Oudejaarsavond 2012. Het lijkt een misplaatste nieuwjaarsgrap. Toch verschijnen de gegevens van vermoedelijk 1,5 miljoen klanten van onze nationale spoorwegmaatschappij NMBS op het internet. Een ethical hacker maakt hier op zijn blog gewag van. Het overheidsbedrijf reageert krampachtig en dreigt met juridische stappen tegen de jongeman in kwestie. Wel wordt het lek gedicht. Onze nationale spoorwegen gaan hiermee diametraal in tegen de moderne trend van communicatie. In de Verenigde Staten wordt namelijk een maand later de site van de krant The New York Times gehackt. Het bedrijf maakt dit zelf bekend en rapporteert zijn kwetsbaarheden bij de bevoegde instanties. Ook organiseert het blad een ‘openbare’ hacksessie om net de eigen tere punten te ontdekken.

 

Kwetsbaarheden
De Europese Commissie wil volgens dezelfde filosofie nu ook internetdiensten en exploitanten van essentiële infrastructuur zoals sociale netwerken, maar ook energieleveranciers, banken en andere organisaties verplichten om zelf kwetsbaarheden te rapporteren. “Een zeer goed idee”, vindt cyberbeveiligingsconsultant Jan Janssens. “Het NMBS-verhaal toont duidelijk dat veel organisaties nog niet klaar zijn om hier helder over te communiceren. Nochtans is het ook vanuit een technisch standpunt zinvol om de nodige informatie te centraliseren.”

 

Elke onderneming of organisatie heeft wel informatie die voor iemand interessant is

 

Dringend
Een aantal landen beschikt daarvoor over een Cyber Emergency Response Team of kortweg een CERT. Een dergelijke organisatie zou als meldpunt kunnen dienen voor soortgelijke voorvallen zoals bij de Belgische spoorwegen. “CERT zou als een cyberpompier de nodige lessen kunnen trekken”, vindt hoofdcommissaris Luc Beirens van de Federal Cyber Crime Unit (FCCU), de afdeling van de federale politie om misdaad op het web te bestrijden. “We hebben momenteel maar een zeer partieel zicht op de situatie. Het is nochtans dringend. Elke onderneming of organisatie heeft wel informatie die voor iemand interessant is.”

 

Zwakste schakel
En elke onderneming heeft natuurlijk ook personeel. Dat op zijn beurt meestal ook eigen computerapparatuur heeft. De trend gaat sterk naar BYOD (Bring Your Own Device). Dit knullige vierletterwoordje betekent dat steeds meer werknemers hun eigen laptop of smartphone naar het werk meebrengen. En daar vervaagt de grens tussen het strikt persoonlijke en de professionele leefwereld. Een e-mail op naam van een kennis kan volstaan om op individueel niveau een pc te hacken.

Geïnfecteerd
“Open je de attachment, dan geraakt je systeem geïnfecteerd”, legt Janssens uit. “Deze techniek heet spear fishing. Dat zorgt dan voor de toegang. Welnu, geoefende cybercriminelen koppelen dit aan social engineering. Je gaat gewoonten zoals je surfgedrag en je vrienden op sociale netwerken zoals Facebook zeer gericht in kaart brengen. Dat kan je doen door een waterhole attack, je gaat je bron vergiftigen. Consulteer je vaak Nieuwsblad.be bijvoorbeeld, dan zal je daar besmet geraken. Telkens als je er gaat ‘drinken’, wordt de infectie erger.” Het hoeft misschien geen verdere verklaring, maar deze technieken worden vaak bij normale eindgebruikers toegepast.

 

Doelgericht
“Vertaal dat naar een bedrijfscontext en het is logisch dat er doelgericht op bepaalde mensen wordt gemikt”, vult hoofdcommissaris Beirens aan. Een typisch voorbeeld is de laptop van de secretaresse. “Mensen spelen thuis op hun laptop. De dag nadien wordt dat toestel dan aan het bedrijfsnetwerk gekoppeld. En zo haal je de criminelen binnen. Pas veel later wordt vastgesteld dat iemand van buitenaf alle gegevens controleert.”

 

De meeste gebruikers zijn technisch minder geschoold en klikken snel ergens op

 

Gedeeltelijke toegang
Maar het gaat al lang niet meer alleen over computers. “Ondertussen wordt ook speciale malware voor smartphones ontwikkeld”, voegt security-consultant Janssens eraan toe. “De meeste gebruikers zijn technisch minder geschoold en klikken snel ergens op. Je kunt veel over iemands privacy te weten komen omdat de meesten meerdere applicaties gebruiken. Dit gaat van sociale netwerken tot e-mail, maar ook bankgegevens en een bedrijfslogin. Veel multinationals geven daarom hun medewerkers maar een gedeeltelijke toegang. Je kan ook de trafiek scannen, maar dat verlaagt natuurlijk de gebruiksvriendelijkheid.”

 

Cruciale data
De cyberflik en security-consultant vinden beiden dat vooral kmo’s, maar ook de overheid zich niet bewust genoeg zijn van het probleem. “Of het nu buitenlandse mogendheden zijn zoals China, of lokale concurrenten, die op je business intelligence of intellectueel eigendom uit zijn… iedereen heeft wel cruciale data”, vindt het hoofd van FCCU. “In het geval van jonge start-ups zijn resultaten van onderzoek en ontwikkeling altijd interessant. Ze verschaffen een enorm concurrentieel voordeel als je daarin niet hoeft te investeren”, bevestigt de consultant.

 

Met het bewustzijn van bedrijven en kmo’s over hun IT-security is het soms bedroevend gesteld

 

Bedroevend
En net daar knelt het schoentje. “Wat betreft het bewustzijn van bedrijven en kmo’s is het soms bedroevend gesteld”, bevestigt Ann Mennens van het Belgian Cybercrime Centre of Excellenceeen onderzoekscentrum verbonden aan de KU Leuven. “Elk bedrijf zou een goed uitgebouwd veiligheidsbeleid moeten hebben met bijkomende procedures, die door alle werknemers gekend en toegepast moeten worden.”

 

Mentaliteitswijziging
Hoofdcommissaris Luc Beirens pleit er daarom sterk voor dat cybersecurity in de raden van bestuur besproken worden. “De IT-afdeling kan niet de nodige middelen mobiliseren.” Verder hoopt hij dat er een mentaliteitswijziging komt. “Je kunt van de secretaresse niet verwachten dat ze de juiste houding aanneemt als ze het probleem niet herkent.” Bovendien raadt hij alle bedrijfsleiders aan meer te doen dan enkel een goede configuratie van een firewall te voorzien. “Je moet ook doelgericht abnormale evenementen opzoeken. Als een bepaalde pc ergens rond middernacht enorm veel gegevens doorzendt, moet je dat direct detecteren.”