Cyberveiligheid: België als vogeltje voor de kat

Op 4 mei 2021 kreeg ons land een ongeziene cyberaanval te verduren. Het Belgische bedrijf Belnet dat internetverkeersdiensten levert aan verschillende overheids- en onderwijsinstellingen, TaxOnWeb, MyMinFin en vele andere diensten werden getroffen. Zo lagen ook enkele boekingssites van vaccinatiecentra een tijdlang plat. Zelfs enkele zittingen in het parlement werden geschorst. De desbetreffende aanval was een DDOS aanval. Bij dat soort aanvallen worden sites bestookt met berichten van over de hele wereld. Dit gaat door totdat de website overbelast geraakt en niet meer beschikbaar is.

Normaal gezien zijn we bestand tegen dit soort aanvallen, maar de gigantische schaal van de aanvallen op 4 mei maakte dat zelfs de beveiligingsmechanismen van Belnet bezweken. In totaal werden er aanvallen gelanceerd vanuit 29 verschillende landen, goed voor meer dan 40 miljoen DDOS-verzoeken.

Wie er achter de aanval zat is ook vandaag nog niet duidelijk. Zoiets achterhalen duurt maanden. DDOS-aanvallen gebeuren dagelijks, maar slechts zelden worden we geconfronteerd met aanvallen van een dergelijke schaalgrootte. Op zulk aanvallen zijn we, zo blijkt nog maar eens, ook helemaal niet voorbereid.

Hoofdgerecht of amuse geule?

En wat is er veranderd zo’n twee weken na de aanval op ons land? Niets. Bij vele politici lijkt er weinig animo te zijn om dit debat te voeren. Men blijft Oost-Indisch doof. Na een 14-tal dagen lijken we opnieuw weg te kijken van het zwaard van Damocles dat boven ons hoofd hangt. Laten we onszelf niets wijsmaken: de aanval van 4 mei was niet het hoofdgerecht, maar slechts een amuse geule. Het is voorlopig bang wachten op de eerste echt dramatische cyberaanval. Een aanval die niet gericht is op TaxOnWeb, maar bijvoorbeeld op onze politie, ziekenhuizen of energievoorzieningen.

‘Het is tijd dat de Wetstraat wakker gaat liggen van cyberveiligheid,’ zegt Kamerlid en veiligheidsexpert Koen Metsu (N-VA). ‘We moeten daarbij zeker kijken naar andere Europese landen, die wel inzetten op cyberveiligheid. Denk maar aan onder andere Estland en Duitsland. Cyberveiligheid zal de komende jaren belangrijker en belangrijker worden. Ik hoop dat we geen spreekwoordelijke cyberpandemie nodig hebben om onszelf wakker te schudden.’

U wordt opgeslagen

Gelijk heeft hij. Cyberveiligheid zal hoog op de agenda moeten staan de komende jaren. Als politici het onderwerp niet op de agenda plaatsen, dan doen hackers dat wel. We leven in een alsmaar meer geconnecteerde wereld, verbonden via het internet en dus ook kwetsbaar voor cyberaanvallen. Niet alleen de (tijdelijke) onbeschikbaarheid van je gegevens is een probleem bij dit soort aanvallen, ook de hoeveelheid gegevens die op dat moment te grabbel liggen doen de wenkbrauwen fronsen.

Private actoren en sinds kort ook de overheid verzamelen tal van gegevens over u en slaan die op op hun servers. Maak u geen illusies: niet uw gegevens worden opgeslagen, ú wordt de facto opgeslagen. Al die beetjes data geven uw persoonlijkheid prijs. Uw hele leven heeft tegenwoordig een digitale afdruk. Bankrekeninguittreksels, bloedwaarden, het verslag van uw psycholoog… Zijn dat dingen die u graag op straat ziet belanden?

Het mag een beetje meer zijn

Het is intussen duidelijk dat cyberveiligheid meer aandacht verdient. Het voorbeeld van Estland dat Metsu aanhaalt is niet uit de lucht gegrepen. Het land was recent ook het slachtoffer van een grootschalige cyberaanval, hoogstwaarschijnlijk uitgevoerd door de Russen. ‘Maar zij zijn niet blijven stilzitten’, aldus Metsu. ‘Ze hebben intussen begrepen dat een scherm geen schild is. Gevaar dat je niet direct ziet of voelt, komt vaak het meest onverwacht. Estland zette zo bijvoorbeeld erg in op decentralisatie van zijn cyberinfrastructuren. In ons land zit veel cyberinfrastructuur centraal. Leg dat ene centrale punt plat en alles ligt plat.’

Maar dat is niet het enige. Ook de samenwerking tussen bedrijven en de overheid moet nog beter. In Estland moeten alle bedrijven bijvoorbeeld hun zwakke plekken in kaart brengen. Zulke risicoanalyse is nuttig bij het efficiënt beveiligen van netwerken. Estland gaat daarbij verder dan de Europese richtlijn die verplicht dat lidstaten hun kritieke sectoren in kaart moeten brengen.

Noodplan

Verder zijn er in ons land dan ook enorm veel structuren die bij zulke cybercrisis betrokken worden: het crisiscentrum, de computer crime unit, het Centrum voor Cybersecurity, het Crisis Emergency Response Team (CERT), private cybersecuritybedrijven, de getroffen bedrijven en organisaties… ga zo maar door. Het is dan nodig ieders bevoegdheid nauwgezet te omschrijven. Dat gebeurde in 2017 onder de Zweedse regering in het allereerste Cyber Noodplan. Dat plan legt vast welke procedures er moeten worden gevolgd in geval van een cyberaanval.

Het plan is echter geschreven vanuit een typisch Belgische reactieve invalshoek. Men stelt zich de vraag: ‘Hoe gaan we om met een cyberaanval’. Het zou echter beter zijn een meer proactieve houding aan te nemen en onszelf de vraag te stellen: ‘Hoe voorkomen we cyberaanvallen die ons land platleggen.’ Voorts moeten we ons afvragen wie het voortouw neemt wanneer er een gecoördineerde aanval zou plaatsvinden op verschillende Europese landen. Wie neemt er dan de leiding? Het zwaarst getroffen land en hun legerleiding, Europol, of misschien de NAVO met haar Cooperative Cyber Defence Centre of Excellence (CCDCOE)? Ook op gebied van cyberveiligheid is Europa een lappendeken aan staten.

Niet alleen kommer en kwel

Het is niet alleen kommer en kwel natuurlijk. Jaarlijks worden er dan ook oefeningen georganiseerd. Alleen zijn dat veelal oefeningen op Europese schaal. We hebben nood aan meer kleinschalige oefeningen. Oefeningen die inzetten op de achilleshiel van specifieke sectoren en bedrijven.

We hebben in België enorm veel sterke cyberveiligheidsprofielen rondlopen binnen het veiligheidsapparaat. Laten we hun troeven optimaal benutten. Dat doe je door voldoende middelen vrij te maken voor cyberveiligheid, door proactief vooruit te denken en best practices uit het buitenland over te nemen. Eén ding is zeker: een golf van cyberaanvallen en internetoorlogen komt op ons af in een alsmaar meer geconnecteerde wereld. Wanneer dat moment aangebroken is, komt het erop aan te surfen of te verdrinken.