdere sociale media en veel mensen zetten hun profiel ondanks alle waarschuwingen nog altijd wagenwijd open. Stel dat een van de geviseerde Belgacomwerknemers op Facebook pocht met een foto van zijn auto, dan zou je die kunnen lokken met een mailtje met aanbiedingen voor nieuwe wagens. Daarna volstaat het meestal dat die een vijftal seconden op de voorgestelde website blijft hangen om een voet tussen de deur te krijgen.' Binnendringen mag dan al een koud kunstje zijn, daarmee is de spyware nog niet geïnstalleerd. Volgens Willems is die bij Belgacom naar binnen geloodst via zeroday exploits, zwakheden in de software waardoor de beveiliging in bedrijven omzeild kan worden. De zwakke punten circuleren op de zwarte markt, maar tegenwoordig worden die ook voor heel veel geld aan geïnteresseerde overheden aangeboden door reguliere bedrijven als het Britse Gamma of het Franse Vupen.' Zelfs gespecialiseerde advocaten vinden het moeilijk om uit te maken of die firma's daarmee een misdaad begaan. 'Het is een dunne lijn', zegt Willems. 'Die bedrijven schrijven of installeren immers zelf geen malware. Meestal doen de inlichtingendiensten dat op eigen houtje.' Zodra de spyware actief is, komt het er voor de cyberspion op aan om via heel regelmatige updates zo lang mogelijk onder de radar te blijven van de antivirussoftware. 'Als het klopt dat de infectie bij Belgacom al dateert van 2010 terwijl de beveiliging van zo'n bedrijf constant geüpdatet wordt, dan moet de malware van een hoog niveau geweest zijn', zegt Willems. Vandaar dus dat er bij de ontdekking onmiddellijk in de richting van de Amerikaanse veiligheidsdienst NSA werd gekeken. Later zou blijken dat niet de Amerikanen, maar wel de Britten achter de aanval zaten, weliswaar met behulp van technologie van de NSA. Zolang de aanvallen op onze bedrijven of overheidsinstellingen beperkt blijven tot buitenlandse inlichtingendiensten die informatie verzamelen, is er volgens Willems geen man overboord. 'De grootste vrees van de regering zou moeten zijn dat op een dag dezelfde gaten in de beveiliging zullen worden gebruikt om ons elektriciteitsnetwerk uit te schakelen of meerdere overheidssites tegelijk lam te leggen. En ook daar zijn we totaal niet op voorbereid. De budgetten voor cyberveiligheid zijn op zich al ontoereikend en ze worden ook nog eens bijzonder inefficiënt ingezet. Van een Europese coördinatie is geen sprake. In heel het continent lopen er tientallen projecten parallel met elkaar. Die zouden gebundeld moeten worden. Want een land als België is veel te klein om ernstige aanvallen op zijn eentje op te lossen.'