Wanneer we Preneel vragen wat hem is opgevallen in het huidige securitylandschap, dan is zijn antwoord supply chain attacks. 'Dat bestaat al een tijdje, maar het afgelopen jaar is men gaan beseffen dat de beste manier om een ander land te treffen, er niet in bestaat om een bedrijf te hacken, maar het bedrijf aan te vallen dat levert aan bepaalde bedrijven. Solarwinds is daar het grootste voorbeeld de voorbije twaalf maanden.'

'Eigenlijk gingen velen er van uit dat vooral de cloud het grote slachtoffer zou zijn naarmate iedereen naar daar trekt, maar voorlopig zien we nog geen sporen dat dat massaal gebeurt, al hebben we het misschien gewoon nog niet ontdekt. De veiligheid bij die spelers is top, maar ze zijn ook een enorm waardevol doelwit dus ik kan me niet inbeelden dat men in China of Rusland niet nadenkt over hoe men bij Google, Amazon of Microsoft kan binnengeraken.'

Tegelijk is Preneel ook nuchter over de doorsnee beveiliging op de markt. Hij stelt hij dat de technologie alleen maar verbetert en dat er vandaag ook meer aandacht is voor integratie van security. Er wordt over gesproken in de boardroom, maar de investeringen blijven te beperkt, zegt hij: 'De gemiddelde investering volgens ENISA (European Union Agency for Cybersecurity, nvdr.) is zeven tot acht procent van de omzet, terwijl dat eigenlijk vijftien procent hoort te zijn. Zo lang we daar niet zijn, is de wereld een paradijs voor hackers die gaten en omwegen zoeken.'

Hoewel de tools beter worden, blijft het lastig om een complexe infrastructuur veilig genoeg te maken. 'Wil je dat degelijk doen dan is het zoals bij vliegtuigen: elke lijn code gaat dan een stuk duurder worden. En een heel systeem in zijn totaliteit beveiligen is lastig omdat elk onderdeel meespeelt. Je kan daar je best voor doen, maar zolang mensen webcams van 20 dollar kopen en inpluggen vecht je tegen de bierkaai.'

Naar de nabije toekomst toe verwacht Preneel vooral een evolutie waarbij hackers kunstmatige intelligentie gaan inzetten. 'Dat wordt al een tijdje voorspeld, er zijn ook wedstrijden rond waarbij je software schrijft die zwakheden in andere systemen gaat zoeken en daaruit leert. Mijn verwachting is dat we de komende tien jaar naar een soort 'War of AI' zullen gaan waarbij er nog wel wordt gestuurd en gecorrigeerd, maar waar het zo snel gaat dat niemand nog naar de aanval zelf kijkt, zowel de aanval als de verdediging worden geautomatiseerd.' Al voegt hij er wel aan toe dat tophackers die nieuwe technieken hanteren zullen blijven opduiken. 'Het wordt een wapenwedloop die moeilijk te volgen is.'

Het kan zijn dat de grote doorbraak er binnen tien jaar plots komt, en dan moet je data al versleuteld zijn met nieuwe technologie

Encryptie

Dit najaar was Preneel ook een van de academische stemmen tegen het wetsontwerp rond dataretentie dat encryptie wil opheffen. 'Het gaat weinig uithalen. Echte misdadigers gebruikten Sky ECC en zullen opvolgers daarvan gaan gebruiken, dus je maakt met het opheffen van encryptie iedereen kwetsbaar, maar zware criminelen vang je niet.' Als voorbeeld wijst hij naar een intussen gedocumenteerd voorval met routers van Juniper. Daar werd vanuit de NSA ooit een achterdeur ingebouwd, die later werd overgenomen door onbekenden.

Ook praktisch ziet hij een probleem met politiediensten die gaan aankloppen bij Google of Facebook. 'Hoeveel politiediensten en inlichtingendiensten zijn er wereldwijd? Tel die samen en je zit al snel aan duizenden partijen waarvan zo'n speler moet weten welke betrouwbaar genoeg zijn en welke de regels minder strikt nemen.'

Maar Preneel is ook van oordeel dat zoveel dataverzameling absoluut niet nodig is. 'Het wetsontwerp dat nu op tafel ligt is al een herstelwet omdat de huidige dataretentiewetgeving is vernietigd door Europa, net omdat ze van iedereen op het grondgebied metadata verzamelde. Dat is niet proportioneel. De nieuwe wet beperkt dat tot gebieden met hoge misdaadgraad of kritische zones. Dat zijn stations, ziekenhuizen, gevangenissen, maar trek daar een cirkel rond en je hebt heel België, tegelijk zeggen operatoren dat dat concept ook niet haalbaar is.' Hij verwacht dat ook de nieuwe wet door Europa zal worden teruggefloten, maar intussen zullen er opnieuw enkele jaren overheen gaan.

