Weer een federale overheidsdienst gehackt? Tijd voor een overheids-CISO!

Na de FOD Financiën en de FOD Buitenlandse Zaken is – volgens De Tijd en L’Echo – nu ook de FOD Economie gehacht. Tijd voor een overheids-CISO!

De FOD Economie is gehackt. Dat meldden De Tijd en L’Echo en is inmiddels bevestigd. Het is, na de FOD Buitenlandse Zaken (hacking met gegevensdiefstal) en de FOD Financiën (virusbesmetting), al de derde federale overheidsdienst die met securityperikelen in het nieuws komt. Volgens de eerste berichten zou het ook nu weer een gesofisticeerde hacking betreffen.

Zoals steeds wordt de vraag gesteld of overheidsdiensten niet te makkelijk kunnen worden gehackt. Securityspecialisten wijzen erop dat alle belangrijke bedrijven en instellingen voor de werking van een land (de ‘kritieke nationale infrastructuur’) worden aangevallen, door misdadigers en wellicht buitenlandse overheden. Niet eenmalig, maar herhaaldelijk.

Daarbij wordt gezocht naar politiek, militair of economisch interessante informatie (die al dan niet te gelde kan worden gemaakt), of eventueel wordt zelfs beoogd om de goede werking ervan te verstoren. Dat overheidsinstellingen daarbij meteen in het nieuws komen, is logisch en gerechtvaardigd, maar sluit niet uit dat bedrijven ondertussen evengoed het slachtoffer zijn (memento Belgacom), maar dat vaak niet bekend maken. Of zelfs nog niet beseffen dat ze werden gehackt, want publicaties als het Verizon Data Breaches rapport geven aan dat hacks en datadiefstallen vaak maanden en jaren lopen vooraleer ze – vaak door derden – worden ontdekt.

Bredere aanpak

Ook nu weer wordt er gevraagd of de overheid niet meer op cybersecurity moet inzetten. Het antwoord is natuurlijk ja, maar dat geldt eveneens voor bedrijven, en zelfs voor de gewone burger. De klassieke verdedigingsmiddelen, zoals antivirus, antimalware, firewalls en dies meer, blijven noodzakelijk (ondanks kreten als ‘antivirus is dood’), maar zijn op zichzelf alllang niet meer voldoende. Een hoge muur bouwen volstaat niet meer om de booswichten buiten te houden.

Vandaag moet een verdediging in meerdere lagen worden opgebouwd. Naast de hoge muur (de verdediging ‘voor’ de aanval), moet ook de werking van een ict-infrastructuur continu worden gemonitord op vreemde voorvallen (een bescherming ‘tijdens’ de aanval), en voorts moeten ook de scenario’s klaarliggen (getest en wel) om na een aanval meteen in te grijpen (de fase ‘na’ de aanval, inclusief een goede crisiscommunicatie). Vergelijk het met een goede huisvader die zorgt voor een stevig slot op de voordeur (en alle andere deuren en vensters) en een alarminstallatie (om de inbrekers te betrappen), en voor alle zekerheid de belangrijkse dingen ook nog in een brandkluis stopt.

Zo’n ‘voor’, ‘tijdens’ en ‘na’ aanpak vormt geen absolute garantie dat een overheidsinstelling of bedrijf nooit meer wordt gehackt, want zo’n garantie is ronduit niet mogelijk. Maar op die wijze zal een besmetting sneller worden gedetecteerd en mogelijke schade worden voorkomen, of zo beperkt mogelijk worden gehouden.

Overheids-CISO

Zo’n aanpak vereist een coherente en gecoördineerde aanpak, met bevoegdheden in handen van een enkele persoon of verantwoordelijke. Zeg maar een overheids-Chief Information Security Officer (zowel op het federaal als op de regionale niveaus). Iemand (of een instelling) die – graag geadviseerd door de overheids- en bedrijfsspecialisten, en ja, gecontroleerd door de politieke instanties – echt zijn tanden kan laten zien wat betreft standaarden, maatregelen, middelen en procedures. Iemand die middelen ter beschikking krijgt en procedures en werkwijzen kan afdwingen, in volle onafhankelijkheid (maar wel in overleg). En iemand die wordt gefinancierd op een structurele en continue wijze, conform een langlopende strategie en visie – het moet anders dan ‘we zijn de 10 miljoen voor cyberveiligheid vergeten dus laten we die nu eens gauw uitgeven’.

In de VS kent men al lang een ‘security Czar’, die de president bijstaat. In Nederland werd deze problematiek in een enkele instelling ondergebracht. Ook in België mag van de overheid én het bedrijfsleven worden verwacht dat ze in eigen huis orde op zaken stellen, en de securityproblematiek efficient aanpakken.

En laten we wel wezen, dat geldt ook voor de thuisgebruiker. Iedereen moet zijn of haar inspanning leveren. Zoniet kunnen we evengoed een vaste rubriek ‘wie werd vandaag gehackt?’ starten.