Direct naar artikelinhoud
Uit het archief

Na de hack van Picanol: ‘Geen enkel bedrijf ontsnapt aan cybercriminelen’

Na de hack van Picanol: ‘Geen enkel bedrijf ontsnapt aan cybercriminelen’

De Ieperse weefmachineproducent Picanol is vandaag platgelegd door een cyberaanval. De hackers eisen losgeld. Picanol is lang niet het enige Belgische bedrijf dat slachtoffer werd van cybercriminelen. ‘Wij hebben de hackers losgeld betaald, en ik raad andere be­drijven die slachtoffer worden aan om hetzelfde te doen’, zei Guy Deleersnyder op 23 oktober 2019 in een interview, dat u hier kunt herlezen.

en

Volgens de Eurobarometer 2017 zou in België tussen de 53 en de 71 procent van de bedrijven al het slachtoffer zijn geweest van cybercrime. Over de kosten daarvan voor ons land zijn geen exacte cijfers beschikbaar, maar de politie raamt die op 0,84 tot 1 procent van het bruto nationaal product, of 3,7 tot 4,5 miljard euro per jaar. In dat cijfer zit zowel de schade van particulieren als van bedrijven. De toekomst ziet er bovendien weinig rooskleurig uit: volgens cijfers van het Wereld Economisch Forum zal tegen 2020 74 procent van de bedrijven worden getroffen door een vorm van cybercrime.

Ranson in Harelbeke, leverancier van alles wat een bakker ook maar nodig zou kunnen hebben, is zo’n bedrijf dat al het slachtoffer werd van een cyberaanval – een ransomware-aanval om precies te zijn. Daarbij versleutelen hackers gegevens die ze tegen betaling weer vrijgeven. Toen de vroege ploeg van Ranson op vrijdag 8 maart 2019 om 5 uur in de ochtend de computers aanzette, gebeurde er... niets. Thuis krijgt IT-manager Guy Deleersnyder telefoon: ‘Er is iets vreemds aan de hand.’

Dacht u meteen aan een cyberaanval?

Guy Deleersnyder: “Nee, helemaal niet. Ik dacht aan hardwareproblemen, maar niet aan hackers. Een paar jaar geleden hadden we al met de CryptoLocker te maken gehad, een virus dat, als je het per ongeluk binnenhaalde, alle computerbestanden begon te versleutelen. Maar die aanval was toen beperkt gebleven en sindsdien waren we ertegen beveiligd. Toen ik om half 6 aankwam in het bedrijf, wist ik al dat deze aanval van een totaal andere orde was: onze servers waren simpelweg verdwenen.

“Aan de bron van de aanval lag een menselijke fout: een poort in onze firewall was onbedoeld blijven openstaan. Vergelijk het met een gebouw waarvan alle deuren in het slot zitten, maar één ervan zit niet in het nachtslot. Op het eerste gezicht valt dat niet op. Pas als je aan elke deur gaat voelen, merk je dat je binnen kunt.”

En dat is wat hackers doen: aan elke deur morrelen, tot ze er een vinden die niet in het nachtslot zit?

Deleersnyder: “Precies. Ze hebben speciale robots die het internet afspeuren, op zoek naar zulke deuren. Er zijn procedures die onze IT-medewerkers moeten volgen, om ervoor te zorgen dat elke deur op slot is. Maar we zijn allemaal mensen en die procedures zijn tijdrovend. Er gebeurt vast niets, denk je weleens, tot het opeens wél gebeurt. De mens blijft de zwakke schakel in het systeem.

“Toen we die vrijdagochtend de aanval opmerkten, was hij wellicht al een paar nachten aan de gang. Binnenkomen is één ding – de koevoet zit tussen de deur – maar dan heb je nog ander gereedschap nodig om de deur verder open te wrikken. Die pogingen hebben – zo hebben we achteraf kunnen vaststellen – enkele nachten geduurd. Overdag, terwijl wij aan het werk waren, viel niets te merken van de aanval.”

De cybercriminelen manifesteerden zich pas toen ze losgeld vroegen.

Deleersnyder: “Toen we onze back-ups aan de praat probeerden te krijgen, kwam er een boodschap: ‘Alles is versleuteld.’ Er stond een nietszeggend mailadres bij, waarmee we contact moesten opnemen. Dat adres was natuurlijk ook gehackt.”

