Overheid zkt. 55 experts cyberveiligheid

Op een hoorzitting over cyberveiligheid in de senaatscommissie Binnenlandse Zaken gaven drie experts tekst en uitleg over de cyberdreiging in België: Luc Beirens (FCCU van de federale politie), Christian Van Heurck (internetbrandweer Cert.be) en Pascal Petry.

Om de cyberveiligheidsstrategie van de federale overheid uit te voeren, is een budget van tien miljoen voorhanden binnen de interdepartementale reserve van de regering. Petry: ‘Sommigen zeggen dat dat te weinig is, anderen vinden het te veel. Wat mij interesseert, is dat we vooruitgang kunnen boeken.’

‘Ons voorstel is om 1,3 miljoen van de tien miljoen te gebruiken om tien personen aan te werven voor een Coördinatiecentrum Cyberveiligheid, en voor de werkings- en investeringskosten van dat centrum. Het KB betreffende het Coördinatiecentrum gaat nu naar de Raad van State, en we gaan er ook nog met de vakbonden over onderhandelen. Pas wanneer die procedure doorlopen is, kunnen we een oproep voor kandidaten lanceren.’

‘We stellen voor om met de rest van het geld 45 bijkomende experts aan te werven voor Cert.be, de Federal Computer Crime Unit van de federale politie, de Staatsveiligheid, de militaire inlichtingendienst ADIV en de FOD Economie. We vertrekken daarbij van de vraag hoeveel extra personeel die diensten nodig hebben om hun job te kunnen doen. De precieze verdeling ligt nog niet vast, maar het voorstel is om aan elke dienst minstens tien personen toe te voegen.’

Afluisterapparatuur

Verder zijn volgens Petry ook middelen nodig om de afluisterapparatuur van de politie en inlichtingendiensten te updaten. ‘Telefoongesprekken kunnen ze afluisteren, maar dat moet ook met Skype kunnen. Ook elektronisch toezicht moet mogelijk zijn. Die instrumeten moeten we actualiseren.’ Verder is de beveiligde informatie-uitwisseling tussen verschillende Belgische diensten volgens Petry aan een update toe.

Russische spionnen

De Federal Computer Crime Unit van de federale politie telt momenteel 27 personeelsleden. Daarnaast zijn er nog 25 regionale FCCU’s met in totaal 180 man in dienst. Luc Beirens: ‘Ze zijn vooral bezig met computerforensics en slechts in beperkte mate met cybercrime.’

‘We hebben onvoldoende gespecialiseerde capaciteit’, zegt Beirens. ‘In het geval van Belgacom hadden we het geluk dat Belgacom zelf de hulp had ingeroepen van een buitenlands bedrijf (het Nederlandse FOX-IT, kc). Belgacom heeft dat betaald. Maar wat gaan we doen als de overheid aangevallen wordt? Opnieuw dat Nederlandse bedrijf contacteren of het zelf doen?’

‘We hebben moeten vaststellen dat we zelf onvoldoende materiaal in huis hebben om te kijken wat er in bij Belgacom verkeerd liep. De apparatuur daarvoor hebben wij niet, het Nederlandse bedrijf heeft die wel. Ik ben onder indruk van hoe professioneel zij het aangepakt hebben. Maar: ik wil dat wij dat als overheid ook kunnen. Bovendien vraag je je af aan wie je informatie doorspeelt. FOX-IT werkt immers ook samen met diverse andere buitenlandse diensten, waaronder Nederlandse en Russische inlichtingendiensten.’

Starterspakket

Volgens Beirens is de cyberdreiging zeer assymetrisch: de tijd en kosten voor netwerkbeveilging liggen veel hoger dan de tijd en kosten om binnen te dringen in computersystemen.

‘Als personen zich in cyberspace gaan beveiligen in afgesloten fora, we hebben niet de mogelijkheid om daar op snelle manier onderzoeken te gaan doen.’

