Hoe helpt Microsoft Oekraïne in de oorlog met Rusland? ‘Dit is het eerste dataconflict uit de geschiedenis’

Microsoft beveiligt de data van de Oekraïense overheid, deelt dreigingsanalyses met Kiev, helpt het land cyberaanvallen af te slaan en geeft ook financiële steun. Topman Bram Couwberghs – een Belg – geeft voor het eerst een inkijk in de cruciale rol die zijn bedrijf in de oorlog speelt.

‘Vijf maanden voor het Oekraïne-conflict losbarstte, zagen we bij Microsoft al dat er iets stond te gebeuren. Onze dreigingsanalisten stelden vast dat de Russen tal van informatieoperaties lanceerden, propaganda begonnen te verspreiden en malware installeerden in Oekraïense systemen. Daarop hebben we meteen patches gecreëerd tegen die malware. We zijn ook de Oekraïense strijdkrachten beginnen te trainen. En via rechtstreekse, beveiligde netwerken met de Oekraïense overheid deelden we inzichten over nieuwe cyberdreigingen.’

Aan het woord is de Belg Bram Couwberghs (42) van Microsoft. ‘Defence & Intelligence Leader Western Europe’ staat op zijn visitekaartje. Eenvoudig uitgelegd: Couwberghs stuurt in twaalf Europese landen teams aan die werken rond defensie en inlichtingendiensten. Hij moet ervoor zorgen dat westerse defensieorganisaties ‘interoperabel’ zijn. Lees: dat hun systemen op elkaar afgestemd zijn om vlot data uit te wisselen.

Couwberghs, die meer dan tien jaar bij het Belgische leger heeft gewerkt, is een bevoorrechte waarnemer van de laatste ontwikkelingen op het wereldwijde cyberslagveld. Binnen de techreus Microsoft is hij een van de weinigen die publiek toelichting mogen geven over hypergevoelige onderwerpen zoals de rol van het bedrijf in het Oekraïne-conflict. Dit is zijn eerste interview in Europa.

Ook België is duidelijk een high value target voor hacker- organisaties die gelinkt zijn aan staten.

We kennen Microsoft van het besturingssysteem Windows en Office- toepassingen zoals Word, Excel en Teams. Maar wat heeft uw bedrijf met defensie en inlichtingenwerk te maken?

Bram Couwberghs: Microsoft is geen defensiebedrijf op zich. Maar doordat onze technologie zo wijdverspreid is, zijn we eigenlijk het grootste securitybedrijf ter wereld. Meer dan 10.000 van onze werknemers houden zich voltijds bezig met cyberveiligheid. En dagelijks analyseert het Microsoft Threat Intelligence Center liefst 42 triljoen datasignalen die door onze systemen gaan. Dat gebeurt natuurlijk niet manueel maar op basis van bigdata-analyse en kunst- matige intelligentie. Zo kunnen we nieuwe cyberdreigingen opsporen en trends in kaart brengen. Midden oktober ontdekten we nog een nieuwe vorm van ransomware (kwaadaardige software die IT-systemen lamlegt, nvdr), gericht op de transportsector in Polen en Oekraïne. En de komende drie jaar zal Microsoft meer dan 20 miljard dollar investeren in securitytoepassingen, om ervoor te zorgen dat alle systemen en technologieën die we ontwikkeld hebben ook veilig kunnen blijven werken.

Volgens de Nederlandse socioloog Albert Benschop zitten er meer dan een miljoen fouten in de coderegels van Windows-software. Hackers kunnen dat uitbuiten.

Couwberghs: Coderegels zijn door mensen geschreven en dus kunnen er fouten in sluipen. Maar wij stellen vast dat 70 procent van alle security-incidenten níét te wijten is aan fouten in de code maar aan gebruikers die zaken fout configureren of nalaten om updates door te voeren. Wanneer we een nieuwe patch publiek maken om problemen op te lossen, merken we dat maar 30 procent van de gebruikers die ook installeert. Door zo’n patch is malware niet meer bruikbaar en moeten de aanvallers nieuwe manieren gaan zoeken. Dat is een heel nieuwe dynamiek in oorlogsvoering, die we in de geschiedenis nog nooit hebben gezien.

Patches aanreiken is één zaak. Maar de rol van Microsoft in het Oekraïne- conflict gaat veel verder: uw bedrijf speelt een actieve rol in de oorlog.

Couwberghs: Microsoft is altijd al het doelwit geweest van aanvallen door Russische en andere hackers. Maar we willen niet beoordeeld worden als een partij in het conflict. Ik zie ons veeleer als een partij die buiten de oorlog staat, maar wel technologische ondersteuning geeft aan de strijders in het conflict – dat zijn de Oekraïense overheidsdiensten en militaire organisaties.