Toen de Zaventemse firma ASCO Industries in juni het slachtoffer werd van ransomware, gingen er alarmbellen af bij de politie. Het ging tenslotte om een fabrikant van vliegtuigonderdelen waarmee F35-gevechtsvliegtuigen worden gemaakt. Waarom viseren criminelen een leverancier van onschuldige bakbenodigdheden?

Deleersnyder: “In onze sector zijn wij de grootste in België, maar voor die hackers maakt het niet uit over welk soort bedrijf het gaat. Het enige wat telt, is: waar kunnen we binnen? Tijdens dezelfde aanval zijn ze ook binnengedrongen bij een bedrijf in Duitsland, dat ze vervolgens gebruikt hebben om tot bij ons te geraken. Zo valt de aanval onmogelijk te traceren. Van Duitsland leidde het spoor naar een server in Spanje, maar daar hield het op. De Computer Crime Unit van de politie wist wel nog te achterhalen dat sommige pogingen ondernomen waren in een bepaalde wijk in Moskou, die bekendstaat om haar cybercriminelen. Maar of onze aanvallers ook werkelijk daar zaten? Dat valt niet te achterhalen. Ze zijn meesters in het uitwissen van hun sporen.

“Rond 7 uur hebben we de Computer Crime Unit van de politie gecontacteerd. ‘De snelste en makkelijkste oplossing,’ vertelden ze ons off the record, ‘is het losgeld betalen.’ Officieel mogen ze dat natuurlijk niet zeggen, want betalen komt neer op het financieren van een criminele organisatie. We hebben nog een halve dag koortsachtig naar andere oplossingen zitten zoeken, maar uiteindelijk kwamen we tot de conclusie: er bestaat een kleine kans dat we de boel zelf kunnen redden, maar dat neemt wellicht een week in beslag. In vergelijking met de verliezen die we elke dag zouden lijden, was het losgeld een relatief kleine som. Het ging over enkele tienduizenden euro’s, die in bitcoins geleverd moesten worden.”

Vragen hackers altijd bitcoins?

Deleersnyder: “Ja. Ze zijn naamloos en moeilijk te traceren. Het heeft ons nog heel wat tijd en energie gekost om die betaling te doen: we hadden geen ervaring met bitcoins. Intussen werden er nog wat mails gewisseld met de hackers. Hun toon was bitsig: ‘Los het maar vlug op, we hebben al te veel tijd aan jullie verloren.’ Kennelijk baalden ze er toch een beetje van dat ze niet sneller waren binnen geraakt.

“Tegen zaterdagnamiddag was alles eindelijk geregeld: de bitcoins waren overgemaakt en ze hadden ons in ruil de sleutel gestuurd, waarmee we onze back-ups konden ontgrendelen. Toevallig hadden we die zaterdagavond ons jaarlijkse personeelsfeest. De hele zaal, 315 werknemers, slaakte een zucht van opluchting toen onze CEO in zijn speech aankondigde dat de aanval van de baan was en iedereen op maandag weer aan de slag kon. Voor de IT-ploeg begon het werk dan pas: de hele zondag zijn we in de weer geweest om alles opnieuw operationeel te krijgen.”

Vrijdag had jullie personeel werkloos thuis gezeten.

Deleersnyder: “Ja. Ze leefden ontzettend mee met wat er was gebeurd, maar zonder computer konden ze niets anders dan hulpeloos toekijken. De bestellingen liepen niet meer binnen, dus de vrachtwagens konden niet geladen worden. Wat er precies naar welke klant moet, gebeurt voor een groot stuk automatisch. De rekken weer manueel gaan aflopen om de exacte taartdoos of het gevraagde lint uit te zoeken, is gewoonweg niet te doen. Plus: het gaat om voedingswaren, dus alles moet traceerbaar zijn. Chocolade, bloem, rozijnen... Waar voer je de nummers van de geleverde loten in als je geen computer hebt? Zonder computer staan we nergens.”

Maakten jullie klanten en werknemers zich zorgen over hun persoonsgegevens?

