‘Een op de vier Belgische computers besmet met malware’

Het Federaal Parket onderzoekt enkel cyberdossiers rond kritieke infrastructuur of nieuwe cybertechnieken –de zogenaamde alfa cases. In 2012 opende het 577 dossiers. Hoewel 2013 nog niet voorbij is, ligt het aantal dit jaar dus al hoger. ‘En het aantal zaken waar we niet van op de hoogte zijn, is zonder twijfel enorm.’

De evolutie in de cijfers is sprekend. In 2011 opende het Federaal Parket 259 dossiers, in 2009 51. Toen Van Leeuw zich in 2006 toelegde op internetveiligheid, was hij bij het Federaal Parket de enige magistraat gespecialiseerd in dat thema. Vandaag zijn ze met twee en voor het einde van 2013 komt er nog een derde magistraat bij.

‘Veel bedrijven zijn extreem slecht beschermd tegen cyberaanvallen’, zegt Van Leeuw. ‘Je kan de cyberwereld vergelijken met het Wilde Westen. Het is vandaag bij wijze van spreken nog altijd mogelijk om de bank of het saloon aan te vallen, en vervolgens naar het buitenland te vluchten. De sheriff heeft daar geen bevoegdheid om op te treden. Dat is een van de problemen bij het bestrijden van cybermisdaad: de territorialiteit van justitie. Bovendien is de wetgeving in België vaak achterhaald. Neem de regels over het tappen van telefoons, die zijn nog geïnspireerd op vaste telefoonlijnen.’

Sinds 1 juli 2011 is in België een wet van kracht die binnen vier sectoren (energie, transport, banken, elektronische communicatie) definieert wat precies kritieke infrastructuur is. Van Leeuw: ‘Het lijkt me aangewezen dat er bij bedrijven die tot de kritieke infrastructuur worden gerekend minimumstandaarden komen voor veiligheid en bescherming. Die standaarden moeten vervolgens gecheckt worden door een onafhankelijke autoriteit, en ik stel voor dat er administratieve boetes komen voor voor zij die de beveiliging niet au serieux nemen.’

‘Het gebeurt met iedereen’

Ook de Belgische internetbrandweer CERT.be signaleerde op de conferentie een toename in cyberincidenten. Coördinator Christian Van Heurck: ‘In de eerste negen maanden van 2013 zijn bij CERT.be 4581 vermeende cyberincidenten gemeld. Na onderzoek door de specialisten van CERT.be bleek het te gaan om 2735 reële incidenten. In 2010, toen CERT.be zijn activiteiten startte, ging het om ongeveer 2135 meldingen en zo’n 1389 incidenten. Op drie jaar tijd is het aantal dus verdubbeld.’

Volgens Van Heurck hebben slechts ‘een klein percentage’ van die incidenten betrekking op spionage –het gros gaat over klassieke cybercrime (identiteitsdiefstal, online banking, enzovoort). Van Heurck: ‘In detail treden over de spionageslachtoffers kan ik niet, omdat we hun vertrouwen niet willen beschadigen.’

CERT.be stelde bovendien vast dat het afgelopen half jaar 351.065 Belgische computers geïnfecteerd geraakten. Van Heurck: ‘Dat aantal is slechts een stukje van de puzzel. Antivirusbedrijven hebben een ander stukje –met name cijfers over infecties die zijn tegengehouden. Maar eigenlijk heeft niemand een volledig overzicht. Onze cijfers zijn slechts het topje van de ijsberg. Ik vermoed dat in realiteit twintig tot dertig procent van alle computers in België besmet zijn met allerhande soorten virussen –van onschuldige tot zeer gesofistikeerde.’  Dat is gemiddeld een op de vier.

‘We denken allemaal: het gebeurt met anderen. Fout. Het gebeurt met iedereen. De cyberdreiging is reëel. Van basisproblemen –computers kiezen vaak belachelijk makkelijke paswoorden– tot gesofistikeerde aanvallen.’

CERT.be roept computergebruikers op om incidenten te melden. ‘Als in je bedrijf malware wordt ontdekt, laat het ons dan alstublieft weten. Zonder die cijfers kunnen we anderen niet overtuigen dat de dreiging reëel is.’ Van Heurck pleit ervoor om de cyberdreiging in België eerst en vooral te erkennen. ‘Vervolgens kan je awareness creëren en efficiënt beginnen handelen.’

Tips voor veilig internetgebruik bundelt CERT.be op de website www. safeonweb.be. Van Heurck: ‘Voorkomen is beter dan genezen. Verder kan ik ook iedereen aanraden om een goed antivirusprogramma te installeren –froeg of laat worden virussen toch wel opgespoord. Hou ook steeds een back up bij van je harde schijf, en doe af en toe een volledige fresh install van je computersysteem. Installeer het terug vanaf nul.’

‘Overheid en privé moeten krachten bundelen’

Premier Elio Di Rupo stelde in een videoboodschap op de conferentie dat de federale regering in 2014 tien miljoen euro vrijmaakt voor de strijd tegen cybercriminaliteit –met name voor de oprichting van een Coördinatiecentrum voor cyberveiligheid.

