Vorige vrijdag gingen de check-in- en boardingsystemen in Brussels Airport plat. Dat gebeurde na een cyberaanval op de leverancier van de software. Die zal 5 à 10 miljoen dollar moeten betalen aan de hackers, zo schat Geert Baudewijns, de CEO van het cyberbeveiligingsbedrijf Secutec. Maar de echte vetpot voor de cybercriminelen zijn de kleinere bedrijven.
Het was even wennen voor Brussels Airport vorige week vrijdag. Het inchecken en boarden van passagiers moest opnieuw met pen en papier gebeuren. De digitale passagiersafhandeling ging plat na een aanval met zogenoemde ransomware op de leverancier van de software, het Amerikaanse Collins Aerospace. Ook in Berlijn, Dublin en London Heathrow waren er problemen. “Mijn persoonlijke inschatting is dat Collins Aerospace een losprijs van 5 tot 10 miljoen dollar zal moeten betalen aan de hackers voor het ontgrendelen van zijn systemen”, zegt Geert Baudewijns, de CEO van de cyberbeveiliger Secutec en auteur van het boek Onderhandelen in het duister. Baudewijns voert bijna dagelijks onderhandelingen met cybercriminelen, in opdracht van bedrijven die aangevallen zijn met ransomware of gijzelingssoftware.
5 tot 10 miljoen dollar: is dat bedrag aan de kleinere of grotere kant in het hackerswereldje?
GEERT BAUDEWIJNS. “Dat is een groot bedrag. Bij de klassieke hackings van Belgische bedrijven die ik dagelijks afhandel, gaat het over bedragen tussen 50.000 en 500.000 dollar. De mediaan zit ergens tussen 150.000 en 250.000 dollar. Het hangt af van de grootte van het bedrijf.”
Dus hackers bestuderen eerst de jaarrekening van hun doelwit?
BAUDEWIJNS. “Inderdaad. Maar daar rijst een probleem. Vaak moet ik aan hackers uitleggen hoe de jaarrekening van een Belgische vennootschap in elkaar zit. Een Belgisch bedrijf dat al jaren goed boert, heeft meestal een riant eigen vermogen opgebouwd. Hackers zien dat getal, en denken dat het gaat om het bedrag op de bankrekening van het bedrijf. Elke week moet ik aan hackers uitleggen dat ze zich vergissen.”
Hoeveel kost een goede cyberbeveiliging tegenwoordig?
BAUDEWIJNS. “Geloof het of niet, maar ik heb daar geen pasklaar antwoord op. Een netwerk moet je immers beveiligen op meerdere niveaus. Je hebt je servers en je firewall, met meerdere tussenliggende lagen. De beveiliging van dat alles levert een bedrag per netwerkgebruiker op waarvan veel ondernemers zouden achterovervallen.”
Maar is een goede cyberbeveiliging dan wel haalbaar voor kleinere bedrijven?
BAUDEWIJNS. “Er is een reden waarom steeds minder grote bedrijven gehackt worden. Door de schadelijke impact van hacks bij die bedrijven in het verleden is de deskundigheid van het IT-departement er met rasse schreden op vooruit gegaan, en daarmee ook de kwaliteit van de cyberbeveiliging. De visvijver voor hackers zijn vandaag de kleinere bedrijven. Je moet rekenen op maandelijks zowat 500 gerapporteerde hacks door gerenommeerde ransomware-organisaties. Vroeger behoorden vaak grote firma’s tot de slachtoffers. Nu bestaat het gros van de slachtoffers uit bedrijven met 50 à 500 werkstations.”
De IT-ers van kleine bedrijven zijn niet meer mee met de huidige veiligheidsstandaarden?
BAUDEWIJNS. “Kleinere bedrijven hebben vaak een IT-manager die al tien, twintig jaar de dienst uitmaakt. Als zo’n bedrijf gehackt wordt, krijg ik vaak te horen: “Wij hebben een goede IT-manager.” Met alle respect, die IT-manager is gestart met een netwerk van vijftien tot twintig 20 pc’s. Daarna is het bedrijf fors gegroeid, samen met het aantal pc’s. Maar de kennis van de IT-manager is niet meegegroeid, want hij of zij volgde geen bijscholing. Daardoor gebeuren er fouten.”
Waarom zou ik als kleine ondernemer investeren in dure cyberveiligheid als mij dat geen extra klanten oplevert?
