Cybercriminelen worden almaar vindingrijker in hun aanvallen. Die ‘business’ is intussen miljarden waard. Tegelijk is cyber niet meer weg te denken uit gewapende conflicten en spionage.

ESET behoort wereldwijd tot de bekendere spelers op het vlak van digitale beveiliging. Ieder jaar organiseert het bedrijf – met hoofdzetel in de Slowaakse hoofdstad Bratislava – een ‘European Cybersecurity Day’. Dit keer vond het evenement in Brussel plaats. Het bracht een gemengd publiek op de been, met naast securityspecialisten van bedrijven ook heel wat vertegenwoordigers van lokale, nationale en Europese overheidsinstellingen in het publiek.

Cybercrime kost ons te veel

‘Cybersecurity is een sleutelelement voor onze welvaart’, stelde Lúdovít Ódor in zijn inleiding. De voormalige premier van Slowakije is vandaag vice-voorzitter van het Comité voor economische en monetaire zaken van het Europees Parlement. ‘Wanneer de Europese economie vertraagt ten opzichte van die in de VS en China, heeft dat vooral te maken met technologie. We moeten meer inzetten op technologie in de EU. En daar hebben we meer security by design voor nodig, want cybercriminaliteit kost ons vandaag veel te veel.’

Evengoed is cybersecurity van essentieel belang op geopolitiek niveau. Landen strijden allang niet meer met wapens alleen. ‘Bij uitbreiding gaat het ook om de democratie’, aldus Ódor. ‘Zo is cybersecurity belangrijk in de strijd tegen fake news, dat erop gericht is het vertrouwen van de mensen te beschadigen en zo de democratische instellingen te verzwakken.’

Aandacht voor de slachtoffers

‘Vertrouwen werkt niet in cyberspace’, klinkt het bij Nazar Tymoshyk van het CERT (Cyber Emergency Response Team) van Oekraïne. ‘Je moet altijd paranoïde blijven.’ Tegelijk is er vaak een gevoel van machteloosheid. ‘Ook al stel je een aanval vast, dan nog blijft het heel vaak moeilijk om op te treden.’ Want wat kan het CERT van een land doen? De ambassadeur van pakweg Rusland of China opbellen en een klacht neerleggen? Die zal uiteraard altijd ontkennen dat zijn land er ook maar iets mee te maken heeft.’

Nochtans zijn het heel vaak Rusland en China die opduiken als bron van een aanval, samen met een handvol kleinere landen als Noord-Korea, Vietnam of Iran. Waar aanhoudende, door een staat gefinancierde cyberaanvallen tegen kritische infrastructuur toe leiden, is intussen duidelijk te zien in Oekraïne. ‘We richten onze aandacht in de eerste plaats op de slachtoffers, niet op de malware’, zegt Tymoshyk. Dat helpt om het bewustzijn rond cybercriminaliteit en cyberoorlog te vergroten. ‘Dat is namelijk wat voor herkenning zorgt: als je leest over een aanval op een bedrijf dat evengoed jouw bedrijf kon zijn.’ Met wat voor malware dat precies gebeurde, is dan van veel minder belang.

Wendbaarheid

In de strijd tegen cybergevaar is het volgens Tymoshyk vooral belangrijk een duidelijk zicht te hebben op de aanvallers en hun doelstellingen. Wanneer Rusland erin slaagt een video-overleg van de Duitse luchtmachtleiding af te luisteren, dan zijn het ‘wie’ en ‘waarom’ van de aanval snel duidelijk. Maar zo helder is het lang niet altijd. ‘In 2022 zagen we in Oekraïne 2.400 aanvallen tegen bedrijven en instellingen’, aldus Tymoshyk. ‘Nochtans is het aantal doelwitten waar echt belangrijke informatie te halen valt relatief beperkt.’ Het doel was niet alleen data te stelen, maar ook op grote schaal verstoring te veroorzaken.

De vraag is dan ook hoe u zich als land op zo’n moment opstelt. Nazar Tymoshyk twijfelt niet over het antwoord: ‘Wat het verschil maakt is het vermogen om verandering aan te kunnen. Dat blijkt tot nader order de realiteit. U kunt zich zo goed mogelijk voorbereiden op een aanval, met beschermingsmaatregelen en scenario’s ‘voor het geval dat’, maar tot nader order blijft reageren de enige mogelijkheid. In cybersecurity bestaat er niet zoiets als een preliminary strike.’