In Nederland bestaat zo’n centrum al sinds 1 januari 2012. Het telt drie divisies. Het detectie- en incident response-team monitort het internet bijna 24u per dag. De divisie expertise en advies bundelt de beschikbare kennis in factsheets en geeft overal te lande presentaties. De derde divisie verzorgt de conatcten met privébedrijven.

Elly van den Heuvel, general manager van het Nederlandse National Cyber Security Centre (NCSC), raadt het Belgische coördinatiecentrum aan om zeker de privé-sector erbij te betrekken. ‘Wat je ook doet, bundel de krachten. Meer dan tachtig procent van internetinfrastructuur is in handen van de privésector. Regeringen en privébedrijven moeten dus wel samenwerken.’ Het NCSC staat bijvoorbeeld in contact met verbindingsofficieren van Microsoft en Cisco.

Het DNCSC stelt jaarlijkse een inschatting op van de cyberdreiging. Van den Heuvel: ‘Onze analyse is dat landen en criminelen de belangrijkste bedreiging uitmaken. Staten doen aan cyberspioange tegen regeringen, bedrijven en burgers.’ Inzake cybermisdaad verwijst Van den Heuvel onder meer naar online fraude met vliegtuigtickets en hotelboekingen.

‘Je beslist zelf wie toeang krijgt tot je medische gegevens’

Bijzonder gevoelig zijn uiteraard de medische gegevens van burgers. Niemand zou willen dat zijn medische geheimen zomaar op straat komen te liggen. De Belgische overheid en alle betrokken partijen –dokters, ziekenhuizen, apothekers, ziekteverzekering– dragen dan ook een grote verantwoordelijkheid om al die data goed te beschermen.

In België is het Smals dat de e-governmentprogramma’s voor de sectoren van sociale zekerheid en gezondheidszorg ondersteunt en begeleidt. Frank Robben, ceo van Smals en general manager, van het eHealth-platform: ‘In de Belgische sociale sector zijn er zo’n 10 miljoen burgers, 220.000 werkgevers en ongeveer 3000 publieke en private instellingen op de verschillende beleidsniveaus die te maken krijgen met het verzamelen van gegevens rond sociale zekerheid.’

‘Tel daarbij nog 100.000 aanbieders van gezondheidszorg –dokters, tandartsen en apothekers– en driehonderd gezondheidsinstellingen.’ Al die stakeholders moeten veilig met mekaar kunnen communiceren over medische gegevens.

‘We denken allemaal: het gebeurt met anderen. Fout. Het gebeurt met iedereen. De cyberdreiging is reëel.’

‘Mijn boodschap is: veiligheid is belangrijk, maar efficiëntie ook. Het komt erop aan een goeie balans tussen de twee te vinden’, zegt Robben. ‘Absolute veiligheid is geen wensbare doelstelling omdat het zou leiden tot een verlies aan enorme kansen in termen van efficiëntie en effectiviteit.’

De veiligheidsmaatregelen inzake de bescherming van medische gegevens zijn in België uitgewerkt op verschillende niveaus. ‘We centraliseren de data van de Belgische gezondheidszorg niet in één superdatabase; dat is onze eerste beveiligingsmaatregel. Ziekenhuizen houden bijvoorbeeld zelf hun eigen data bij.’

Elk stukje informatie wordt maar op één plaats bewaard, en is enkel toegankelijk wanneer nodig. ‘Wanneer data worden uitgewisseld tussen partners, gebruiken we een unieke sleutel om de patiënt te identificeren.’ De Privacycommissie geeft bovendien voorafgaand advies over de uitwisseling van data tussen de verschillende spelers in de gezondheidssector.

Volgens Robben kan elke Belgische burger beslissen wie toegang mag krijgen tot zijn medische gegevens. ‘Op de website www.ehealth.fgov.be kan je dat zelf aangeven. Daarvoor heb je wel je elektronsiche identiteitskaart nodig. Als je geen toestelletje hebt om die ID in te lezen, kan een dokter kan het ook in jouw plaats doen.’

‘Met de toepassing eHealthConsent kan de geïnformeerde toestemming van de patiënt voor de elektronische uitwisseling van zijn gezondheidsgegevens geregistreerd of ingetrokken worden in het kader van zijn zorg’, staat te lezen op de site. ‘Elke burger kan aan de hand van deze toepassing ook bepaalde specifieke zorgverleners uitsluiten van de toegang tot zijn gezondheidsgegevens –voor de gegevensuitwisselingen die onder deze toestemming vallen.’

Het systeem is volgens Robben pas recent opgestart. ‘We moeten het grote publiek er nog over informeren.’

Is de Belgische gezondheidssector de voorbije jaren wel eens het slachtoffer geworden van cyberaanvallen? ‘Ja’, antwoordt Robben. ‘Maar om je een idee te geven van de omvang: de Kruispuntbank Sociale Zekerheid bestaat intussen 22 jaar, het eHealth-platform vijf jaar. We hebben op het sectoraal comité geen tien klachten ontvangen. Zijn er dreigingen? Natuurlijk zijn die er. En natuurlijk is de veiligheid van informatie belangrijk.’

