De maffia gaat online
Elke dag worden Belgische computergebruikers het slachtoffer van allerhande vormen van cybercriminaliteit. Dat blijkt uit cijfers van CERT.be, het gloednieuwe Computer Emergency Response Team. Per maand lopen er bij die “Belgische internetbrandweer” gemiddeld 100 tot 200 incidenten binnen die relevant zijn voor België.
Het Belgische Computer Emergency Response Team is sinds begin 2010 operationeel. ‘In het internationale veiligheidswereldje is er nood aan lokale contactpunten in elk land om veiligheidsincidenten te melden. Die rol vervullen wij. Daarnaast zijn we ook nationaal het aanspreekpunt waar bedrijven of overheidsorganisaties incidenten kunnen melden. Wanneer zo’n incident zich voordoet, coördineren en informeren we de verschillende betrokkenen’, zegt Jan Torreele van BELNET, dat in opdracht van de Federale Overheidsdienst voor Informatie- en Communicatietechnologie de CERT-activiteiten uitvoert.
BELNET is het Belgische nationale onderzoeksnetwerk, het supersnelle internet voor onderwijs, onderzoek en overheden in België. Torreele: ‘We beheren een zeer snel communicatienetwerk dat alle universiteiten, hogescholen, onderzoekscentra en dergelijke met elkaar verbindt én met het globale internet. Door de aard van ons supersnelle netwerk en het soort klanten dat wij hebben, is veiligheid altijd al een bekommernis geweest.’
Het team van CERT.be telt momenteel zes voltijdse equivalenten –tegen 2013 moet dat evolueren naar tien tot elf. ‘Typische meldingen die hier binnenlopen gaan over gehackte computers of servers in België die gebruikt worden om spam te versturen of die ingeschakeld worden in een botnet. Dat is een geheel van honderden tot miljoenen gehackte computers die onder controle staan van één misdadiger’, zegt Torreele. ‘Stel je voor dat miljoenen computers op hetzelfde moment massaal één specifieke website bestoken, dan gaat die site onderuit. Op die manier kan je schade toebrengen aan politieke vijanden maar ook bedrijven op de knieën dwingen. Nog niet zo lang geleden vond er gedurende meerdere weken een aanval plaats op een online gokkantoor. Zolang het bedrijf in kwestie de misdadigers niet betaalde, bleven ze de website van het gokkantoor bestoken.’
Volgens Torreele verhuren eigenaars van botnets hun capaciteit ook aan andere misdadigers. ‘Tien jaar geleden sprak men in de wereld van cybercriminaliteit over scriptkiddies, amateurs die zich wilden bewijzen, maar tegenwoordig gebeurt het georganiseerd en professioneel.’
Lucratieve economie
Ook IT-veiligheidspecialisten Filip Maertens en Paul Bakker waarschuwen voor de professionalisering van cybercriminelen. Eind oktober gaven ze op initiatief van de European Corporate Security Association een tweedaagse opleiding aan een select clubje veiligheidsverantwoordelijken van de Belgische overheid en topbedrijven. ‘We spreken niet meer over een individuele hacker maar over georganiseerde misdaad’, zegt Maertens, die in 2000 zijn loopbaan begon bij Ernst&Young als senior IT-veiligheidsadviseur en momenteel zijn eigen advies- en onderzoeksbureau runt, Avydian. ‘Het zijn dezelfde organisaties die zich bezighouden met wapen-, drugs- en mensenhandel, die nu ook een cel cybercriminaliteit omvatten, met diensten als Crime-As-A-Service, Rent-a-Botnet en Custom Malware Development.
Een trend van de voorbije jaren is dat cybercriminelen zich verder gaan structureren en organiseren. Vroeger had je enkelingen die kleine cluster-units vormden. Nu krijg je echter groeperingen die zich inrichten als volwaardige organisaties met grote gelijkenissen met de manier waarop de Cosa Nostra opereerde. Cybercriminaliteit is een heel lucratieve economie geworden, met minder risico’s en grotere returns dan de traditionele criminaliteit.’
‘De laatste jaren is meer geld gestolen via digitale weg dan er ooit fysiek via bankroven is buitgemaakt.’
Volgens Paul Bakker is de dreiging op online bankieren vandaag een van de grootste problemen op het vlak van cyberveiligheid. Bakker werkt sinds 2002 voor het Nederlandse bedrijf Fox-IT, dat onder meer de telefoongesprekken van Nederlandse ministers beveiligt. Bakker: ‘Hackers richten zich op iedereen die potentieel bij een bepaalde bank zaken doet, en pakken gewoon iedereen in een land, heel ongericht. Naar alle Belgische burgers of iedereen met een Belgisch e-mailadres sturen ze mailtjes. Zo proberen ze heel breed te infecteren. Wanneer computergebruikers vervolgens interageren met hun bank, dan zullen de hackers bijkomende transacties uitvoeren. Je geld gaat dan niet alleen naar de energierekening die je wilde betalen, maar ook naar een criminele organisatie. Als je kijkt naar de cijfers en statistieken die publiek bekend zijn –de banken zijn er logischerwijze heel erg voorzichtig in– dan is er in de laatste jaren meer geld gestolen via de digitale weg dan dat er ooit fysiek via bankroven is buitgemaakt.’
Ook Bakker waarschuwt voor het georganiseerde karakter van cybercriminaliteit. ‘Het vergt een hele infrastructuur om op grote schaal geld weg te trekken uit bankrekeningen. Wanneer hackers toegang hebben tot iemands bankaccount, dan begint het nog maar pas. Ze hebben mensen nodig om het geld te transporteren –money mules. Die weten soms niet eens dat ze meedraaien in een criminele organisatie.’
Pearl Harbour 2.0
De militaire inlichtingendienst ADIV nam in 2010 vier specialisten cyberdefensie in dienst, de Staatsveiligheid telt hooguit een vergelijkbaar aantal. Volstaat een handvol IT’ers om een heel land te beschermen? Maertens: ‘Het is een goed begin, maar in termen van capaciteit is het inderdaad niet toereikend. Zeker als het gaat om het beschermen van het wetenschappelijk en economisch potentieel en de toenemende assymetrische dreigingen die cyberaanvallen met zich meebrengen. Anderzijds: ook al heb je een team van tweehonderd mensen, dan nog steeds kun je het probleem niet adequaat beheersen zonder een plan van aanpak.’ België moet volgens Maertens een nationale strategie en visie rond cyberdefensie ontwikkelen: ‘Het is een kwestie van keuzes maken: welke detectie- en responsieve mechanismen en organisaties wil je inrichten op nationaal niveau? Hoe kunnen we private en publieke initiatieven verzoenen? Hoe planten we ons in in een internationaal juridisch kader? Het zal vermoedelijk pas bij een grootschalig incident zijn dat onze beleidsmakers de dreiging van cybercriminaliteit ernstig nemen. Vergis u niet. We weten nu reeds zeker dat een “digitale 9/11” of “digitale Pearl Harbour” in de maak is, én dat we daar als land helemaal niet op voorbereid zijn. Het enige dat we niet weten, is wanneer zo’n cyberaanval zal plaatsvinden.’
Lees uitgebreide interviews met de cyberspecialisten Filip Maertens en Paul Bakker en met Jan Torreele.