BAUDEWIJNS. “Ik begrijp dat bezwaar. Maar als zo’n firma gehackt wordt, dan gaat de portefeuille ineens wèl open. Dat is alles mogelijk, ongeacht het bedrag. Na drie, vier weken zijn de problemen opgelost, is de productie opnieuw op dreef. En na een half jaar is het op de IT-afdeling weer business as usual, en is de portefeuille opnieuw gesloten.”
En dat is gevaarlijk.
BAUDEWIJNS. “Heel vaak denken mensen dat cyberbeveiliging een fantastische business is. Laat mij duidelijk zijn: wij mogen niet klagen. Maar het is echt niet vanzelfsprekend om kleinere bedrijven te overtuigen van een degelijke cyberbeveiliging, ook al omdat het technologisch steeds complexer wordt. Je merkt dat de IT-er liever bij het oude blijft, want dat is wat hij of zij kent. Bij vernieuwing vrezen ze voor verlies van controle.”
Hoe kunnen cybercriminelen garanderen dat ze na betaling van het losgeld geen nieuwe aanval zullen doen op het bedrijf?
BAUDEWIJNS. “Die garantie kan het getroffen bedrijf niet krijgen. De praktijk bewijst echter dat hackers een bepaalde ethische code hanteren. Als het bedrijf betaalt, dan komen de hackers niet terug. De laatste negen jaar heb ik voor meer dan 550 bedrijven onderhandeld met cybercriminelen. Nadien volgden we de getroffen bedrijven voort op. Er is nooit een geval geweest waarbij een bedrijf een tweede keer gehackt is geweest.”
Collins Aerospace was nochtans al gehackt geweest.
BAUDEWIJNS. “Tot vandaag weten we niet door welke groep Collins Aerospace gehackt is. Maar het zou me sterk verwonderen als het om dezelfde groep hackers ging als bij de cyberaanval van twee jaar geleden. De groep die toen de aanval pleegde, bestaat vandaag niet meer.”
Wat baat het om miljoenen te investeren in cyberveiligheid als slechts één werknemer op de verkeerde link hoeft te klikken om de poppen aan het dansen te brengen?
BAUDEWIJNS. “Dat is vandaag de perceptie. ‘Mijn werknemer heeft een link in een phishingmail opengeklikt’, krijg ik dan te horen. In 90 procent van de gevallen is dat niet de echte reden, weet ik uit ervaring. Want stel dat de hacker met zo’n phishingmail de gebruikersnaam en het wachtwoord van de werknemer weet te bemachtigen, wat kan hij er dan mee aanvangen? Om echt aan de slag te gaan heeft een hacker de gegevens nodig van de systeembeheerder, de zogenoemde administrator. Die is gemachtigd om bijvoorbeeld software te installeren op het IT-systeem van het bedrijf. Kleinere bedrijven geven die taak vaak in handen van hun IT-providers. Welnu, op het dark web zien wij voortdurend paswoorden circuleren waarmee de administrators van IT-providers inloggen op netwerken van bedrijven. Hackers kunnen die paswoorden bemachtigen via spionagesoftware die ingebed zit in de programma’s die de administrators installeren bij de bedrijven. De helft van de cyberaanvallen is terug te brengen tot het werk van zulke password stealers.”
Welke andere methoden hebben hackers nog?
BAUDEWIJNS. “Een groot probleem zijn kwetsbaarheden in applicaties die bereikbaar zijn via het internet. Als die geen update gekregen hebben met de nieuwste software, zitten er lekken in. Dan worden die applicaties een potentieel doelwit voor hackers. Die weten hoe ze kwetsbaarheden moeten gebruiken om de gegevens van de administrator uit de applicaties te halen. Vroeger hadden we twee tot zes dagen om zo’n kwetsbaarheid ongedaan te maken vooraleer de cybercriminelen opdagen. Vandaag is dat enkele uren. Van zodra de kwetsbaarheden gepubliceerd zijn, rest ons ongeveer 4 uur tijd.”
Hoezo, worden kwetsbaarheden dan gepubliceerd?