Deleersnyder: “Onze klanten waren vooral bezorgd om hun leveringen. Zonder waren ook zij technisch werkloos. Over hun gegevens hoefden ze zich geen zorgen te maken: die hebben ons bedrijf nooit verlaten, ze waren versleuteld. Die gegevens interesseerden de hackers ook niet, ze wilden alleen hun geld.

“Intussen hebben we extra maatregelen genomen om ons netwerk en de toegang te beveiligen. We hebben nu dual factor authentication: nu heeft iedereen méér nodig dan een gebruikersnaam en een paswoord om op het netwerk te geraken. We hebben onze firewall extra verstevigd en externe consultants geraadpleegd, die nog wat zwakke plekken wisten te vinden in onze beveiliging.”

Zijn jullie nu het best beveiligde bedrijf van België?

Deleersnyder: “Dat zou ik niet durven te stellen. Dan breng je cybercriminelen alleen maar op ideeën: zij houden wel van een uitdaging. ‘Dat zullen we weleens zien’, denken ze dan.

“Het is een dure les geweest. Elke euro die je aan een cyberaanval uitgeeft, zie je nooit meer terug. Ja, het is waar: de criminelen hebben gewonnen. We hebben betaald en zouden andere bedrijven die ermee te maken krijgen aanraden hetzelfde te doen als ze snel weer aan de slag willen. Maar we kunnen alleen maar hopen dat het zover niet meer hoeft te komen en dat ze hun les trekken uit ons verhaal en hun deuren dubbel op slot draaien.”

Is degene die bij jullie de deur liet openstaan de laan uitgestuurd?

Deleersnyder: “Nee. We zijn zelfs niet gaan zoeken wie precies verantwoordelijk was. Als je beslist leergeld te betalen, dan zou het niet verstandig zijn de mensen in wie je net hebt geïnvesteerd, te laten gaan. Dezelfde fout maken ze niet meer.”

Makkelijk misleid

Ransomware-aanvallen zijn een van de meest voorkomende vormen van cybercriminaliteit. Volgens Bart Preneel, professor en hoofd van de Afdeling Computerbeveiliging en Industriële Cryptografie aan de KU Leuven, kan ransomware op elke denkbare manier op je computer of smartphone belanden.

Bart Preneel: “Door gewoon een website te bezoeken, kun je al prijs hebben. Maar ook via screensavers of andere software die je downloadt. Op mobiele telefoons gebeurt het meestal via apps. Je denkt dat je een coole app binnenhaalt, maar zonder dat je het weet, zet je zo soms malware op je telefoon. We staan er misschien niet bij stil, maar als je actief bent in de digitale wereld, download je voortdurend software via apps of het internet. En een deel daarvan is nu eenmaal kwaadaardig.”

Zijn onbetrouwbare software en apps te herkennen?

Preneel: “Voor experts is het soms al moeilijk te zien, laat staan voor leken. Je kunt natuurlijk wel een beetje opletten wat je doet. Sommige websites lijken al verdachter dan andere. Hetzelfde geldt voor apps. Je kunt ook kijken naar de populariteit of de recensies van apps. Dat is nog altijd geen waarborg, maar het kan wel een indicatie zijn. In principe zullen bedrijven als Google en Apple hun app stores goed monitoren, maar onvermijdelijk glipt er af en toe iets door de mazen van het net.”

Bedrijven zijn steeds vaker het slachtoffer van cybercriminaliteit, in de meeste gevallen via ransomware.

Preneel: “Voor criminelen zijn bedrijven een interessant doelwit. Particulieren kun je een paar honderd euro vragen om hun bestanden vrij te geven, maar een bedrijf kun je honderdduizenden of zelfs een paar miljoen euro ontfutselen.

“Je kunt op tientallen manieren in een bedrijf binnen geraken. Tegenwoordig krijgt haast iedereen een computer of tablet van het werk. Veel bedrijven installeren trouwens spyware op zo’n toestel, zodat ze in het oog kunnen houden wat je er allemaal mee doet. Die laptops of tablets worden ook voor privédoeleinden gebruikt, en als mensen thuis naar onveilige websites surfen, kunnen toestellen besmet raken. In een bedrijfsomgeving kan de besmetting plaatsvinden via het onderhoudssysteem, via insiders die een appeltje te schillen hebben met het management, via USB-sticks...