Verwacht het onverwachte

Op het vlak van cybersecurity ligt er voor Europa intussen behoorlijk wat werk op de plank. ‘We bereiden ons in Europa vooral voor op bekende bedreigingen’, stelt Roberto Cascella, CTO bij ECSO (European Cyber Security Organisation), een ledenorganisatie die bijdraagt aan de uitbouw van een Europees cybersecurity-ecosysteem. ‘Het moeilijke is dat we ons ook moeten verwachten aan het onverwachte.’ En neen, Europa hoeft daarbij niet zelf alles opnieuw uit te vinden. ‘Maar we moeten natuurlijk wel goed mee zijn met wat er al bestaat. Tegelijk moet de EU digitale autonomie nastreven en meester blijven over de technologieën die vandaag al in gebruik zijn.’

Even belangrijk is het om ook meer en regelmatiger de risico’s van nieuwe technologieën door te lichten. ‘Deepfake video, bijvoorbeeld, komt voort uit het misbruik van AI’, zegt Nad’a Kovalciková, projectdirecteur bij EUISS (EU Institute for Security Studies). ‘We kijken vandaag vooral naar de voordelen van nieuwe technologie, zoals generatieve AI, maar we mogen ook de risico’s niet uit het oog verliezen. Daar is nu te weinig aandacht voor.’

‘Vertrouwen werkt niet in cyberspace. Je moet altijd paranoïde blijven’

Mobiele malware

Die risico’s zijn nochtans heel duidelijk. ‘We zien meer aanvallen die op mobiele toestellen zijn gericht’, vertelt Ondrej Kubovic, Security Awareness specialist bij ESET. Hij geeft onder meer het voorbeeld van Chinese malware die data voor gezichtsherkenning onderschept. Het laat de hackers toe uw gezicht te ‘stelen’, dat met face swapping software zelf te gebruiken en zo uw accounts binnen te komen.

Tegelijk boekt de strijd tegen cybercriminaliteit ook successen. De opvallendste case van het voorbije jaar was zonder twijfel die tegen LockBit. Die organisatie was in 2023 wereldwijd verantwoordelijk voor zowat de helft van alle aanvallen met ransomware. ‘Die aanvallen waren onder meer as-a-Service te koop in een commissiemodel. Wie de ransomware inzette, moest twintig procent van het opgehaalde losgeld afstaan aan de organisatie.’

Humor

Eerder dit jaar viel de business van LockBit stil. Instanties die achter de bende aanzaten, waaronder de FBI, hackten de leak site – de site waar de cybercriminelen buitgemaakte data te koop aanbieden. Met enig gevoel voor humor publiceerden de politiediensten er onder andere persberichten over arrestaties. ‘Bij de actie tegen LockBit namen ze ook voor 200 miljoen dollar aan bitcoin in beslag’, zegt Ondrej Kubovic. ‘Als dat de twintig procent commissie is, zou er met de ransomware van LockBit in totaal een miljard dollar zijn buitgemaakt. Het geeft een idee van de omvang die sommige criminele organisaties aannemen.’

Een andere plaag is die van de deepfake scams. Kubovic toont een voorbeeld van een bende die opereert onder de naam Nomani – alweer humor, want dat klinkt als ‘no money’: een goede omschrijving van hoe u achterblijft wanneer u op zo’n aanbod ingaat. In een van hun deepfake videos raadt acteur Benedict Cumberbatch de slachtoffers van cybercriminaliteit aan om aangifte te doen bij Europol. Zeer cynisch, want zo zetten ze een scam op bij mensen die al het slachtoffer van een scam zijn en dat willen aangeven.

Psychologische chantage

‘Wie doorklikt, komt op een nagemaakte site van Europol terecht’, legt Ondrej Kubovic uit, ‘waar je een formulier moet invullen. Twee minuten later krijg je een telefoontje – in jouw taal – van iemand die je meer uitlegt vraagt over je case en die je een aantal tips geeft, maar die ook vraagt om honderd euro ‘dossierkosten’ over te maken.’ Daarna blijven de oproepen komen en vragen de cybercriminelen steeds meer geld over te schrijven. Soms vragen ze ook om een app te installeren, waarna ze volledige controle hebben over je toestel. Naast het technologische aspect is ook het gebruik van psychologische chantage hier opvallend. ‘Ze bellen hun slachtoffers soms wel vijftien keer per dag, elke dag, desnoods drie maanden lang. Slachtoffers zijn vaak kwetsbare, doorgaans iets oudere mensen. Ze raken maar moeilijk van zo’n aanvaller af.’