‘Neem de cyberdreiging eindelijk ernstig’

In 1989 schreef Clifford Stoll The Cuckoo’s Egg, over zijn zoektocht naar een hacker die was ingebroken in het computersysteem van de Lawrence Berkeley National Laboratory.

Op een congres over cyberveiligheid, begin september aan de KU Leuven, verwees Maurits Lucas naar dat iconische boek om aan te geven dat de uitdagingen van cybersecurity al ruim een kwarteeuw bekend zijn. Lucas is hoofd van het Cybercrime Intelligence Centre van Fox-It, het Nederlandse bedrijf dat –volgens goedgeïnformeerde bronnen– Belgacom hielp bij het ontmantelen van de malware die het bedrijf recent aantrof.

Volgens Lucas wordt het probleem van cyberdreiging ‘steeds groter’ omdat computergebruikers steeds meer informatie online zetten, de omgeving steeds complexer wordt en hackers steeds betere instrumenten ter beschikking hebben.

Overleg, maar geen centen

In België vestigde het Comité I (dat in opdracht van het parlement de Belgische inlichtingendiensten controleert) al in 1995 –achttien jaar geleden– de aandacht op het belang om informatiesystemen te beveiligen.

Wat is er sindsdien gebeurd? In 2005 zette de regering een overlegplatform inzake Informatieveiligheid op, BelNIS. Daarin zetelen onder meer de Staatsveiligheid, de militaire inlichtingendienst ADIV, de Privacycommissie, telecomregulatoren en de ministeries van Economie, Buitenlandse Zaken en Binnenlandse Zaken.

Twee jaar later lanceerde BelNIS het Witboek voor een nationaal beleid van informatieveiligheid, een eerste visietekst over hoe België zich kan beschermen tegen cyberaanvallen van hackers en buitenlandse inlichtingendiensten genre NSA.

Pas eind 2012 vertaalde die blauwdruk zich in een nationale strategie inzake cyberveiligheid, goedgekeurd door de regering-Di Rupo. Alleen over het operationele luik –de oprichting van een coördinatiecentrum rond cyberveiligheid–  namen de ministers géén beslissing. De hamvraag is welk departement daarvoor in de buidel moet tasten. Intussen is wel CERT.be opgericht, het Computer Emergency Response Team dat als een soort internetbrandweer kan tussenkomen bij cyberincidenten. Maar op een echt coördinatiecentrum blijft het dus wachten.

Afhankelijk van de VS

Intussen tikt de tijd. Zolang de Belgische overheid niet meer middelen investeert in cyberbeveiliging, zullen bedrijven als Belgacom zich tot een Nederlands privé-bedrijf moeten richten om cyberincidenten op te lossen. Idealiter heeft de overheid die expertise zelf in huis.

Nog een voorbeeld. Rond de kerstperiode riep de militaire inlichtingendienst ADIV de hulp in van het US Cyber Command –gelieerd aan de NSA– om een complex virus op zijn eigen computersysteem te doorgronden. Die afhankelijkheid van de Amerikanen is –vanuit het oogpunt van nationale soevereiniteit– géén goede zaak.

Dat België de cyberdreiging maar best serieus neemt, blijkt overigens niet alleen uit de Belgacom-spionageaffaire en het ADIV-incident. De voorbije jaren werden ook de ministeries van Buitenlandse Zaken, Justitie en Defensie het doelwit van gerichte cyberaanvallen.

De EU bleef evenmin buiten schot. De e-mails van Europees president Herman Van Rompuy, antiterrorismecoördinator Gilles De Kerchove en toenmalig Hoog Vertegenwoordiger voor Buitenlandbeleid Javier Solana zijn een tijdlang onderschept door onbekende hackers.

En in maart 2011 waren de Europese Commissie en de Europese Dienst voor Extern Optreden het mikpunt van een cyberaanval. Die was volgens woordvoerder Antony Gravili ernstig, ‘niet vanwege de grootschaligheid ervan, maar omdat hij heel gericht was. Personen met slechte bedoelingen hadden het op de data van een aantal ambtenaren van de Commissie gemunt.’

Onbegrijpeljk complex

Hoe kwetsbaar onze informatie- en communicatietechnologie wel niet is, beschrijft de Nederlandse socioloog Albert Benschop in zijn nieuwe boek Cyberoorlog. Slagveld internet.

De besturingssystemen van Windows en Apple bijvoorbeeld bevatten volgens Benschop meer dan 80 miljoen coderegels, en daarin zitten naar schatting 1,2 tot 1,4 miljoen fouten. Een geraffineerde hacker kan tienduizenden van die fouten uitbuiten om in het systeem binnen te dringen.

‘We bouwen systemen die ons vermogen tot intellectuele beheersing te boven gaan’, schrijft Benschop. ‘Een hacker hoeft in zo’n complex programma slechts één losse draad te vinden om de veiligheid van het gehele systeem te compromitteren.’

Hoog tijd dat onze politici de cyberdreiging ernstig gaan nemen.

Bovenstaand opiniestuk verscheen ook in De Standaard van 17 september 2013.