‘We hebben een GDPR-aanpak nodig voor cyberveiligheid’

Cyberveiligheid is een onderwerp dat elke dag evolueert. Hackers doen het niet meer voor naamsbekendheid maar mikken op geld. Transacties van 80.000 euro na ransomware-besmettingen zijn niet exotisch. Bovendien daalt de pakkans elk jaar. Tijd voor een keurlabel of ISO-standaard?

Het probleem cyberveiligheid wordt elke dag complexer. Waar vroeger een antiviruspakket het gros van de lading dekte, is vandaag veel meer nodig. Elk onderdeel van de IT-infrastructuur is een doelwit en heeft bijhorende beveiliging nodig.

Bovendien is de drempel nooit zo laag geweest voor criminelen om met malware aan de slag te gaan. Je kan direct aan de slag online met een kant-en-klaar pakket. Overheidshackers schakelen dan weer een versnelling hoger en werken met eigen technieken om instanties te infiltreren. Het gevaar voor een grote aanval wordt met de dag groter. Om de belangrijkste gevaren te vatten, spreken we met Righard Zwienenberg. Hij is lid van de adviesraad van het Europol European Cyber Crime Center en Senior Research Fellow bij ESET.

Staatsaanvallen

Het gaat volgens hem ontzettend hard de afgelopen jaren op vlak van cyberveiligheid. “Wie vandaag met malware start, heeft een hoge ROI”, merkt Zwienenberg fijntjes op. “Een bedrijf of overheidsinstantie betaalt vandaag dikwijls voor ransomware. Dat motiveert hackers om meer en beter te doen. De pakkans is bovendien nihil vandaag. De verspreiding van de malware gebeurt anoniem en betalingen gebeuren via cryptocurrency, wat niet traceerbaar is.”

Tien jaar geleden was er een veel grotere pakkans, omdat het motief anders was. Mensen wilden op belangrijke media verschijnen met hun ‘grapje’. Vandaag willen ze geld verdienen en gebeurt alles anoniem met een veel grotere complexiteit.

 

Malware is vandaag niet het grootste probleem. Aanvallen gesponsord door de staat groeien in omvang.

 

Is ransomware vandaag het grootste probleem? Volgens Zwienenberg niet. “Er zijn veel grotere problemen vandaag. Denk daarbij vooral aan aanvallen die gesponsord worden door de staat. Doelwitten kunnen energiecentrales zijn of andere cruciale infrastructuur. In Wereldoorlog II zijn heel wat soldaten gesneuveld bij het innemen van steden. Vandaag spreken we over een digitaal slagveld en zijn de hackers soldaten geworden.”

Zo’n acties lijken altijd veraf te zijn, maar dat is niet het geval. Oekraïne hebben ze nu al drie keer platgelegd met stroomonderbrekingen. Er zijn talrijke SCADA-systemen die vatbaar zijn voor aanvallen en elke dag komen er nieuwe ‘slimme’ toestellen bij, die een doelwit kunnen vormen voor hackers. Je zou zomaar de controle kunnen krijgen over een hele wolkenkrabber en het brandalarm laten afgaan om paniek en chaos te veroorzaken. Dit lijken initieel kleine grapjes, maar de opkomst van slimme gebouwen opent opnieuw heel wat mogelijkheden voor hackers om nog meer schade aan te richten.

ISO-standaard?

Elke toepassing wordt slim binnen gebouwen en bedrijven, maar over de veiligheid daarvan wordt niet altijd even grondig nagedacht. “Je kan die beweging echter niet tegenhouden”, benadrukt Zwienenberg. “Het standaardidee rond cyberveiligheid moeten we resetten. We hebben een nieuwe manier van denken nodig om de toestroom aan slimme apparaten aan te kunnen. Denk daarbij aan gescheiden netwerken voor IoT-toepassingen”

Een oplossing waarbij je met één druk op de knop alles kan beveiligen, bestaat niet. Dat zal ook nooit gebeuren in de nabije toekomst omdat toepassingen en apparaten steeds goedkoper moeten zijn. IoT-apparaten bevatten bijzonder veel verschillende types chips, wat het updaten een nachtmerrie maakt. Deze bevinding is niet nieuw en de basis ervan ligt er al te lang om nu iets aan te veranderen.

 

Een oplossing waarbij je met één druk op de knop alles kan beveiligen, bestaat niet.

 

Kan een keurlabel werken op korte termijn? Zwienenberg gelooft daar niet echt in. “Iets wat door de overheid wordt gereguleerd, vraagt een hoop werk met heel wat parameters die continu veranderen. Daarnaast zullen er ook altijd ‘zwarte circuits’ zijn, zoals Alibaba. Het is nog verre toekomstmuziek, maar de Europese Unie heeft me eerder al verbaasd met de introductie van de GDPR. Ik hoop van harte dat er ooit zoiets komt voor bedrijven en cyberveiligheid.”

Er is vandaag al een bepaalde beweging in die trend. Kijk bijvoorbeeld naar Chinese bedrijven zoals Huawei, die kritischer worden geanalyseerd. Ook zij zijn vragende partij naar een keurlabel of certificaat om veiligheid te garanderen. Misschien zien we binnenkort wel een soort van ISO-standaard?

Daarnaast misbruiken cybercriminelen vandaag te veel de privacywetgeving. Het zou makkelijker moeten zijn om dingen op te sporen, maar vanaf wanneer gooi je privacy overboord. Het is een dunne lijn die je moet bewandelen om de anonimiteit van hackers te doorbreken.

Netwerksegmentatie

Kunnen we ooit winnen van de cybercriminelen? Het lijkt vechten tegen de bierkaai, maar Zwienenberg is ervan overtuigd dat het kan. “Alle neuzen moeten hiervoor wel in de juiste richting staan. Kijk bijvoorbeeld naar kinderporno. Dit is in elk land strafbaar en wordt actief bestreden online. Iedereen is ertegen, wat het proces van cybercriminelen en anonimiteit vereenvoudigd. Kijken we vandaag naar ransomware, dan gelden er plots heel andere regels.”

“Waar ik het meeste schrik voor heb? De mensheid… Denk daarbij niet aan een doemscenario, maar de mens vandaag is niet genoeg op de hoogte van alle cybergevaren. Smart offices waar alles van buitenaf benaderbaar is, lijken modern, maar velen realiseren zich niet wat een doolhof van cyberproblemen het is. Wanneer iemand start met slimme toepassingen, moet er eerst een awareness-training worden gegeven.”

 

“Netwerksegmentatie is de belangrijkste boodschap die ik wil meegeven.”

 

De belangrijkste boodschap die Zwienenberg wil meegeven aan ons, is netwerksegmentatie. We hebben het meer dan tien keer gehoord tijdens het interview en het kan volgens hem heel wat ellende voorkomen. Virtuele WAN’s is al een goede eerste stap, maar een echte fysieke segmentering is nog veel beter.

Gerelateerd: Spionage door natiestaten: moet jouw bedrijf wakker liggen van APT-aanvallen?