Op welke manier is Microsoft precies actief in Oekraïne?

Couwberghs: Bij de start van het conflict op 24 februari zagen we dat eerst de datacenters van de Oekraïense overheid werden aangevallen. Dat was een bewuste strategie: de Russen wilden de communicatie tussen de overheid en de bevolking in Oekraïne verbreken, zodat het vertrouwen in de overheid zou afbrokkelen en de burgers meer ontvankelijk zouden worden voor Russische propaganda.

Dat is dan niet bepaald gelukt.

Couwberghs: Al enkele dagen na het begin van de oorlog ondertekende president Volodymyr Zelensky een wet om Oekraïense overheidsdata over te zetten naar de clouds van Microsoft en Amazon. Denk aan de meest uiteenlopende overheidsgegevens: over burgerzaken, onderwijs, onderzoek en ontwikkeling, en ga zo maar door. Inmiddels hebben zo’n 17 Oekraïense overheidsdiensten dat gedaan. Wij zorgen ervoor dat de data beveiligd zijn in onze cloud.

Hoe probeert Rusland die data te vernietigen?

Couwberghs: Door zogenoemde wiper malware te installeren, die letterlijk systemen uitwist. Vaak gebeurt de installatie al een hele tijd op voorhand en wordt de malware pas later geactiveerd – automatisch of op een afstand. Wij bieden Oekraïne technische ondersteuning om ervoor te zorgen dat die wiper malware geneutraliseerd wordt. Dat hebben we intussen al meer dan 170 keer gedaan. Meer details kan ik er niet over kwijt. Als we onze werkwijze blootgeven, kan de tegenstander die kennis uitbuiten.

Microsoft heeft ook een budget ter beschikking gesteld aan Oekraïne.

Couwberghs: Dat klopt, net als heel wat andere bedrijven. We hebben zo’n 280 miljoen dollar vrijgemaakt voor Kiev. De focus ligt op het humanitaire aspect en op technologische ondersteuning.

Zoals het veiligstellen van het bewijsmateriaal van oorlogsmisdaden?

Couwberghs: Wij analyseren foto’s om de omvang van de schade aan ziekenhuizen en scholen vast te stellen. We hebben ook een team dat beïnvloedingsoperaties analyseert: de manieren waarop Rusland traditionele en sociale media en andere technieken gebruikt om propaganda te verspreiden en de publieke perceptie te beïnvloeden. Het is overigens duidelijk dat ook België het doelwit is van dergelijke beïnvloedingsoperaties.

De verspreiding van propaganda staat onder toezicht van een aantal Russische agentschappen, waaronder de inlichtingendiensten. Elk agentschap heeft meerdere organisaties, zoals Strontium of Iridium, die systemen kunnen hacken om informatie te stelen, of die zich bezighouden met beïnvloeding.

De cyberaanval tegen Estland in 2007 wordt vaak de eerste echte cyberoorlog genoemd. Op welke manier is het Oekraïne-conflict een nieuwe mijlpaal?

Couwberghs: Vanwege de coördinatie tussen cyberaanvallen door Russische inlichtingendiensten enerzijds, en strijdkrachten en hun kinetische operaties anderzijds. Vooral in de eerste maanden van het conflict zag je dat samenspel heel goed. Hackersgroepering APT28 viel op 4 maart overheidsnetwerken aan in Vinnytsja, en twee dagen later vuurden Russische strijdkrachten acht raketten af op de luchthaven van de Oekraïense stad. Midden april lanceerde Sandworm een destructieve cyberaanval op een logistieke speler in Lviv, twee weken later gevolgd door raketaanvallen op treinstations in de stad. Nog een voorbeeld is de cyberaanval op een media- bedrijf in Kiev, een dag later gevolgd door een bombardement op de tv-toren van de hoofdstad. Maar niet enkel die coördinatie maakt dat het Oekraïne-conflict een nieuwe mijlpaal is. Er is nog een tweede factor: oorlog is nu ook een echt datagebeuren geworden.

Wat bedoelt u precies?

Couwberghs: In gewapende conflicten zijn er nu gigantisch meer data voorhanden. En dan heb ik het niet alleen over satellietbeelden en informatie afkomstig van drones, maar ook over sensoren op het terrein. Denk aan smartphones van militairen en hun socialemedia-accounts. Cruciaal is dat je die data onmiddellijk analyseert zodra ze beschikbaar zijn, om er inzichten uit te halen die bruikbaar zijn op het slagveld. Die inzichten moeten zo snel mogelijk naar de eenheden op het terrein worden gestuurd. Een voorbeeld: door de telefoongegevens van Russische militairen wéét je dat een bepaalde formatie op een bepaalde plek zit. Dat is info die nu relevant is, maar binnen een half uur misschien niet meer. De info moet dus razendsnel geanalyseerd en doorgestuurd worden om bijvoorbeeld een artillerieaanval op te zetten.

