Inlichtingendienst zkt. hackers
De regering-Di Rupo werkt een beleid rond cyberveiligheid uit. Op een studiedag in de Koninklijke Militaire School (19/11) lichtten de geheime diensten en het kabinet van de premier alvast een tipje van de sluier: in 2013 wordt een coördinatiecentrum rond cyberveiligheid opgezet.
In 1995 –zeventien jaar geleden– vestigde het Comité I (dat in opdracht van het parlement de Belgische inlichtingendiensten controleert) voor het eerst de aandacht op het belang om informatiesystemen te beveiligen. Een Witboek voor een nationaal beleid van de informatieveiligheid uit 2007 ten spijt bleef het wachten op een globaal federaal beleid inzake informatieveiligheid. Nu lijkt er eindelijk schot in de zaak te komen.
‘Belangrijk is dat we momenteel voorbij de kritische drempel van awareness zijn’, zegt generaal-majoor Eddy Testelmans, het nieuwe hoofd van de militaire inlichtingendienst ADIV. ‘Het besef is doorgedrongen dat de cyberdreiging een reëel risico is dat te groot dreigt te worden als we nu niet handelen. Die houding is nu aanwezig bij de verschillende spelers: de ADIV, de Staatsveiligheid, het kabinet van de premier en andere partijen. Ik hoop dat ook de industrie gaat volgen.’
Zorgen dat de mayonaise pakt
Pascal Petry, sinds december 2011 veiligheidsadviseur van premier Elio Di Rupo (PS), kondigde op de studiedag de oprichting aan van een coördinatiecentrum rond cyberveiligheid. Een twintigtal experts onder leiding van een directeur zal de coördinatie verzorgen tussen de verschillende overheidsdiensten die nu reeds rond cyberfenomenen werken, waaronder de ADIV en de Staatsveiligheid. Wel moet er nog een politiek akkoord over komen –de onderhandelingen zijn voor 2012 voorzien– en een budget worden opgesteld. Eén discussiepunt is waar de fysieke capaciteit van het centrum –personeel, hard- en software– ondergebracht zal worden.
De voorbije jaren heeft de Belgische overheid reeds de internetbrandweer CERT.be en het expertisecentrum B-Ccentre in het leven geroepen. Nu komt er wéér een speler bij? Petry: ‘Ieder houdt zich met een deelaspect van de cyberdreiging bezig. Soms moet je ervoor zorgen dat de mayonaise beter pakt, dat is de taak van het nieuwe coördinatiecentrum. Ik zeg niet dat al de verschillende spelers momenteel niet goed samenwerken, maar het is een kwestie van afstemmen: wie doet wat?’
In het regeerakkoord van Di Rupo I was al aangekondigd dat België een cyberstrategie gaat ontwikkelen. Petry: ‘Het BELNIS-platform, waarin experten van verschillende FOD’s zetelen, heeft een aanzet gegeven voor zo’n Belgische cyberveiligheidstrategie.’
Drie doelstellingen staan daarbij centraal. ‘Er moet een cyberruimte komen die de individuele burgerrechten garandeert; de kritische infrastructuur moet beschermd worden; en we gaan onze eigen capaciteiten verder ontwikkelen om incidenten aan te pakken’, aldus Petry. ‘Belnis heeft een gids opgesteld over het beheer van cyberindicenten. Die wordt eerstdaags voorgesteld.’
Aanvallen tegen de Belgische overheid
Ook Defensie heeft een ontwerp voor een eigen cyberstrategie op papier gezet. ‘Deze week ga ik ze presenteren aan een aantal generaals’, zegt Luitenant-kolonel Miguel De Bruycker, hoofd informatieveiligheid bij de ADIV. ‘Daarna gaat het verder naar boven; minister De Crem moet nog groen licht geven.’
Het ontwerp gaat uit van drie luiken. De Bruycker: ‘In de eerste plaats moet cyber intelligence ons toelaten de cyberdreiging in te schatten. Wat zijn de mogelijkheden en intenties van potentiële tegenstanders?’
‘Het tweede luik slaat op cyberdefensie, de bescherming van onze netwerken.’ De ADIV analyseert ‘zeer frequent’ cyberaanvallen op Belgische overheidsdiensten. De Bruycker: ‘Deze ochtend nog hebben we een analyse gedaan van een heel gerichte aanval tegen een Belgische overheidsdienst. In de bijlage van een e-mail zat malware.’
‘Zo’n schadelijke software communiceert vervolgens met een command and control centre ergens op het internet. Ze kunnen aan je mails, bestanden, paswoorden. Elke toetsaanslag kan geregistreerd worden, daar hebben we voorbeelden van gevonden. We hebben ook al ontdekt hoe sommige pc’s tot microfoons omgevormd werden. Bovendien gaat het zover dat die malware automatisch geüpdated wordt.’
Zelf cyberaanvallen lanceren
Een derde luik in de ontwerp-cyberstrategie van Defensie slaat op een eigen offensieve cybercapaciteit. In mensentaal: zelf cyberaanvallen lanceren. De Bruycker: ‘De tegenpartij heeft natuurlijk ook kwetsbaarheden. Op een bepaald moment kan het militair gezien interessant zijn om tijdens operaties die kwetsbaarheden te gaan uitbuiten. Dat is de theorie. In de praktijk ligt daar niet de onze prioriteit. We gaan eerst de opportuniteit bestuderen.’
