Militaire inlichtingendienst getroffen door ernstig cyberincident

Volgens minister van Defensie Pieter De Crem richten hackers regelmatig het vizier op de informatiesystemen van het Belgische leger. Het is dan aan de militaire inlichtingendienst om die cyberaanvallen te onderzoeken en erop te reageren. MO* vernam uit goede bron dat de ADIV rond de jaarwisseling zelf het mikpunt was van een ernstig cyberincident. 

Klopt het dat het ADIV-netwerk zelfs een paar weken moest worden stilgelegd en dat het National Security Agency (NSA) is moeten tussenkomen? Wat is er precies gebeurd?

Testelmans: Intern heeft de ADIV een streng beveiligd elektronisch netwerk om geclassificeerde documenten uit te wisselen. Daarnaast is er een tweede netwerk om niet-geclassificeerde informatie tussen medewerkers te delen en om met de buitenwereld te communiceren. Dat QET.be-netwerk (QET verwijst naar het ADIV-motto “quaero et tego”, ik onderzoek en bescherm, kc) is gelinkt aan het internet.

Gemiddeld om de twee jaar doen we een groot onderhoud van dat laatste netwerk: software weghalen of updaten; de stockagecapaciteit verhogen; huis-, tuin- en keukenvirussen verwijderen… Omdat het in de kerstperiode sowieso wat kalmer is, zijn we toen met die geplande onderhoudswerkzaamheden gestart.

Tijdens het onderhoud stootten onze technici op een software die we zelf niet hadden geïnstalleerd. Het ging om een virus van een bepaalde complexiteit. We zijn zelf gestart met het te ontcijferen en analyseren, om te weten wat het zou kunnen aanrichten. Het bleek echter zodanig complex dat we er met onze eigen capaciteit niet helemaal uitraakten. Daarop hebben we dan steun gevraagd aan het Cyber Command van het Amerikaanse leger, dat net zoals de NSA onder leiding staat van generaal Keith Alexander.

Al na een paar dagen kwam een team Amerikaanse specialisten hier langs om ons met raad en daad bij te staan.

De bilaterale betrekkingen tussen België en de VS zijn zeer goed, de Amerikanen hebben dan ook niet lang over onze vraag om hulp moeten nadenken. Al na een paar dagen kwam een team Amerikaanse specialisten hier langs om ons met raad en daad bij te staan. Ze hebben het virus helpen analyseren en gaven tips om ons in de toekomst beter tegen dit soort malware te beschermen.

Wat deed het virus precies? Heeft het veel schade aangericht bij de ADIV?

Testelmans: Daar kan ik niets over zeggen. Ook over de origine kan ik niets kwijt.

Ging het om een individuele hacker, een gespecialiseerd bedrijf of de geheime dienst van een vreemde mogendheid?

Testelmans: Gezien de complexiteit van het virus mogen we er van uitgaan dat er een professionele organisatie achter zat.

Bent u zeker dat de Amerikanen tijdens de werkzaamheden geen achterpoortje hebben geïnstalleerd om zelf toegang te krijgen tot uw systemen?

Testelmans: Ja. Voor de werkzaamheden begonnen, hebben we duidelijke afspraken gemaakt over wie er toegang zou krijgen tot het netwerk. Onze experts waren steeds aanwezig. Het is zeer correct gebeurd.

Heeft het Belgische leger het Cyber Command en de NSA nodig?

Testelmans: In dit specieke geval mogen we blij zijn dat we een beroep konden doen op een grotere broer.

Waarom vroeg u Amerikaanse inlichtingendiensten om hulp en niet pakweg een Europese partner, het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) bijvoorbeeld?

Testelmans: We werken binnen de NAVO-context. En we hebben ervoor gekozen om aan te kloppen bij dé wereldwijde cyberspecialisten. En dat zijn nu eenmaal het Cyber Command en de NSA. Bovendien hebben we met hen een zeer goede relatie, open en professioneel, in de twee richtingen. Dit bewijst trouwens dat in het domein van de cyberveiligheid de multinationale samenwerking van enorm belang is.

Bezoekje aan de NSA

Minister De Crem zei daarover op 9 juli in De Kamer dat de ADIV ‘in het kader van zeer concrete dossiers ook met de NSA informatie uitwisselt, over onderwerpen die een bedreiging vormen voor de Belgische staat of burgers.’