Dat klinkt als een constant heen-en-weergevecht met data.

Couwberhgs: Dat is het ook. Aan beide kanten heb je een beslissingscyclus. Wie het snelst de data kan analyseren, krijgt de overhand op zijn tegenstander. Daarom kun je gerust spreken over het eerste dataconflict uit de geschiedenis. Die context heeft ook gevolgen voor de Belgische defensie. Als we Belgische militairen uitsturen naar Roemenië of de Baltische staten, moeten we hen daar goed op voorbereiden. Ze moeten weten dat ze pakweg via hun smartwatches getraceerd kunnen worden. Hun digitale toestellen kunnen het volgende bombardement uitlokken. Komt daar nog bij dat ze via hun Facebook- en Twitter-accounts gemonitord worden én het doelwit zijn van gerichte beïnvloedingsoperaties. De dreiging waarmee Belgische militairen te maken krijgen, is exponentieel gestegen door de nieuwe platformen waarop ze zich begeven.

Die evolutie is gigantisch snel gegaan.

Couwberghs: Vijftien jaar geleden ging ik aan de slag bij Defensie. Ik ben onder meer op buitenlandse missie geweest in Afghanistan en Libanon. Toen belden we gewoon met het thuisfront. Eerst nog met de gewone telefoon, daarna via Skype. Maar het afgelopen decennium zijn de virtuele wereld en de echte wereld steeds meer aan het samenvloeien tot één geheel. En nu evolueren we ook nog eens naar een Metaverse, of je dat nu wilt of niet. Virtual reality en de fysieke werkelijkheid zullen nog meer in elkaar overvloeien. Het probleem is dat we ons zo ook blootstellen aan risico’s waarop we niet voorbereid zijn.

Soldaten moeten weten dat hun digitale toestellen het volgende bombardement kunnen uitlokken.

Wat leren de cyberdreigingsanalyses van Microsoft over België?

Couwberghs: België is duidelijk een high value target. Als we nagaan welke landen op cybervlak onder vuur liggen van hackerorganisaties gelinkt aan staten, dan zijn onze klanten in de VS in 46 procent van de gevallen het doelwit, gevolgd door Oekraïne (19 procent) en het VK (9 procent). En op de vierde plaats volgt België, met 3 procent. Dat klinkt misschien niet veel, maar we zitten daarmee wel op hetzelfde niveau als Japan en Duitsland – twee landen die veel groter zijn en meer gewicht hebben op het wereldtoneel.

Brussel is natuurlijk een belangrijke diplomatieke hoofdstad.

Couwberghs: Een deel van de verklaring is inderdaad dat België het NAVO-hoofdkwartier, de Europese instellingen en tal van buitenlandse ambassades huisvest. Maar er is nog een reden. België spreekt zich vaak uit over gevoelige kwesties, zoals mensenrechten, het klimaatvraagstuk of ontwikkelingen in Afrika. Niet iedereen deelt de opinie van ons kleine land, en bovendien zijn het typisch thema’s waarover desinformatiecampagnes worden gevoerd om mensen tegen elkaar op te zetten. Dat laatste is een verontrustende evolutie: extreme stemmen krijgen meer en meer aandacht. Gevolg? Democratische samenlevingen zijn aan het afglijden en onze rechten en vrijheden komen onder druk te staan.

Tot slot: de Starlink-satellieten van Elon Musk zijn tijdens deze oorlog onmisbaar voor Oekraïne en nu blijkt ook Microsoft substantiële steun te verlenen. Is het wel goed dat privébedrijven zo’n doorslaggevende rol kunnen spelen in gewapende conflicten?

Couwberghs: Kijk, wij zorgen ervoor dat onze strijdkrachten met de beste technologie het terrein op worden gestuurd – ook op het digitale slagveld. Dat is goed. Maar noodgedwongen worden wij, de industrie, als het ware ook in een beveiligingsfuik getrokken. Door logge aanbestedingsprocedures rennen overheidsinstanties altijd achter de feiten aan, terwijl de technologie razendsnel evolueert. Idealiter beschikken landen over een Cyber Command, zoals België er recent een heeft opgericht. Dat kan dan bepaalde technologie heel snel aanpassen en verbeteren. Maar daarvoor moet er een partnerschap met de industrie bestaan en moeten contracten toelaten dat heel flexibel nieuwe technologieën worden ontwikkeld en uit- gerold. Die flexibiliteit ontbreekt vaak bij overheidsinstanties. En dus doet de industrie het maar zelf. Als burger kijk ik daar zelf een beetje sceptisch naar. Want het geweldsmonopolie moet altijd bij de staat liggen.