Generaal-majoor Testelmans somde op de studiedag een aantal argumenten op om zo’n offensieve cybercapaciteit te ontwikkelen: ‘Afschrikking is maar een daarvan. De cyberruimte is een nieuwe dimensie in het moderne oorlogsvoeren. Via offensieve acties kan je meer te weten komen over je tegenstander. En bovendien is het een kwestie van efficiëntie: twintig Joint Strike Fighters kosten vijf miljard euro, terwijl een trefzeker cyberwapen een miljard euro kost.’
Wettelijk kan de BIM-wet van 2010 (die de Belgische inlichtingendiensten bijzondere inlichtingenmethoden toekent) mogelijk een basis vormen voor zo’n offensieve cybercapaciteit. Testelmans: ‘Anderzijds moet er natuurlijk wel een evenwicht blijven tussen defensieve en offensieve capaciteit. Het kan immers leiden tot een cyberwapenwedloop die nog moeilijk te controleren valt.’
Hackers gezocht
Volgens De Bruycker werkt momenteel binnen de ADIV zowat een dozijn cyberspecialisten in de technische cybercel. Gekwalificeerd personeel vinden is geen sinecure. Testelmans pleitte dan ook voor meer specifieke opleidingen inzake cyberveiligheid. Testelmans: ‘Onze scholen moeten meer mensen afleveren die gespecialiseerd zijn in het veld van cybersecurity. We hebben getraind en gemotiveerd personeel nodig, en we moeten hen kunnen houden. Waarom niet in de hackersgemeenschap rekruteren? Hackers hebben niet altijd slechte bedoelingen.’
De ADIV speelt met het idee om in 2013 een heuse wedstrijd voor hackers te organiseren. De Bruycker: ‘Capture the flag, de klassieker. Wij plaatsen een of meerdere vlaggen op een informatiesysteem en dan is de vraag welke hackers in staat zijn die vlaggen als eerste te stelen.’
Klacht indienen
De voorbije jaren zijn de e-mails van een aantal Europese toppolitici met kantoor in Brussel door onbekende hackers onderschept: Europees president Herman Van Rompuy, antiterrorisme-coördinator Gilles De Kerchove en toenmalig Hoog Vertegenwoordiger voor Buitenlandbeleid Javier Solana. In maart 2011 waren de Europese Commissie en de Europese Dienst voor Extern Optreden het mikpunt van een cyberaanval.
Opmerkelijk, aldus Luc Beirens van de Computer Crime Unit van de Federale Politie, is dat de Europese Unie over die incidenten géén officiële klacht heeft ingediend. Beirens: ‘Nul dossiers van de EU zijn bij de politie aangemeld. Uitgerekend de EU komt af met een richtlijn over de plicht om datalekken mee te delen. Dat degene die het oplegt dan zelf ook maar het goede voorbeeld geeft.’
De ADIV herkent het probleem. De Bruycker: ‘Ik heb al eens meegemaakt dat een grote internationale organisatie een cyberprobleem had en graag steun had gekregen van de Computer Crime Unit. Maar niemand van de organisatie durfde klacht neerleggen. Na drie weken heeft men dan maar besloten om zelf het probleem op te lossen.’
Meldingsplicht
‘De verplichting om veiligheidsincidenten rond cyberveiligheid te melden is aan de orde van de dag’, zegt ook Alain Winants, adminstrateur-generaal van de Staatsveiligheid.
‘Een van de uitdagingen is dat een meldingsplicht zou kunnen leiden tot een stortvloed van meldingen die niet meer beheersbaar is. De ervaring van de Computer Crime Unit met E-Cops is terzake zeer leerrijk. E-Cops was opgezet opdat burgers op een eenvoudige wijze gevallen als cybercrime zouden kunnen melden via een website. In de praktijk stelde men echter vast dat de Computer Crime Unit overstelpt werd met aangiftes die eigenlijk niets te maken hadden met cybercrime en die via andere kanalen hadden moeten gemeld worden.’
Een tweede uitdaging in verband met de meldingsplicht is volgens Winants de anonimiteit van de aangifte. ‘Het moet mogelijk zijn in sommige omstandigheden, en als er gevaar is voor de openbare veiligheid, aan de meldingsplicht op anonieme wijze te kunnen voldoen. Een publieke melding kan gevolgen hebben voor het slachtoffer. Met name bedrijven zijn zeer gevoelig voor mogelijke imagoschade of economische gevolgen van een publieke melding van een cyberaanval of het bestaan van een gerechtelijk onderzoek dat daaruit voortvloeit. Ik denk dat de Veiligheid van de Staat hier een een toegevoegde waarde kan bieden. Inlichtingendiensten hebben immers ervaring met geheimhouding en met het garanderen van anonimiteit.’
De studiedag “Cyberthreats, cyberdefense, cyberwar: Pearl Harbor or a death of a thousand cuts” vond plaats op 19 november in de KMS in Brussel en is georganiseerd door het Belgian Intelligence Studies Centre (BISC).