Interview met Jan Torreele over cybercriminaliteit

Het Computer Emergency Response Team is intussen bijna een jaar operatief. Hoeveel veiligheidsincidenten zijn er in 2010 gemeld?

Jan Torreele: Het gaat om gemiddeld 100 tot 200 incidenten per maand die relevant zijn voor België. Die cijfers slaan op de gevallen die hier bij het Belgische CERT worden aangemeld -in realiteit gebeuren er natuurlijk veel meer incidenten. Wanneer een buitenlandse CERT ons een beveiligings- of veiligheidsprobleem in België meldt, nemen we contact op met de betrokkenen: bedrijven, burgers, overheidsdiensten… Dat kan zowel degene zijn die aan de bron van het incident ligt of er het slachtoffer van is. Typische meldingen zijn gehackte computers of servers die gebruikt worden om spam te versturen of die ingeschakeld worden in een internationaal botnet.

Voor de niet-IT-nerds onder ons: wat is een botnet?

Jan Torreele: Botnets worden gebruikt om allerhande illegale of gevaarlijke activiteiten op te zetten op het internet, van spam over hacking tot denial-of-service aanvallen (waarbij bijvoorbeeld een website of computer wordt platgelegd). Een botnet is een geheel van gehackte computers –van honderden tot miljoenen- die onder controle staan van één beheerder -de misdadiger. Stel je voor dat miljoenen computers op hetzelfde moment massaal één specifieke website bestoken, dan gaat die site onderuit. Op die manier kan je schade toebrengen aan politieke vijanden maar ook bedrijven op de knieën dwingen.

Met welk doel? Bedrijven afpersen?

Jan Torreele: Nog niet zo lang geleden vond er gedurende meerdere weken een aanval plaats op een online gokkantoor. Zolang het bedrijf in kwestie de misdadigers niet betaalde, bleven ze de website van het gokkantoor bestoken. Afpersing dus. Tegenwoordig gaat het zelfs zo ver dat eigenaars van een botnet hun capaciteit verhuren aan andere misdadigers. Tien jaar geleden sprak men in de wereld van cybercriminaliteit over scriptkiddies, amateurs die zich wilden bewijzen, maar tegenwoordig gebeurt het georganiseerd en professioneel.

Hoe kan je computer plots in zo’n botnet terechtkomen?

Jan Torreele: Dat gebeurt vaak zonder dat je het weet. Je computer wordt via een “Trojaans paard” geïnfecteerd, een programma dat je zonder het te beseffen binnenhaalt, via een bijlage bij een e-mail of door een kwaadaardige website te bezoeken. Die programma’s nestelen zich ongezien op de pc van de eindgebruiker, en worden actief op de meest discreet mogelijke manier. Ze nemen contact op met de controleserver van een botnet en staan vervolgens klaar om instructies te ontvangen.

Een ander typisch incident waar wel eens melding van gemaakt wordt, is dat slecht beheerde servers misbruikt worden voor tal van illegale zaken, bijvoorbeeld voor fora ter verspreiding van kinderpornografie.

Zijn jullie ook al geconfronteerd met regelrechte cyberspionage tegen België?

Jan Torreele: We hebben er weet van, maar binnen het korte bestaan van onze nationale CERT hebben we nog te weinig zicht op die problematiek om er iets zinvols over te zeggen. We hopen het in de toekomst alleszins beter in kaart te brengen.

Hoeveel van die 100-200 gerapporteerde incidenten per maand zijn voorbeelden van spionage?

Jan Torreele: We hebben dit jaar één melding van spionage binnengekregen. Dat betekent uiteraard niet dat er niet meer spionagegevallen zijn.

Wat doet CERT precies? Hoe ziet een gewone werkdag eruit?

Jan Torreele: In het internationale veiligheidswereldje is er nood aan lokale contactpunten in elk land om veiligheidsincidenten te melden. Die rol vervullen wij. Daarnaast zijn we ook nationaal het aanspreekpunt waar bedrijven of overheidsorganisaties incidenten kunnen melden. Wanneer zo’n incident zich voordoet, coördineren en informeren we de verschillende betrokkenen.

Wanneer bedrijven een cyberaanval melden…

Jan Torreele: …dan gaan wij hen adviseren en proberen helpen het gat te dichten. We gaan hun ook assisteren om contacten te hebben met buitenlandse instanties, waar ze zich desgevallend tot kunnen richten. Een voorbeeld: wanneer een bedrijf merkt dat er een elektronische aanval, hack of inbraakpoging is geweest afkomstig uit Italië, dan coördineren wij met onze Italiaanse collega’s om de daders te vinden. We zullen ook het betrokken bedrijf in contact brengen met de juiste Belgische autoriteiten –de Federal Computer Crime Unit van de politie bijvoorbeeld. Zelf spelen we veeleer de rol van brandweer dan van politie. We hebben geen juridische autoriteit. We kunnen niemand van het internet smijten. Ten slotte adviseren we alle betrokkenen ook, achteraf én vooraf.

Hoe gebeurt die sensibilisering?

Jan Torreele: We informeren over recente bedreigingen, van nieuwe virussen tot gevaarlijke bugs in software. Dat gebeurt via mailinglijsten, gerichte contacten, meldingen op onze website, RSS-feeds en een Twitterkanaal.

Het CERT wordt beheerd door BELNET, waar u technisch directeur van bent. Maar wat is BELNET precies?

“Het gaat om gemiddeld 100 tot 200 incidenten per maand die relevant zijn voor België. Die cijfers slaan op de gevallen die hier bij het Belgische CERT worden aangemeld -in realiteit gebeuren er natuurlijk veel meer incidenten.”

