Ons land komt vandaag met een cybersecurity-plan: wat kunnen we leren van Estland, dat zwaar investeerde na cyberaanval?

In april 2007 gingen verschillende websites in Estland offline. De Esten konden geen verrichtingen meer doen op de website van hun bank en de krant lezen was niet mogelijk. Ook de sites van de overheid waren niet bereikbaar. Al snel werd duidelijk dat het niet zomaar een onderbreking was. De Baltische staat had te maken met de eerste cyberaanval die gericht was tegen een land.

Die aanval kwam er op een moment dat de spanningen tussen Estland en buurland Rusland hoog opliepen. Die escaleerden nadat Estland een monument dat de overwinning van de Sovjet-Unie tegen de nazi's herdenkt, had verplaatst.

Jaak Aaviksoo, die in 2007 minister van Defensie was, herinnert zich die periode heel goed. “Het monument stond eerst op een publiek plein, maar wij beslisten met de regering om het op een andere plek te zetten”, zegt hij aan VRT NWS. “Dat konden een aantal mensen (pro-Russische sympathisanten, red.) niet verkroppen en de sfeer werd steeds grimmiger. In de dagen nadien kregen we zware rellen, die ongezien waren in ons land.” 

Bekijk: het Journaal maakte in 2007 deze reportage over de cyberaanvallen (lees verder onder de video).

Maar wat er na die rellen gebeurde, was nog veel erger. Estland kreeg een reeks cyberaanvallen over zich heen. "We zagen ook dat de aanvallen heel gecoördineerd waren. Eerst werd één bepaalde website geviseerd, en nadien was het de beurt aan een andere. Dat, in combinatie met de rellen, leidde tot veel paniek. We hebben de effecten van de aanval nog zo’n 10 dagen gevoeld.” 

De cyberaanval op Estland doet denken aan die van twee weken geleden op ons land, maar bij ons werden verschillende websites ineens geviseerd. Dit kwam omdat Belnet, de provider van de overheid, de servers van die websites beheert. Ook bij ons was er paniek omdat we niet goed wisten hoelang de aanval ging duren.

Bekijk: "Het journaal" bracht deze reportage over de cyberaanval zo'n twee weken geleden (lees verder onder de video):

Bij ons gaan we nooit weten wie achter de cyberaanval zat, maar in 2007 wees alles in Estland in de richting van Rusland. 

Bekijk: hier legt Jaak Aviskoo uit dat de cyberaanvallen duidelijk uit Rusland kwamen:

Hoe gingen de cybercriminelen te werk? De servers van de belangrijkste websites werden, net zoals bij ons, bestookt met verschillende ddos-aanvallen (distributed denial of service, red.). Een ddos-aanval gebeurt wanneer een server miljoenen aanvragen te verwerken krijgt. Hierdoor blokkeert die en is die voor niemand meer bereikbaar. In Estland viseerden de daders de websites van de president, de regeringspartij, banken en een aantal nieuwsorganisaties.

Bekijk: hier legt Jaak Aaviksoo uit dat het niet evident was om de aanval tegen te houden:

Na de aanval bleef de Baltische staat niet bij de pakken zitten. Het land begon zelf heel sterk in te zetten op internetveiligheid, omdat het niet opnieuw hetzelfde wilde meemaken. In de jaren na de cyberaanval groeide Estland uit tot een voorbeeldland op vlak van cybersecurity. En wij kunnen daar iets van leren.

“Hoewel we voor de cyberaanval bezig waren met het thema, zorgde die voor een momentum. We realiseerden dat we iets moesten doen”, zegt Aaviksoo. In 2008 opende de NAVO in Estland het Cooperative Cyber Defence Centre of Excellence (CCDCOE), een centrum voor cybersecurity dat aanvallen tegen NAVO-lidstaten moet tegenhouden. Hierdoor kon het kleine landje veel  buitenlandse experten binnenhalen.

Estland organiseert ook elk jaar Locked Shields, een grote NAVO-oefening waarbij complexe cyberaanvallen worden gesimuleerd. Ook België neemt deel aan die oefening.