Testelmans: De informatie die de NSA oppikt, wordt via verschillende kanalen aan België overgemaakt: de CIA, de FBI en het Defense Intelligence Agency (DIA). Als het gaat om operaties in het buitenland waar wij ook aan deelnemen, dan gebeurt die info-uitwisseling in het theater met de DIA. Wanneer het gaat over het Belgische grondgebied, dan gebeurt dat meestal via de CIA –die werkt met info afkomstig van de NSA. Wat de strijd tegen extremisme en terrorisme betreft, is het duidelijk dat de info van de NSA meer relevant is voor de Staatsveiligheid dan voor ons, tenzij het gaat om militaire operaties in het buitenland –Afghanistan bijvoorbeeld.

Hebben jullie nooit rechtstreeks contact met de NSA?

Testelmans: Toch wel. In het SIGINT-domein (SIGINT staat voor signals intelligence, ck)  komen verschillende keren per jaar experts samen om over technologie te praten en informatie uit te wisselen. Dat is echt high tech. Wij hebben ook contacten in het domein van de cyberveiligheid, met hun Central Security Service, die instaat voor het beveiligen van netwerken en gegevens.

Een paar weken geleden ben ik zelf nog langs geweest in Fort Meade, de hoofdzetel van het Cyber Command en het NSA in Maryland nabij Washington. Het zijn reusachtige gebouwen, met capaciteiten waar wij alleen maar van kunnen dromen. In het Cyber Command werken ongeveer zesduizend personen.

Wat bent u daar gaan doen?

Testelmans: Ik wilde weten hoe de Verenigde Staten op nationaal vlak georganiseerd zijn in het domein van cyberveiligheid. Hoe pakken zij dat aan? Hoe beschermt Defensie zich? Hoe beschermen ze nationale kritieke infrastructuren? Hoe wordt het economisch en wetenschappelijk potentieel beveiligd? Daar zijn wij ook over aan het nadenken. En in plaats van het warm water uit te vinden kan je beter van anderen leren. Het is altijd goed om het summum te bekijken en vervolgens kan je dat proberen te vertalen naar je eigen niveau. Ik ben in dat kader trouwens ook in Nederland en Zwitserland geweest en we hebben eveneens het Duitse voorbeeld bestudeerd.

‘NSA heeft drie aanslagen voorkomen in België’

Heeft u in Fort Meade ook generaal Keith Alexander ontmoet, de grote baas van de NSA?

Testelmans: In Fort Meade heb ik de adjunct van generaal Alexander ontmoet. Generaal Alexander zelf heb ik later in een ander forum ontmoet.

Heeft u het gehad over Prism, het geheime spionageprogramma dat Edward Snowden heeft onthuld?

Testelmans: Enkel informeel. De adjunct vertelde dat generaal Alexander ten gepaste tijde zijn collega’s zou informeren over wat Prism wel en niet is, om de nodige misverstanden uit de weg te ruimen. Dat is intussen gebeurd. We hebben bijvoorbeeld de speaking notes gekregen van de hoorzitting met generaal Alexander midden juni in het Amerikaanse parlement. We krijgen ook regelmatig een stand van zaken –ze zijn er relatief open over. In zijn toespraak voor het parlement lichtte Alexander toe hoeveel terroristische aanslagen de NSA heeft kunnen verijdelen. Niet alleen in de VS maar ook in partnerlanden zoals België.

En klopt die informatie? Heeft de NSA hier inderdaad aanslagen helpen voorkomen?

Als de NSA die info niet had doorgespeeld, hadden wij het niet geweten.

Testelmans: Ja. In drie gevallen is er inderdaad een mogelijk terroristische daad verijdeld op basis van info waarvan we mogen aannemen dat die rechtstreeks uit het Prism-systeem komt, en die ons via geclassificeerde kanalen is bezorgd. Als de NSA die info niet had doorgespeeld, hadden wij het niet geweten. Daarom dient Europa zich te bezinnen over de vraag of het voldoende gewapend is voor de strijd tegen terrorisme, tegen grensoverschrijdende zware criminaliteit en tegen de proliferatie van massavernietigingswapens.

[Update 6.5.2015: Op basis van een rapport van het Comité I bericht De Tijd dat deze informatie over drie verijdelde aanslagen niet klopt. Zie ook het opiniestuk De waarheid komt uiteindelijk toch bovendrijven] 

In één van die drie gevallen ging het om het beruchte nieuwjaarsalarm van 2007. En die andere twee?