Robben geeft het voorbeeld van het grootste Belgische ziekenhuis, Gasthuisberg in Leuven. Robben: ‘Gasthuisberg telt zo’n 6000 bedden en 5500 medewerkers. Twintig miljard keer per jaar wordt de patiëntendatabank geraadpleegd. Kun je er dan zeker van zijn dat er nooit ongeoorloofde toegang is? Neen.’ Wel worden alle toegangen die over het e-Health-platform passeren, gelogd in een databank. Zo kan eventueel misbruik achteraf nog opgespoord worden.

Dag nul

De Amerikaan Brian Krebs werkte vijftien jaar als reporter voor The Washington Post en runt nu zijn eigen blog over internetveiligheid, www.krebsonsecurity.com. Krebs ging zich interesseren voor computerveiligheid nadat zijn pc thuis bleek aangevallen door Chinese hackers. Intussen geldt de man als een belangrijke expert terzake –‘veel kennis dank ik aan regelmatige en directe contacten met sommige van de slimste en best geplaatste nerds op deze planeet’– en heeft hij bijna 42.000 volgers op Twitter.

‘Een freelance hacker kan vandaag in zijn kelder dingen doen waar natiestaten tien jaar geleden alleen maar van konden dromen’, zegt Krebs. ‘Vroeger kwamen elke dag honderden nieuwe malware-versies uit. Dat aantal is exponentieel toegenomen. Vandaag worden elke dag honderdduizend nieuwe varianaten op het internet losgelaten.’

Allemaal erg verontrustende evoluties dus, maar Krebs ziet ook positieve ontwikkelingen. ‘De meeste cybercriminelen proberen hun sporen niet echt goed te verbergen. De reden is dat de meesten gebaseerd zijn in landen waar ze zich ongenaakbaar voelen, denk aan Oekraïne of Rusland. Maar recent zijn in Rusland wél hackers gearresteerd; volgens de openbare aanklager hadden ze 250 miljoen dollar gestolen uit banken in Rusland en Oekraïne. Doordat de middenklasse in die landen zelf groeit, gaan hackers zich nu ook op hun eigen land richten –en minder op het buitenland. En dus komt de lokale politie nu wel in actie.’

Krebs raadt bedrijven aan om niet te veel geld en tijd te verliezen aan het opsporen van zogenaamde zero day vulnerabilities. Dat zijn fouten in programmeertaal die nog niet zijn ontdekt maar waar hackers wel misbruik van kunnen maken. Vandaar ook de naam ‘dag nul’: de dag dat de fouten worden uitgebuit, is de dag dat ze ook publiek worden.

‘De meest vernietigende en kostelijke cyberaanvallen van het afgelopen decennium speelden echter niét in op die zero day vulnerabilities.’

Volgens Krebs hebben overheden er alle belang bij om zero day vulnerabilities niet bekend te maken. ‘Integendeel, de vaststelling is dat de Verenigde Staten en andere landen zero day vulnerabilities net gaan stockeren nadat ze zijn ontdekt. Ze kunnen immers later, bij een eventuele cyberoorlog, nog goed van pas komen. Zero days hebben gigantische first strike-mogelijkheden. Anderzijds kunnen die cyberwapens ook snel onbruikbaar worden, want als iemand anders de fouten in de code ontdekt, zijn ze niet meer bruikbaar.’

Volgens Krebs zijn in Stuxnet –de gesofistikeerde cyberaanval tegen Iraanse centrifuges– minstens vier verschillende zero day vulnerabilities gebruikt.

‘Wees voorzichtig met tablets’

Karel Dekyvere van Microsoft pleitte op de conferentie voor een betere bescherming van data die op tablets worden geraadpleegd. Dekvyvere: ‘Sinds juli 2013 worden wereldwijd meer tablets dan computers verkocht. Besef je wel wat daarvan de impact is op je bedrijf vanuit veiligheidsperspectief? Het betekent dat de instrumenten die je in het verleden gebruikte voor veiligheid, in de toekomst misschien niet meer nuttig zullen zijn.’

‘Mensen slaan bedrijfsgegevens op op hun tablet. Ze gebruiken het toestel ook voor online bankieren. En ’s avonds geven ze het aan hun zoon om Angry Birds te spelen.’ Tablets kunnen bovendien snel gestolen worden.

Dé uitdaging inzake cyberveiligheid, aldus Dekvyvere, is je voor te bereiden op de zogenaamde Zwarte Zwaan. ‘Dat is een uitzonderlijke gebeurtenis, genre de val van de Berlijnse Muur of 9/11, die de wereld verandert. Eens ze plaatsvindt, zal iedereen zeggen: ja, natuurlijk stond dat er aan te komen. Zo zal er ook ooit een Zwarte Zwaan komen op het internet.’

De Belgian Internet Security Conference 2013 vond op 24 oktober plaats op de Kunstberg in Brussel. Ze is georganiseerd door Belnet, een federale overheidsdienst die is opgericht in 1993 en valt onder Wetenschapsbeleid. Belnet is het Belgische nationale onderzoeksnetwerk, het supersnelle internet voor onderwijs, onderzoek en overheden in België.