'Als burger vind ik dat niet democratisch. De politie heeft meer gegevens dan ze ooit hebben gehad. Er zijn ANPR-camera's, de locatie van alle telefoons, welke websites je bezoekt, welke mails je naar wie verstuurt en wanneer. Er is een open debat nodig waarbij de politie op tafel legt welke gegevens ze hebben en welke ze nodig hebben om hun werk te doen. Steeds meer informatie vragen zonder die discussie leidt tot een dovemansgesprek.'

In de marge daarvan merkt hij op dat ook Europa wil dat technologiebedrijven vaker hun platformen of toestellen scannen op beelden van kindermisbruik (CSAM, child sexual abuse material). Apple was van plan dat te doen, door iPhones en iPads te scannen op beelden van gekend kindermisbruik, maar kreeg zoveel kritiek dat het plan voorlopig werd gepauzeerd. 'Maar Europa heeft wel gezegd dat dat wordt verwacht, al was dat toen naar aanleiding van Facebooks plan om ook gesprekken in Messenger te encrypteren, net omdat het een grote bron van CSAM is.'

Het Belgische wetsontwerp dat nu op tafel ligt zal vermoedelijk rond deze tijd ook effectief naar het parlement gaan. Preneel verwacht wel dat het luik rond het opheffen van encryptie daar nog uit verdwijnt*. 'Men heeft de reacties daartegen een beetje onderschat,' klinkt het. Een open brief van talloze bedrijven, burgers en privacy-activisten kreeg zelfs internationaal heel wat aandacht. 'Maar zelfs zonder het deel over encryptie blijft het een veel te strikte dataretentiewet.'

Hacken met quantum computers

Vragen we de wereldautoriteit in cryptografie wat hij binnen zijn vakgebied verwacht, dan kijkt hij uit naar de standaarden voor post quantum computing binnen cryptografie. 'Quantum computing is enorm technisch en grote spelers als IBM, Google of Intel zijn daar volop mee bezig. Dat zal heel nuttig zijn voor onder meer moleculair onderzoek, maar ook om cryptografie te kraken.'

Hoewel quantum computing nog maar aan de vooravond van haar revolutie staat, is de sector wel al twintig jaar op zoek naar oplossingen om daartegen bestand te zijn. 'Er is al enkele jaren een competitie die volgend jaar afloopt. Daarmee willen we nieuwe standaarden vastleggen. Onder meer enkele algoritmes van de KU Leuven zijn daarvoor in de running', legt hij uit.

'Dat is nog niet voor meteen en de eindgebruiker gaat daar weinig van merken. Maar voor IT is dat wel iets om enkele jaren op voorhand te plannen. Het zal nog één of twee jaar duren voor heel het proces rond die standaarden klaar is, maar als bedrijf hoor je daar al wel over na te denken.'

Hoe dat concreet in zijn werk gaat is erg afhankelijk van de toepassing. 'TLS (Transport Layer Security) zal bijvoorbeeld gewoon een nieuwe versie krijgen, dat valt mee. Maar sommige algoritmes zullen een veel grotere sleutel krijgen. Dan gaan we van duizend bits naar tien kilobyte. Dat heeft gevolgen voor alles wat draadloos is. Je rekenkracht wordt misschien niet slechter, maar voor het versturen van veel informatie of voor opslag kan dat wel gevolgen hebben. Bij sommige toepassingen wordt dat gewoon een update, maar voor anderen zal er meer bij komen kijken. Het is een oefening die de wereld elke twintig jaar moet doen, maar vandaag zit cryptografie wel in veel meer zaken verweven dan twintig jaar geleden.'

Preneel wil niet doemdenken, maar wel wakker schudden voor wat er aan komt. 'Het kan zijn dat de grote doorbraak (waarbij quantum computing cryptografie kan kraken) er binnen tien jaar plots komt, en dan moet je data al versleuteld zijn met nieuwe technologie. Anders bestaat het risico dat je beveiligde data plots toch gewoon op straat ligt.'

*Dit artikel verscheen in Data News op 1 december. Intussen is er ook binnen de regering meer verdeeldheid over en lijkt het er inderdaad op dat het luik over encryptie zal worden geschrapt.