“Ik weet niet hoe het met andere mensen zit, maar ik krijg voortdurend links waar ik om allerlei redenen op moet klikken. Dat is het nieuwe normaal, terwijl het heel onveilig is. Als bedrijf is het heel moeilijk om je tegen al die dingen te beveiligen. Heel grote bedrijven doen het op dat vlak vrij goed. Het grote probleem zit bij de kmo’s: daar heeft men de kennis, de tijd en de expertise niet.”

Bij de Nederlandse computer- en netwerkbeveiliger Fox-IT heeft men een experiment gedaan en phishingmails naar het personeel gestuurd, toch specialisten ter zake: 40 procent bleek erop te klikken.

Preneel: “Dat verbaast mij niet. We moeten elke dag op links in mails klikken. In sommige gevallen is het heel moeilijk te beoordelen of je een link moet openen of niet. Als zo’n mail goed is opgesteld, kun je makkelijk misleid worden. Het is een kwestie van psychologie, en oplichters hebben altijd psychologie gebruikt om mensen te overtuigen.”

Ook CEO-fraude is populair. Daarbij wordt een nepmail gestuurd, zogezegd afkomstig van de CEO, met de vraag een flink bedrag te storten op een rekening. De Franse bioscoopketen Pathé speelde op die manier bijna 20 miljoen euro kwijt, na zo’n verzoek aan de top van de Nederlandse afdeling. De criminelen hadden een geheime overname verzonnen.

Preneel: “Cybercriminelen doen in zo’n geval eerst een uitgebreid vooronderzoek: ze proberen uit te vissen hoe de organisatie van een bedrijf juist in elkaar zit en wanneer bepaalde topmensen afwezig zijn. Een vaste truc is ook om tijdsdruk te fingeren.

“Bedrijven kunnen ook opgelicht worden via factuurfraude. Facturen worden steeds vaker digitaal verzonden. Criminelen kunnen die onderscheppen en het rekeningnummer wijzigen, zodat het geld op hun rekening terechtkomt.”

Wat kunnen ondernemingen doen om zich beter te beschermen?

Preneel: “Ze kunnen zich wapenen door mensen op te leiden en van de risico’s bewust te maken. En door duidelijke richtlijnen op te stellen: betalingen vanaf een zeker bedrag moeten op een bepaalde manier gedaan worden, en niet anders.

“Voorts kunnen bedrijven een penetratietest of pentest laten uitvoeren door een ethische hacker om te zien waar de zwakke plekken in het systeem zich bevinden, hoe snel en hoe moeilijk het is om binnen te geraken en hoe de drempel verhoogd kan worden.”

Over het aantal bedrijven dat door cybercrime wordt getroffen, bestaan alleen maar schattingen. Onder andere omdat veel misdrijven niet worden aangegeven.

Preneel: “Als de politie een onderzoek doet, nemen ze met wat pech de computers mee en ligt je bedrijf plat. Daarom leggen firma’s soms liever geen klacht neer. Je loopt ook het risico dat het naar de pers lekt en je bedrijf negatief in het nieuws komt. Veel bedrijven schakelen daarom IT-consultants in om het probleem op te lossen en houden de zaak intern. Maar dat betekent ook dat de politie geen goed zicht heeft op wat er allemaal gebeurt.”

Hebben we een idee van wie achter dit soort fraude zit? Zijn het georganiseerde bendes of individuele criminelen?

Preneel: “Ik heb er nog geen grote studies over gezien. Wat we wel weten, is dat het from top to bottom gaat. Ik heb weet van aanvallen waar het ging om mensen uit Oost-Europa, waar men goede informatici opleidt, maar niet altijd goede jobs heeft. En een Nederlandse studie toonde aan dat er contacten zijn tussen de traditionele misdaad en de cybercrime. Als je iemands kredietkaartgegevens hebt, kun je daar geld mee verdienen, maar je moet het geld ook nog het land uit krijgen. De maffia zal intussen wel een cyberarm hebben of bezig zijn met de oprichting ervan. En er is de cybercrime door landen. Van de kleinste beginner tot een natiestaat: iedereen kan zich aan cybercrime wagen. Je moet alleen wat van computers kennen en je weg weten op het darkweb.”

Guy Deleersnyder: ‘Wij hebben de hackers losgeld betaald, en ik raad andere be­drijven die slachtoffer worden aan om hetzelfde te doen.’