“Ons land zou ook veel kunnen leren uit zo’n oefening. Bijvoorbeeld: wie neemt het voortouw om de problemen op te lossen, en wie neemt de belangrijkste beslissingen”, legt professor Bart Preneel uit, expert cybersecurity bij de KU Leuven. Zo'n grootschalige oefening zou bij ons ook nuttig kunnen zijn om overheid en bedrijven bewust te maken van de gevaren van grootschalige ddos-aanvallen.

Daarnaast is het internet in Estland minder gecentraliseerd. Hier lagen veel websites plat omdat de cybercriminelen Belnet, dat de website van verschillende overheidsdiensten beheert, viseerden. Volgens Preneel zal dat in Estland niet zo snel gebeuren. "Maar als je toch een gecentraliseerd netwerk hebt, probeer dat met voldoende middelen te beschermen."

Estland verplicht ook elke overheidsorganisatie om de servers voldoende te beveiligen. Er is een doorgedreven samenwerking tussen bedrijven die gespecialiseerd zijn in cybersecurity en overheden. Belangrijke nutsvoorzieningen zoals elektriciteitsmaatschappijen zijn ook verplicht om de risico's in kaart te brengen. Bij ons is zo'n wetgeving nog niet van kracht. Er ligt wel een wet op tafel die aanbieders verplicht om beveiligingsmaatregelen te nemen op computersystemen. Die moet ervoor zorgen dat die bedrijven cybersecurity hoog op de agenda zetten.

Eén van de belangrijkste zaken die wij geleerd hebben van Estland is volgens Miguel De Bruycker, de baas van het Centrum voor Cybersecurity Belgium (CCB), de samenwerking met de telecomoperatoren. "Die is zeer belangrijk omdat zij heel goed weten wat er leeft op hun netwerken. Zij kunnen ook sneller inspelen op cyberdreigingen die op hun netwerken circuleren. Estland doet dat al jaren. Wij hebben sinds twee jaar een denktank waarbij we intensief samenwerken met de Belgische operatoren."

Toch vindt De Bruycker dat ons land aan een inhaalbeweging bezig is. "In 2016 zaten we in Europa in de tweede helft van de tabel als het over cybersecurity ging, ondertussen zijn we een eindje opgeklommen." 

Dat Estland sinds de aanval keihard inzette op internetveiligheid is ook logisch. Het land was sinds de jaren 90 heel sterk afhankelijk van de digitale snelweg. Dat was voor een stuk ook de verdienste van Aaviksoo, die destijds minister van Onderwijs was. “We hadden toen ons als doel vooropgesteld dat elke school tegen het jaar 2000 een internetverbinding moest hebben. We investeerden ook heel sterk in opleiding en financierden programma’s om de bevolking digitale vaardigheden bij te brengen.”

Ondertussen heeft iedereen in de Baltische staat een internetverbinding. Estland was een van de eerste landen waar je overal in de steden gratis wifi had. Stemmen doe je er van thuis door op een computer in te loggen en een bedrijf richt je online op in een aantal muisklikken. Skype werd mee ontwikkeld dankzij de knowhow van Estse computerwetenschappers.

Kinderen in Estland krijgen bij hun geboorte een code zodat het kindergeld automatisch geregeld wordt. Handtekeningen worden daar bijna niet meer op papier gezet, maar gebeuren digitaal. En als dat nog niet genoeg is, kan iedereen die wil (weliswaar digitaal) een Estse burger worden. Estland wordt dan ook niet voor niets smalend E-stonia genoemd.

Om al deze diensten te beveiligen moet het land zijn internet beter beschermen, want zo'n aanval kan volgens Aaviksoo nog elke dag gebeuren. "Maar deze keer zullen we niet snel in paniek raken."

Wat kan ons land doen? Wij kunnen leren uit de ervaringen van Estland. Ondertussen belooft Belnet dat het zijn systemen beter zal beveiligen. Onze regering komt vandaag, later op de dag met een eigen cybersecurity-plan, benieuwd hoeveel van de Estse ideeën daarin zullen zitten.