© *illustratie Eva Lynen
Wanneer we Preneel vragen wat hem is opgevallen in het huidige securitylandschap, dan is zijn antwoord supply chain attacks. 'Dat bestaat al een tijdje, maar het afgelopen jaar is men gaan beseffen dat de beste manier om een ander land te treffen, er niet in bestaat om een bedrijf te hacken, maar het bedrijf aan te vallen dat levert aan bepaalde bedrijven. Solarwinds is daar het grootste voorbeeld de voorbije twaalf maanden.' 'Eigenlijk gingen velen er van uit dat vooral de cloud het grote slachtoffer zou zijn naarmate iedereen naar daar trekt, maar voorlopig zien we nog geen sporen dat dat massaal gebeurt, al hebben we het misschien gewoon nog niet ontdekt. De veiligheid bij die spelers is top, maar ze zijn ook een enorm waardevol doelwit dus ik kan me niet inbeelden dat men in China of Rusland niet nadenkt over hoe men bij Google, Amazon of Microsoft kan binnengeraken.' Tegelijk is Preneel ook nuchter over de doorsnee beveiliging op de markt. Hij stelt hij dat de technologie alleen maar verbetert en dat er vandaag ook meer aandacht is voor integratie van security. Er wordt over gesproken in de boardroom, maar de investeringen blijven te beperkt, zegt hij: 'De gemiddelde investering volgens ENISA (European Union Agency for Cybersecurity, nvdr.) is zeven tot acht procent van de omzet, terwijl dat eigenlijk vijftien procent hoort te zijn. Zo lang we daar niet zijn, is de wereld een paradijs voor hackers die gaten en omwegen zoeken.' Hoewel de tools beter worden, blijft het lastig om een complexe infrastructuur veilig genoeg te maken. 'Wil je dat degelijk doen dan is het zoals bij vliegtuigen: elke lijn code gaat dan een stuk duurder worden. En een heel systeem in zijn totaliteit beveiligen is lastig omdat elk onderdeel meespeelt. Je kan daar je best voor doen, maar zolang mensen webcams van 20 dollar kopen en inpluggen vecht je tegen de bierkaai.' Naar de nabije toekomst toe verwacht Preneel vooral een evolutie waarbij hackers kunstmatige intelligentie gaan inzetten. 'Dat wordt al een tijdje voorspeld, er zijn ook wedstrijden rond waarbij je software schrijft die zwakheden in andere systemen gaat zoeken en daaruit leert. Mijn verwachting is dat we de komende tien jaar naar een soort 'War of AI' zullen gaan waarbij er nog wel wordt gestuurd en gecorrigeerd, maar waar het zo snel gaat dat niemand nog naar de aanval zelf kijkt, zowel de aanval als de verdediging worden geautomatiseerd.' Al voegt hij er wel aan toe dat tophackers die nieuwe technieken hanteren zullen blijven opduiken. 'Het wordt een wapenwedloop die moeilijk te volgen is.' Dit najaar was Preneel ook een van de academische stemmen tegen het wetsontwerp rond dataretentie dat encryptie wil opheffen. 'Het gaat weinig uithalen. Echte misdadigers gebruikten Sky ECC en zullen opvolgers daarvan gaan gebruiken, dus je maakt met het opheffen van encryptie iedereen kwetsbaar, maar zware criminelen vang je niet.' Als voorbeeld wijst hij naar een intussen gedocumenteerd voorval met routers van Juniper. Daar werd vanuit de NSA ooit een achterdeur ingebouwd, die later werd overgenomen door onbekenden. Ook praktisch ziet hij een probleem met politiediensten die gaan aankloppen bij Google of Facebook. 'Hoeveel politiediensten en inlichtingendiensten zijn er wereldwijd? Tel die samen en je zit al snel aan duizenden partijen waarvan zo'n speler moet weten welke betrouwbaar genoeg zijn en welke de regels minder strikt nemen.' Maar Preneel is ook van oordeel dat zoveel dataverzameling absoluut niet nodig is. 'Het wetsontwerp dat nu op tafel ligt is al een herstelwet omdat de huidige dataretentiewetgeving is vernietigd door Europa, net omdat ze van iedereen op het grondgebied metadata verzamelde. Dat is niet proportioneel. De nieuwe wet beperkt dat tot gebieden met hoge misdaadgraad of kritische zones. Dat zijn stations, ziekenhuizen, gevangenissen, maar trek daar een cirkel rond en je hebt heel België, tegelijk zeggen operatoren dat dat concept ook niet haalbaar is.' Hij verwacht dat ook de nieuwe wet door Europa zal worden teruggefloten, maar intussen zullen er opnieuw enkele jaren overheen gaan. 