Gevoelige materie

Als hackers binnendringen bij een bedrijf, is er al genoeg reden tot paniek: de werking van het bedrijf komt op losse schroeven te staan en klantengegevens dreigen te lekken. Maar wat als ze een volledig ziekenhuis platleggen? In maart van dit jaar gebeurde het in het André Renard Ziekenhuis in Herstal.

Marc Delforge (IT-verantwoordelijke): “Ze hebben de luwte van zondagnacht afgewacht om toe te slaan: rond middernacht kreeg een van onze informatici telefoon van de dienst spoedgevallen. Er was een computerprogramma vastgelopen. Mijn collega kon het vanaf een afstand oplossen. Ze merkte verder niets speciaals op, dus kroop ze weer in bed. Tot ze een uur of drie later opnieuw telefoon krijgt van de spoeddienst. Ze verwittigt me, ik ga een kijkje nemen en zie meteen dat iemand alle bestanden van het ziekenhuis aan het versleutelen is.”

Hoe ziet zo’n aanval eruit?

Delforge: “De extensies van de bestanden veranderden voor mijn ogen van naam: de versleutelde bestanden eindigden opeens op ‘.phobos’. Het was de eerste keer dat ik van de Phobos-cryptolocker hoorde. Een uur later was de hele IT-ploeg present in het ziekenhuis en konden we allemaal zien dat we met een indringer in ons netwerk zaten. We hebben het ziekenhuis meteen losgekoppeld van de buitenwereld, zodat het virus zich niet langer kon verspreiden. Maar de aangerichte schade was aanzienlijk: de hackers hadden 70 van onze 120 servers en meer dan 100 miljoen bestanden versleuteld.

“Op een van de servers moet een poort hebben opengestaan, waardoor de hackers erin geslaagd zijn het paswoord van de server te achterhalen. Daarmee konden ze de firewall uitschakelen en hadden ze vrij spel in ons hele netwerk. Ze veroorzaakten een kettingreactie en vergrendelden de ene na de andere server. Hoe ze dat paswoord wisten te achterhalen? Als ik dat maar eens wist.

“Om onze servers weer aan de praat te krijgen, eisten ze losgeld: 5.000 euro per server. We hebben al heel snel beslist dat we niet zouden meegaan in dat spelletje. Omdat onze back-ups gespaard waren gebleven – ze bleken compleet clean – waren we er zeker van dat we alles zelf konden herstellen. Het zou alleen veel tijd kosten. 530 pc’s moesten eerst volledig gewist en vervolgens opnieuw geïnstalleerd worden.”

Marc Delforge: ‘Ziekenhuizen zijn uitverkoren doelwitten voor internetpiraten omdat ze schatten aan gevoelige informatie bevatten.’

Medische dossiers van patiënten bevatten uiterst gevoelige materie. De laatste plaats waar je die wil hebben, is in de handen van hackers.

Delforge: “Alle medische dossiers bleken intact. Van diefstal was geen sprake. Dat stelde ons gerust. Net als de administratie lopen onze medische dossiers niet op Windows, maar op minder bekende systemen. Cybercriminelen maken het zich graag makkelijk en concentreren zich doorgaans alleen op Windows, dat een van de meest gebruikte systemen ter wereld is.

“Onze patiënten hebben weinig last ondervonden van de aanval. We hebben het ziekenhuis op geen enkel moment moeten sluiten. Alleen onze spoeddiensten zijn 72 uur lang niet operationeel geweest – dat is verplicht zodra het noodplan in werking treedt. We hebben iedereen van meet af aan zo goed mogelijk op de hoogte gehouden van wat er gaande was. Die maandag zijn er wat operaties en consultaties uitgesteld, maar er kon wel gewerkt worden. Het werk verliep alleen wat anders dan normaal: in plaats van alle nodige bestanden uit om het even welke computer te kunnen toveren, moest het medisch personeel nu naar de computer op radiologie of naar die van het laboratorium lopen om bepaalde gegevens te zien. Na een week hard werken en bitter weinig slapen functioneerde het ziekenhuis op intern vlak weer als vanouds. Alleen heeft het nog meer dan een maand geduurd voor we de link naar buiten konden herstellen. We wilden eerst alles tot op het bot controleren. Het is eigen aan deze digitale tijd: als bedrijf kun je onmogelijk in je eigen bubbel blijven zitten. Je moet je deuren openzetten naar de buitenwereld, maar daarmee breng je ook alle gevaren binnen je muren.”