Jan Torreele: BELNET is het Belgische nationale onderzoeksnetwerk, het supersnelle internet voor onderwijs, onderzoek en overheden in België. We beheren een zeer snel communicatienetwerk dat alle universiteiten, hogescholen, onderzoekscentra en dergelijke met elkaar verbindt én met het globale internet. We hebben een tweehonderdtal klanten, die samen zo’n 700.000 eindgebruikers vertegenwoordigen. Concreet beheren we een glasvezelnetwerk doorheen gans België, met optische apparatuur, routers en switchers.

Een soort parallel Belgisch internet?

Jan Torreele: Zo kan je het noemen. Bovendien zijn we onderling verbonden met gelijkaardige netwerken in Europa en de VS. Het geheel van al die wereldwijde onderzoeksnetwerken vormt een soort parallel internet exclusief voor onderwijs- en onderzoeksdoeleinden. Op die manier kunnen onze wetenschappers vanuit België aan hoge bandbreedtes communiceren met pakweg collega’s van het Cern in Génève. BELNET zelf telt vijftig tot zestig werknemers –ingenieurs en informatici maar ook een ondersteunende staf.

Maken jullie deel uit van de federale overheid?

Jan Torreele: Ja, we zijn een staatsdienst in afzonderlijk beheer en vallen onder de FOD Wetenschapsbeleid. Toen BELNET in 1993 is gestart, waren we  meteen ook de eerst aanbieder van internetdiensten in België. En gezien onze specifieke positie in het telecomlandschap in België, doen we buiten onze corebusiness ook nog een aantal andere zaken. Zo beheren we sinds 1995 het centrale Belgian National Internet Exchange-knooppunt (BNIX). Een andere activiteit is het beheer van FEDMAN, het Federal Metropolitan Netwerk. Dat verbindt alle ministeries en overheidsorganisaties met elkaar en met het internet.

Waarom heeft de Belgische regering uitgerekend aan BELNET gevraagd om een Belgische internetbrandweer op te richten?

Jan Torreele: Netwerkveiligheid is voor ons altijd al een belangrijk thema geweest. We hadden binnen BELNET dan ook al een hele tijd onze eigen BELNET CERT voor onze klanten. Door de aard van ons supersnelle netwerk en het soort klanten dat wij hebben (universiteiten, onderzoekers, studenten -mensen die expertise, tijd en middelen hebben én bovendien creatief kunnen omgaan met computers en netwerken), is veiligheid altijd al een bekommernis geweest. Potentieel kan er immers veel schade aangericht worden aan ons netwerk. Maar ook andersom: moest er iemand vanop het BELNET-netwerk een denial of service-aanval lanceren, dan zou die heel zwaar zijn –gezien onze grote brandbreedtes en ons krachtig netwerk.

Hoe groot is het Belgische CERT-team?

Jan Torreele: Momenteel bestaat het uit zes voltijdse equivalenten. Tegen 2013 moet dat evolueren naar een team van tien tot elf voltijdse equivalenten. In opdracht van FEDICT voeren we de CERT-activiteiten gefaseerd uit, gespreid over een tijdspanne van vijf jaar.

Hoe kunnen jullie met amper zes man in heel België internetbrandjes blussen?

Jan Torreele: Wij zijn nog altijd in een opstartfase. Je begrijpt dat we met een beginnend team van zes personen nog geen grootscheepse acties kunnen opzetten. In samenspraak met FEDICT focussen we initieel op de kritische infrastructuren: de telecommunicatiesector, banken, energie… We beseffen wel dat we met onze huidige middelen niet de hele netwerk-beveiligingsproblematiek in België kunnen dekken. Maar dat is op dit moment ook niet de bedoeling. We zijn in de eerste plaats een meldpunt en een soort brandweer. Belangrijk is dat het CERT nu bestaat en verder kan groeien. Vroeger kon je gewoon nergens terecht. Een deel van de beveiligingsproblematiek moet overigens op technologisch vlak aangepakt worden, door betere fysieke beschermingen. En verder door betere opleidingen en meer sensibilisering.

Hebben jullie voldoende middelen om goede resultaten te kunnen boeken?

Jan Torreele: Het spreekt voor zich dat CERT.be zeer te vinden is voor meer middelen en voor een uitbreiding van onze activiteiten en samenwerking met andere stakeholders.

Belangrijk is dat wij door de stakeholders erkend worden als een betrouwbare en professionele partner. In dat opzicht is het goed te weten dat de Belgische CERT op internationaal niveau geaccrediteerd en gecertificeerd is. Wanneer wij collega’s van andere landen informeren over incidenten, willen zij immers graag weten met wie zij spreken.

Samenvattend: hoe groot is het probleem van cyberveiligheid in België?

Jan Torreele: Daarover zijn geen kwantitatieve gegevens beschikbaar. Een van de problemen is dat bedrijven weinig geneigd zijn inbraken of veiligheidsincidenten te melden. Tot voor kort was er niet eens een plaats om ze te melden, tenzij slachtoffers klacht indienden bij de politie. Maar ook daar zijn burgers en bedrijven niet geneigd incidenten te melden.

Het is een probleem dat we geen volledig overzicht hebben van wat er allemaal aan de hand is. Al wéét iedereen wel dat er vanalles aan de hand is, en dat incidenten veeleer dagelijkse kost zijn dan eens per maand voorkomen. België is daar niet anders in dan andere landen.

Lees ook het interview met Filip Maertens en Paul Bakker over cybersecurity