Testelmans: De details mag ik niet geven. Wel kan ik zeggen dat België waarschijnlijk voor zware incidenten behoed is gebleven.

Hebben jullie –zoals Duitsland– zelf ook toegang tot Prism?

Testelmans: Neen. Wij gaan ervan uit dat de NSA aan België de info zal overmaken wanneer ze denkt dat die voor ons van essentieel belang is.

Geeft België zelf ook info aan de NSA?

Testelmans: Ja. Zo werkt het nu eenmaal: donnant-donnant. Als wij belangrijke informatie hebben over dingen die de belangen van de VS  kunnen schaden en van levensbelang kunnen zijn, dan wisselen we die uit.

Ook België onderschept communicatie in het buitenland  

De ADIV doet zelf ook aan SIGINT: jullie onderscheppen zelf ook communicatie. Wie zijn de doelwitten?

Testelmans: We onderscheppen enkel communicatie in het buitenland en afkomstig van het buitenland. Dat doen we in steun van onze militaire operaties in het buitenland. Je moet weten dat onze SIGINT-activiteit heel rigide wordt gecontroleerd door het Comité I. Zij komen regelmatig –onaangekondigd– kijken naar wat we onderscheppen.Bovendien doen we enkel wat ons a priori door de minister van Defensie wordt toegelaten om te doen.

Een keer per jaar keurt de minister een lijst goed met SIGINT-doelwitten: landen, organisaties, personen en politieke bewegingen die van belang zijn in ondersteuning van militaire operaties en onze nationale belangen. De lijst houdt rechtstreeks verband met het inlichtingenstuurplan dat we jaarlijks aan de minister ter goedkeuring moeten voorleggen en die ook aan het Comite I wordt overgemaakt. Het systeem is wel heel flexibel: als plots Syrië opduikt, dan bestaat er een snelle procedure om met de Chief of Defense en de minister van Defensie de lijst aan te passen. Dat gaat zeer vlot.

Wat bedoelt U met ‘ondersteuning van onze nationale belangen’?

Testelmans: Met onze SIGINT-capaciteit kunnen we ook de Staatsveiligheid, het Federale Parket of de Federale Politie ondersteunen –telkens in het buitenland welteverstaan. Het is niet omdat het Belgische leger niet in Syrië aanwezig is, dat we niet geïnteresseerd kunnen zijn in wat er in Syrië gebeurt.

Hoe werkt het precies? Hoe onderscheppen jullie die communicatie?

Iedereen zal begrijpen dat de gebruikte technologie en onze werkmethodes geheim moeten blijven

Testelmans: Specifieke SIGINT-interceptiemiddelen worden ingezet om doelen te onderscheppen die ons aanbelangen. Die geïntercepteerde gegevens worden verder verwerkt en doorgespeeld naar verschillende diensten zoals onze strijdkrachten in het buitenland, onze partnerlanden maar ook het Federaal Parket en de Staatsveiligheid. Iedereen zal begrijpen dat de gebruikte technologie, de precieze lokalisatie ervan in het buitenland en onze werkmethodes geheim moeten blijven om te vermijden dat de doelen die wij volgen argwanend zouden worden.

De ADIV telt zowat 650 werknemers. Hoeveel daarvan zijn met SIGINT bezig?

Testelmans: Gezien de gevoeligheid van deze gegevens zal u begrijpen dat ikdaar ook niets over kan zeggen.

Sinds de goedkeuring van de BIM-wet in 2010 mogen jullie, net als de Staatsveiligheid, zogenaamde bijzondere inlichtingenmethoden toepassen, zoals telefoons afluisteren en e-mails onderscheppen. Waarin zit dan het verschil met de SIGINT-opdrachten die de ADIV reeds jarenlang uitvoerde?

Testelmans: De BIM-wet is van toepassing op het nationale grondgebied; onze SIGINT-activiteiten zijn gericht op het buitenland.

Hoe werkt de ADIV samen met het EU Satellite Centre in Torrejon nabij Madrid?