Waarom vallen hackers een ziekenhuis aan?

Delforge: “Moeilijk te zeggen. Wellicht was het gewoon een robot die het lek in onze firewall wist te vinden. Maar ziekenhuizen zijn natuurlijk, net als banken, uitverkoren doelwitten voor internetpiraten, omdat ze schatten aan gevoelige informatie bevatten. Voor zover ik weet, was dit de grootste cyberaanval op een Belgisch ziekenhuis tot nu toe. Wij dachten dat we tot in de puntjes beveiligd waren, maar nu weet ik: niemand ontsnapt eraan. En dan kan je maar beter goed voorbereid zijn – op zo’n moment wil je niet gaan improviseren. En daar wil ik gerust bij helpen: vorige week heb ik nog een kleine conferentie gehouden voor collega’s uit andere ziekenhuizen, om de aanval en de naweeën ervan uit de doeken te doen. De hele zorgsector kan er maar uit leren.”

Jullie hebben het losgeld nooit betaald, maar toch hing er ongetwijfeld een prijskaartje aan de aanval.

Delforge: “Een stevig, zelfs. We schatten dat we zo’n 250.000 euro kwijt zijn aan verloren activiteiten en aan herstellingen. Voorts hebben we zo’n 100.000 euro geïnvesteerd om ervoor te zorgen dat dit ons nooit meer kan overkomen, onder meer in de oprichting van een cyberveiligheidscel én in een sensibiliseringscampagne voor het personeel. Het ziekenhuis is dus tussen de 300.000 en de 400.000 euro kwijt voor een aanval die amper vijf uur heeft geduurd.”

Voor die som hadden jullie net zo goed het losgeld kunnen ophoesten. Daarmee was de kous ook af geweest.

Delforge: “Misschien, maar welke garantie heb je dan dat alles volledig wordt hersteld en ze geen enkel spoor achterlaten in je netwerk? Het zijn tenslotte criminelen. Buigen voor chantage ligt niet in onze aard. Pas op: alle begrip voor bedrijven die wél betalen. Als hackers alles in handen hebben, dan kun je haast niet anders. Ik denk dan vooral aan kleine bedrijven en kmo’s. De politie vertelde me over een cyberaanval op een klein advocatenkantoor: hackers hadden alles vergrendeld en er was geen back-up. Voor die advocaten was het betalen of boeken toe.

“We hebben klacht ingediend bij de politie. Daar wonden ze er geen doekjes om: als de daders zich buiten Europa bevinden, dan wordt het erg ingewikkeld om ze te vinden. Het IP-adres waarop onze hackers geconnecteerd zaten, bevond zich in Oekraïne. Maar niets garandeert ons dat ze zich ook werkelijk daar bevonden. Waar ze ook zaten, ze zijn erin geslaagd 500 werknemers en 200 dokters een tijdlang te gijzelen. Ronduit misdadig.”

Professor Bart Preneel: ‘Als we alles steeds meer digitaal maken en niet voldoende in veiligheid investeren, is het een kwestie van tijd voor er iets eens écht iets grondig misloopt.’

Superwapens

Bart Preneel moest in 2017 samen met de rest van de wereld toekijken hoe de ransomware WannaCry op mondiale schaal grote schade veroorzaakte. Onder meer computersystemen van Deutsche Bahn, de Spaanse telecomreus Telefónica en de National Health Service in Groot-Brittannië raakten besmet, waardoor de systemen in veel ziekenhuizen plat lagen.

Preneel: “Het toont aan dat ziekenhuizen, maar ook de energie- en transportsector meer moeten investeren in beveiliging en zorgen dat er een reservenetwerk is.”

WannaCry liet zien dat cybercrime ook op globale schaal kan toeslaan: de aanval trof naar schatting meer dan 200.000 computers in honderdvijftig landen.