‘Verschillende tools zijn ter beschikking om binnen te dringen in computersystemen’, aldus Beirens. ‘Voor 25 euro koop je al een starterspakket waarbij je alles kan configureren. Aan andere kant zie je ook meer dure versies –met name bij de recente spionagedossiers. We moeten er stil bij staan dat er daarvoor ook een return on investment moet zijn. De data die ze eruithalen, zijn meer waard dan het budget dat men in de cyberspionage heeft geïnvesteerd.’

Rekruteren op universiteiten

Volgens Beirens stelt men in het buitenland vast dat cybercriminelen op universiteiten jong talent gaan zoeken. ‘Dat moeten we in België voorkomen. We zouden zelf naar universiteiten moeten stappen om de studenten uit te dagen: “Bewijs dat je goed bent in cybersecurity en hacken.” Zet een wedstrijd op, zoals in Nederland, Groot-Brittannië of de VS. Om te voorkomen dat ze stroper worden: geef ze iets waarin ze zich kunnen uitleven.’

Opmerkelijke vaststelling van Beirens: in de recente cyberdossiers werd niet steeds klacht neergelegd, niet bij de politie maar evenmin bij internetbrandweer Cert.be of de Privacycommissie. Bedrijven die slachtoffer werden van diefstal van persoonsgegevens meldden ook niet steeds aan hun klanten dat de gegevens werden gestolen.

Een ander uitdaging volgens Beirens: ‘Wanneer informatie in een gerechtelijk dossier terechtkomt (zoals in de Belgacom-case, kc), dan kan je die informatie niet meer zomaar gaan uitwisselen met eender wie. Je mag ze bijvoorbeeld niet doorgeven aan andere bedrijven, die vervolgens op hun eigen netwerk naar gelijkaardige malware kunnen gaan zoeken.’ Het huidige wettelijk kader heeft dus limieten. Nog een voorbeeld: ‘Als personen zich in cyberspace gaan beveiligen in afgesloten fora, we hebben niet de mogelijkheid om daar op snelle manier onderzoeken te gaan doen.’

Ruim 500 meldingen per maand

Christian Van Heurck van internetbrandweer Cert.be wijst op een ander wettelijk aspect: wanneer ambtenaren kennis krijgen van een misdrijf, moeten ze dat melden aan het parket (artikel 29 van het Wetboek van Strafvordering). Van Heurck: ‘Dat kan bedrijven afschrikken om cyberincidenten te melden bij Cert.be. Er heerst wel vertrouwen tussen medewerkers van bedrijven en het team van Cert.be, maar een aantal bedrijven wil deze garanties ook op papier.;

Ook Cert.be kent naar eigen zeggen een onderbezetting op het vlak van personeel. Het team telt vijf veiligheidsanalisten, een coördinator en een communicatiespecialist. Van Heurck: ‘En dat terwijl er sinds 2009 een toename is aan gemelde incidenten.’ In de eerste negen maanden van 2013 ging het om gemiddeld 509 meldingen per maand (waarvan gemiddeld 304 incidenten); in 2012 was dat nog 322 meldingen en 165 incidenten.

Bevoorrechte NSA-partner?

Volgens Pascal Petry staat cyberveiligheid op het prioriteitenlijstje dat het ministerieel Comité Inlichtingen en Veiligheid elk jaar opstelt voor de Belgische inlichtingendiensten. De voorbije weken en maanden zouden er géén nieuwe cyberaanvallen meer zijn geweest bij tegen de federale overheid waar Petry weet van heeft.

Midden december gaf de Zweedse televisie nieuwe Snowden-documenten vrij waaruit blijkt dat België deel uitmaakt van de SIGINT Seniors Europe (SSEU) –bevoorrechte NSA-partners zeg maar. Volgens Petry beschikt de Belgische overheid echter over ‘geen enkel element dat ons toelaat om te zeggen dat de Belgische diensten samenwerken met de NSA inzake surveillance. Wel werken ze samen met de NSA in de strijd tegen terrorisme. Maar wat het dossier-surveillance betreft, heb ik geen informatie over het feit dat onze diensten zouden samenwerken met de NSA ten gunste van de NSA.’