Testelmans: Dat is nog een ander verhaal, daarbij gaat het om imagery, beeldvorming –satellieten die beelden maken. Google Earth, maar dan meer gesofisticeerd. Wij maken deel uit van het Helios-consortium, geleid door Frankrijk, en waar ook Duitsland, Griekenland, Spanje en Italië deel van uitmaken. Gezien België daarin heeft geïnvesteerd, hebben wij recht op een bepaalde gegarandeerde capaciteit.

En de ADIV vraag dan satellietfoto’s op van…

Testelmans: … bijvoorbeeld Goma, Lubumbashi, de situatie in Tripoli, bepaalde havenfaciliteiten…

Gebrek aan cyberveiligheid

De ministerraad keurde begin juli de aankoop van een Modern Informatica Systeem (MIS) goed voor 4 miljoen euro. Voor wat zal dat nieuwe materiaal dienen?

Testelmans: Het zal ons toelaten een grote sprong voorwaarts te maken in het domein van het opslaan, behandelen, analyseren en verwerken van informatie en inlichtingen. Het heeft weinig zin voor een dienst als de onze om over enorm performantecollecte-middelen te beschikken als vervolgens de analysedienst de informatiestroom niet aankan. Die info-flux wordt exponentieel groter; je hebt IT-middelen nodig om dat in goede banen te leiden. Anders krijgen onze analisten al de informatie niet meer geordend.

Hoe is binnen de ADIV gereageerd op de Snowden-lekken?

De insider threat ga je nooit kunnen stoppen –al kan je je systeem er wel aan aanpassen.

Testelmans: Met een zekere mate van ongeloof: hoe kan zo een grote en performante organisatie met zoveel middelen en controles zo’n lek voorhebben? Het zal u maar overkomen. De conclusie is: het maakt niet uit hoeveel geld je in de fysieke beveiliging van je systemen investeert, in data logging, in registratie… het individu is en blijft de essentiële schakel in het domein van veiligheid. De insider threat ga je nooit kunnen stoppen –al kan je je systeem er wel aan aanpassen. Feit is dat Edward Snowden ondanks zijn lage rang toegang had tot een enorme hoeveelheid informatie. Hetzelfde verhaal bij Bradley Manning (de Amerikaanse soldaat die data lekte aan Wikileaks, kc).

En hoe was de reactie op de inhoud van de Snowden-lekken, op het feit dat de NSA wereldwijd een gigantisch surveillance-netwerk runt?

Testelmans: Als je de toespraak van generaal Alexander voor het Amerikaanse parlement leest, dan begrijp je dat de NSA dat waarschijnlijk wel zou kunnen. Maar doen ze het wel? Zoals in België is er ook in de Verenigde Staten een stevige parlementaire controle op wat de veiligheidsdiensten doen. Ondanks het feit dat de NSA  groot is, denk ik dat niemand in staat is om de hele wereld af te luisteren, en alle sms’jes en e-mails te onderscheppen en te analyseren. De capaciteit daarvoor mag dan al voorhanden zijn, vervolgens moet je al die data ook nog verwerken. Daarvoor heb je mensen nodig –en net die capaciteit is beperkt. De NSA is naar eigen zeggen permanent bezig met enkele honderden gevallen.

Op een studiedag van het Belgian Intelligence Studies Centre in november 2011 kondigde Pascal Petry, veiligheidsadviseur van premier Di Rupo, de oprichting aan van een coördinatiecentrum rond cyberveiligheid. Dat zou in 2013 worden opgericht. Hoe staat het daarmee?

Testelmans: In december 2012 heeft de regering de nationale cyberveiligheid-strategie goedgekeurd –evenwel zonder het operationele luik. Vraag is wie het systeem gaat aansturen en betalen? De premier heeft het College voor Inlichtingen en Veiligheid de opdracht gegeven om vanuit de strategie de structuur te bepalen van waaruit België zijn cyberveiligheid moet opzetten. Dat college denkt nu na over wie de leiding moet nemen. Defensie werd gevraagd om die op zich te nemen, maar ik vind dat bijvoorbeeld het BELNIS–platform (Belgian Network on Information Security, kc) beter geplaatst is om in België de leiding op zich te nemen.

Ook consultancybedrijf X kan onder de arm genomen worden. De hamvraag is: wie gaat wat betalen? Er hangt immers een stevig prijskaartje aan vast. Defensie zelf is ondertussen bezig met de ontwikkeling en invoering van de cyber security-strategie voor Defensie.