Preneel: “De vraag is of dat de bedoeling was. Voor zover we het kunnen reconstrueren, is het allemaal begonnen bij een oude fout in een Microsoft-systeem. Die fout zou gekend zijn geweest bij de Amerikaanse geheime dienst NSA, waarna ze er een exploit (een stukje software dat je in een andere computer smokkelt, red.) voor zouden hebben geschreven: EternalBlue. Die exploit zou vervolgens gestolen zijn door de Russen die hem in 2017 gebruikt zouden hebben bij de aanval op Oekraïne. Daarna is die exploit verder gelekt. Dat was misschien niet de bedoeling, maar soms verspreidt software zich sneller dan je denkt.

“WannaCry heeft vooral mensen en bedrijven getroffen die nog met het oude Windows XP werkten en niet betaalden voor de updates. De gevolgen zijn indrukwekkend: de wereldwijde kosten werden geschat op 1 miljard euro. Maar stel je eens voor wat er zou gebeuren als iemand een zogenaamde zero day, een nieuwe fout waar nog geen patch of oplossing voor bestaat, in Windows 10 zou vinden. Dan spreken we niet meer over 200.000 systemen die plat gaan, maar over een paar honderd miljoen.”

Is dat een realistisch scenario?

Preneel: “Het is niet ondenkbaar. De kosten zouden in zo’n geval in de tientallen miljarden euro lopen. Nu, experts voorspellen al heel lang dat zoiets kan gebeuren, maar blijkbaar gebeurt het niet. We weten niet waarom. Hebben we geluk of zijn er andere redenen? Ik ben er niet zo gerust in.

“Voorlopig zijn er nog geen incidenten geweest waarbij bijvoorbeeld de hele wereld een week zonder internet zit. Er heeft ook nog geen groot land een week zonder elektriciteit gezeten. Maar als we alles steeds meer digitaal gaan maken en niet voldoende in veiligheid investeren, zal er vroeg of laat zo’n groot incident zijn. De ervaring leert ook dat er dán pas fatsoenlijk werk zal worden gemaakt van beveiliging. Blijkbaar was WannaCry niet voldoende om iedereen wakker te schudden.”

Hackers hebben het niet alleen op bedrijven en openbare instellingen gemunt, maar ook op steden. Enkele maanden geleden nog lagen de diensten van het Amerikaanse Baltimore, een stad van meer dan 600.000 inwoners, wekenlang plat. Mogen we dat soort aanvallen ook hier verwachten?

Preneel: “Dat is een reëel gevaar. Zeker nu we overal smart cities krijgen, waarbij de diensten van een stad in één groot netwerk worden geïntegreerd. Dat maakt alles meer beheersbaar, maar ook kwetsbaarder. Ook het elektriciteitsnetwerk wil men slim maken, maar daarvoor zouden er overal computers geïnstalleerd moeten worden die gehackt kunnen worden. Het is iets waar we goed over moeten nadenken. Toen Rusland twee jaar geleden een cyberaanval op Oekraïne lanceerde, hadden ze het niet toevallig ook op het elektriciteitsnetwerk gemunt.”

Ligt de Belgische overheid genoeg wakker van zulke gevaren?

Preneel: “Vergeleken met onze buurlanden doen we het helemaal niet goed. In onze buurlanden hebben gespecialiseerde overheidsinstellingen honderden of zelfs duizenden mensen in dienst, bij ons moet het Centrum voor Cybersecurity het stellen met een kleine dertig mensen. Wij, academici, klagen dat al sinds de jaren 90 aan, en inmiddels heeft men ook budget vrijgemaakt voor het CERT, het Computer Emergency Response Team. Die mensen leveren zeer goed werk, maar ze hebben veel te weinig middelen. Dat wil niet zeggen dat álles een ramp is. In de sociale zekerheid en de gezondheidssector is men redelijk goed bezig, al is er bij heel wat ziekenhuizen nog werk aan de winkel.”

De topman van het Centrum voor Cybersecurity maakte zich vorige maand nog sterk dat vitale bedrijven in ons land, zoals energiebedrijven, financiële instellingen en telecomoperatoren, voldoende gewapend zijn tegen cyberaanvallen.

Preneel: “Ik vrees toch dat de Britse geheime dienst GCHQ, de Amerikaanse NSA of landen als Rusland, Noord-Korea en China hier nog altijd kunnen binnendringen waar ze maar willen. Daarover maken we ons best niet te veel illusies. Op dat vlak hebben we een achterstand ten opzichte van grotere landen.”