'Als burger vind ik dat niet democratisch. De politie heeft meer gegevens dan ze ooit hebben gehad. Er zijn ANPR-camera's, de locatie van alle telefoons, welke websites je bezoekt, welke mails je naar wie verstuurt en wanneer. Er is een open debat nodig waarbij de politie op tafel legt welke gegevens ze hebben en welke ze nodig hebben om hun werk te doen. Steeds meer informatie vragen zonder die discussie leidt tot een dovemansgesprek.' In de marge daarvan merkt hij op dat ook Europa wil dat technologiebedrijven vaker hun platformen of toestellen scannen op beelden van kindermisbruik (CSAM, child sexual abuse material). Apple was van plan dat te doen, door iPhones en iPads te scannen op beelden van gekend kindermisbruik, maar kreeg zoveel kritiek dat het plan voorlopig werd gepauzeerd. 'Maar Europa heeft wel gezegd dat dat wordt verwacht, al was dat toen naar aanleiding van Facebooks plan om ook gesprekken in Messenger te encrypteren, net omdat het een grote bron van CSAM is.' Het Belgische wetsontwerp dat nu op tafel ligt zal vermoedelijk rond deze tijd ook effectief naar het parlement gaan. Preneel verwacht wel dat het luik rond het opheffen van encryptie daar nog uit verdwijnt*. 'Men heeft de reacties daartegen een beetje onderschat,' klinkt het. Een open brief van talloze bedrijven, burgers en privacy-activisten kreeg zelfs internationaal heel wat aandacht. 'Maar zelfs zonder het deel over encryptie blijft het een veel te strikte dataretentiewet.' Vragen we de wereldautoriteit in cryptografie wat hij binnen zijn vakgebied verwacht, dan kijkt hij uit naar de standaarden voor post quantum computing binnen cryptografie. 'Quantum computing is enorm technisch en grote spelers als IBM, Google of Intel zijn daar volop mee bezig. Dat zal heel nuttig zijn voor onder meer moleculair onderzoek, maar ook om cryptografie te kraken.' Hoewel quantum computing nog maar aan de vooravond van haar revolutie staat, is de sector wel al twintig jaar op zoek naar oplossingen om daartegen bestand te zijn. 'Er is al enkele jaren een competitie die volgend jaar afloopt. Daarmee willen we nieuwe standaarden vastleggen. Onder meer enkele algoritmes van de KU Leuven zijn daarvoor in de running', legt hij uit. 'Dat is nog niet voor meteen en de eindgebruiker gaat daar weinig van merken. Maar voor IT is dat wel iets om enkele jaren op voorhand te plannen. Het zal nog één of twee jaar duren voor heel het proces rond die standaarden klaar is, maar als bedrijf hoor je daar al wel over na te denken.' Hoe dat concreet in zijn werk gaat is erg afhankelijk van de toepassing. 'TLS (Transport Layer Security) zal bijvoorbeeld gewoon een nieuwe versie krijgen, dat valt mee. Maar sommige algoritmes zullen een veel grotere sleutel krijgen. Dan gaan we van duizend bits naar tien kilobyte. Dat heeft gevolgen voor alles wat draadloos is. Je rekenkracht wordt misschien niet slechter, maar voor het versturen van veel informatie of voor opslag kan dat wel gevolgen hebben. Bij sommige toepassingen wordt dat gewoon een update, maar voor anderen zal er meer bij komen kijken. Het is een oefening die de wereld elke twintig jaar moet doen, maar vandaag zit cryptografie wel in veel meer zaken verweven dan twintig jaar geleden.' Preneel wil niet doemdenken, maar wel wakker schudden voor wat er aan komt. 'Het kan zijn dat de grote doorbraak (waarbij quantum computing cryptografie kan kraken) er binnen tien jaar plots komt, en dan moet je data al versleuteld zijn met nieuwe technologie. Anders bestaat het risico dat je beveiligde data plots toch gewoon op straat ligt.' *Dit artikel verscheen in Data News op 1 december. Intussen is er ook binnen de regering meer verdeeldheid over en lijkt het er inderdaad op dat het luik over encryptie zal worden geschrapt.