Security blijft binnen ict een moeilijk vraagstuk. Hier is de vrees voor het onbekende wel degelijk gegrond. Want hoe bescherm je je tegen iets waarvan je niet weet of het er is, laat staan wat het is?

Op zijn eerste ‘Security Convention’ – midden oktober in Louvain-la-Neuve – liet Belgacom verschillende specialisten een overzicht brengen van de evolutie in de wereld van de cybercriminaliteit. Veel opbeurend nieuws viel daar helaas niet bij te rapen. Pittig detail: Belgacom trapte de conventie af door over zijn eigen recente ervaring met cybercriminaliteit te getuigen. “We kiezen er bewust voor om transparant te communiceren over de besmetting met malware”, aldus Geert Degezelle, directeur van Belgacom Security Solutions. “Het was een heel gesofisticeerde aanval, waar we veel uit hebben geleerd.” Het incident toonde alvast aan dat niemand immuun is voor internetcriminaliteit. Behalve spionage zijn er nog andere drivers voor cybercriminaliteit: financiële, met name. Cybercrime is dan ook big business. Het zou om een markt van 400 miljard dollar gaan, meer dan er met traditionele criminaliteit te verdienen is. Meer nog, cybercrime bereikt stilaan de fase van industrialisatie. Ook hackers maken gebruik van de cloud. Dat zorgt voor een model dat ‘cybercrime as a service’ mogelijk maakt: goedkoop aangekocht en anoniem betaald in de cloud.

Nog een vaststelling van beveiligingsspecialisten: preventie volstaat niet meer. Als bedrijf moet je ervan uitgaan dat een honderd procent sluitende beveiliging niet bestaat. Je moet met andere woorden altijd rekening houden met een potentieel succesvolle aanval. Het is daarbij zaak ze zo snel mogelijk te detecteren en er een passend antwoord op te formuleren. Mensen en bedrijven zijn zich nog altijd onvoldoende bewust van de gevaren die ze lopen. “De recente incidenten bij Buitenlandse Zaken en het kabinet van de eerste minister helpen uiteraard om het thema op de agenda te krijgen”, zegt Ulrich Seldeslachts, ceo van LSEC, een non-profit organisatie die werkt rond informatiebeveiliging bij ondernemingen en de overheid. Dat daar nood aan is, spreekt duidelijk uit de cijfers. Eind 2008 waren er doorheen de hele ict-geschiedenis in totaal 13 miljoen malwares geteld. Intussen zitten we aan 16 miljoen stuks – per jaar. Uiteraard zijn die niet allemaal even succesvol, maar toch. Onderzoek van PWC toonde aan dat 93 procent van de grote bedrijven het voorbije jaar op de één of andere manier met een beveiligingslek te maken kregen. “Vergeet ook niet dat we straks vijftig miljard geconnecteerde devices in gebruik hebben”, aldus nog Seldeslachts. “In die context is aandacht voor beveiliging echt belangrijk.”

BLIJVEN PROBEREN

Vroeger bleven de acties van hackers vaak beperkt tot vandalisme. Vandaag gaat het om echte criminaliteit, zoals afpersing of diefstal van bedrijfsgegevens. Even goed kan cybercriminaliteit een vorm van financiële fraude zijn, spionage, terrorisme of een oorlogsdaad. Wat de achtergrond van een aanval ook is, de hacker legt een grote mate van sluwheid aan de dag. “De cybercrimineel werkt heel gericht, in functie van een duidelijk doel”, zegt Freddy Dezeure, hoofd van CERT-EU, het Computer Emergency Response Team voor de instellingen van de Europese Unie. “De hacker weet wat hij wil en houdt vol. Wanneer een aanval is ontdekt, probeert hij het gewoon op een andere manier.” Phishing is al langer een groot probleem. Criminelen proberen daarbij paswoorden of bankgegevens te achterhalen, bijvoorbeeld via een nagemaakte e-mail van pakweg PayPal of eBay. De geroutineerde internetgebruiker weet intussen dat zo’n e-mail onbetrouwbaar is. Maar wat als de crimineel een bericht stuurt via de gehackte account van iemand uit het adresboek van het slachtoffer? Op dat moment zijn vals en echt niet meer van elkaar te onderscheiden.

“We zien dat hackers steeds meer omwegen gebruiken”, stelt Freddy Dezeure. “Ze nemen van op afstand een pc over en maken die stuk. Wanneer de helpdesk tussenkomt om het probleem te analyseren, onderschept de hacker het paswoord van de gebruiker.” Of de hacker infecteert een site waar de gebruiker vaak inlogt, doet hem of haar verschillende paswoorden proberen – omdat aanmelden zogezegd niet lukt – en probeert die dan later uit om in andere accounts van de gebruiker binnen te dringen, bijvoorbeeld bij de bank of op het werk. De hacker weet namelijk ook dat de gemiddelde gebruiker maar een handvol paswoorden heeft voor de beveiliging van zijn online accounts. “Infectie is dezer dagen bijna niet te vermijden”, aldus nog Freddy Dezeure. “Daarom zijn detectie en gerichte reactie heel belangrijk. We moeten tegelijk ook meer communiceren over incidenten.” Door ervaringen te delen en het bewustzijn rond ict-beveiliging te vergroten, zullen veel gebruikers en bedrijven zich in de toekomst een hoop ellende kunnen besparen.

Dries Van Damme

‘De aanval op Belgacom was heel gesofisticeerd. Daar hebben we veel uit geleerd.’