Cybercrime kent geen grenzen. Moeten we de bestrijding ervan niet op Europees vlak regelen?

Preneel: “Absoluut. Twee jaar geleden heeft Europa gestipuleerd dat er meer werk moest gemaakt worden van cybersecurity, maar politiesamenwerking ligt binnen Europa erg gevoelig. Als de Franse of Duitse politie een gesofisticeerd stuk malware heeft om in de smartphone van misdadigers in te breken, zullen ze dat zeker niet delen met de Belgen. Het risico bestaat namelijk dat het zal lekken. Dan zijn ze niet alleen hun tool kwijt, het kan in zo’n geval ook tegen hun eigen bedrijven gebruikt worden. Europa heeft bovendien wel wetgeving voor politiediensten en over hoe die moeten samenwerken, maar over veiligheidsdiensten heeft het niets te zeggen.”

Hoe goed die samenwerken, bleek in 2013, toen uitkwam dat de Britse geheime dienst Belgacom had gehackt.

Preneel: “In deze materie zijn er geen bevriende naties. Iedereen probeert iedereen te hacken. De Belgen hebben overigens nooit formeel tegen die hack geprotesteerd, wellicht uit vrees dat de Britten de samenwerking op andere vlakken op een lager pitje zouden zetten.”

Eugene Kaspersky, hoofd van het gelijknamige befaamde veiligheidslab, maakte zich in The Guardian zorgen over de razendsnelle militarisering van de cyberspace. Ruim dertig landen hebben al gezegd dat ze een militaire cyberdivisie hebben, maar het werkelijke aantal ligt nog veel hoger. Overal ontwikkelt men naarstig cyberwapens die bestemd zijn voor eigen gebruik, maar vroeg of laat uitlekken en in de handen van criminelen terechtkomen.

Preneel: “Het mooiste voorbeeld daarvan is het al vermelde EternalBlue. Iedereen zit nu cyberwapens te fabriceren, maar vroeg of laat moet dat wel slecht aflopen. De NSA heeft tools waarmee ze kunnen inbreken in iedere smartphone en bij ieder bedrijf. Wie controleert wat voor tools zulke diensten ontwikkelen en wat ze daarmee doen? Dat lijkt me een heel prangende vraag. Vroeger kon je hun macht inperken door het personeelsbestand te verminderen, maar in het digitale tijdperk werkt dat niet meer. Cyberaanvallen kosten weinig, je hebt er weinig mensen voor nodig en je kunt ze op grote schaal uitvoeren. Je moet dus zeer streng toezien op waar die diensten mee bezig zijn.”

Als we het goed begrijpen, zijn politie- en inlichtingendiensten, die cybercrime zouden moeten bestrijden, er mee verantwoordelijk voor dat het probleem juist tóéneemt?

Preneel: “Daar komt het ongeveer op neer. Een aantal zaken zou gewoon verboden moeten worden. Grote fouten in de basisinfrastructuur van software zouden onmiddellijk gemeld moeten worden aan de producent. Spionnen zullen de superwapens waar ze nu over beschikken nooit afgeven, maar je kunt hun activiteiten wel streng controleren. Liefst door mensen met de nodige expertise. Het Comité I bij ons bestaat uit zeer bekwame mensen, maar dat zijn oud-rechters die bepaald geen technologie-expert zijn. Die begrijpen niet wat de impact kan zijn van een lek in iOS (het mobiele besturingssysteem van Apple, red.). De hoorzittingen met Facebook-baas Mark Zuckerberg in het Amerikaans Congres waren op dat vlak veelzeggend: de meeste senatoren bleken niet eens te snappen hoe Facebook werkt.”

China zou een hackersleger van ruim honderdduizend man in dienst hebben dat echt overál binnen raakt. Als je genoeg tijd en middelen uittrekt, is élk systeem te kraken. Zitten we al volop in een cyberoorlog?

Preneel: “Honderdduizend lijkt me héél veel. Maar de Chinezen zijn niet de enigen, hè. Ons leger heeft ook hackers in dienst. Maar cyberoorlog wordt inderdaad steeds belangrijker, dat is een ontwikkeling die niet te stoppen is.”

© Humo