BAUDEWIJNS.“Jazeker. Het platform Shodan bijvoorbeeld scant elke 24 uur elk IP-adres ter wereld, en toont ook de kwetsbaarheden achter elk van die adressen. Dat maakt het platform tot een dankbaar instrument voor hackers. Op Shodan kun je bijvoorbeeld zien dat vandaag wereldwijd 1,3 miljoen bedrijven onderhevig zijn aan de kwetsbaarheid met CVE-code 2022 2065 (CVE staat voor Common Vulnerabilities and Exposures, een referentiesysteem van de Amerikaanse overheid, nvdr). Uiteraard is een hacker niet geïnteresseerd in een Indonesisch bedrijf met die kwetsbaarheid, want daar valt meestal geen geld te rapen. De hacker zal zich bijvoorbeeld focussen op West-Europa. In België lijden momenteel 2.585 bedrijven aan kwetsbaarheid 2022 2065.”
Die bedrijven zijn op de hoogte van het probleem, hoop ik?
BAUDEWIJNS. “Zij krijgen een brief van de bevoegde diensten van de Belgische overheid, in dit geval het Centre for Cybersecurity Belgium. Nu, kwetsbaarheid 2022 2065 dateert al van drie jaar geleden. De meeste bedrijven zullen intussen een update van hun systeem doorgevoerd hebben, waardoor ze beschermd zijn. Ik vrees echter voor kleine bedrijven met tien tot vijftien pc’s in huis. Het moet wel gezegd dat veel van die 2.585 bedrijven in werkelijkheid zogenoemde honeypot-systemen zijn, netwerken waar doelbewust kwetsbaarheden in gebouwd zijn om cybercriminelen aan te trekken. Zo kunnen wij monitoren hoe hackers te werk gaan.”
Krijgt u hackers soms te pakken?
BAUDEWIJNS. “Dat is het moeilijkste. Als een bedrijf gehackt wordt, traceren wij de oorsprong van het verdachte netwerkverkeer, en komen zo in landen als Rusland terecht. Daar stopt het, want de Russische overheid zal geen data over haar binnenlands internetverkeer delen. Een andere manier om cybercriminelen te vinden is follow the money. Het gehackte bedrijf verstuurt het vereiste bedrag aan bitcoins naar de hackers, die de bitcoins vervolgens in dollars omzetten in oorden als de Seychellen. Maar ook dat land deelt geen gegevens. Hackers weten dus perfect in welke landen ze moeten zijn. Als hackers gevat kunnen worden door instanties als Europol of Interpol, was dat steeds na een zoektocht van een half jaar tot een jaar, dankzij de samenwerking van de overheid van heel wat landen.”
Hebt u ooit hackers kunnen pakken?
BAUDEWIJNS. “Neen. Wij kunnen nochtans de betaalde bitcoins traceren. Maar je zou ervan versteld staan hoeveel bedrijven dat niet willen. Zij zeggen: ‘Het is een dure les geweest, en verder willen wij met die hackers niks meer te maken hebben.’ Die bedrijven zijn bang dat getraceerde hackers opnieuw zouden kunnen toeslaan, en willen daarom met rust gelaten worden.”
Boekt de strijd tegen cybercriminaliteit vooruitgang? Of zullen de cybercriminelen altijd een stapje voor zijn?
BAUDEWIJNS. “De criminelen hebben vandaag een lichte voorsprong. Dat is altijd zo geweest. In het andere geval was er geen cybercriminaliteit meer. De criminelen hebben één voordeel op de beveiligers: tijd. Hackers kunnen hun tijd nemen om een kwetsbaarheid te zoeken. Als ze die kwetsbaarheid gevonden hebben, zullen ze die zo lang mogelijk exploiteren, tot de softwareleverancier een update levert.”
Zal artificiële intelligentie de cybercriminelen sterker maken, en hopelijk ook de cyberbeveiligers?
BAUDEWIJNS. “Allebei. Dat zien we vandaag al. Leveranciers van firewalls en van antivirussystemen bijvoorbeeld gebruiken artificiële intelligentie (AI) om hun systemen beter met elkaar te laten praten, wat tot krachtiger resultaten leidt.”
Zal artificiële intelligentie de cybercriminaliteit democratiseren? Kan ik als ICT-leek niet gewoon aan een chatbot vragen om de zwakheden in de software van een bedrijf op te sporen en vervolgens een geschikt computervirus te ontwerpen?
BAUDEWIJNS. “Zo eenvoudig gaat dat niet. Artificiële intelligentie levert geen kant-en-klare pakketten voor hackers. Al gaan we daar wel naartoe, denk ik. Ook voor de IT-manager die zwakke plekken in het bedrijfssysteem wil opsporen, levert AI geen kant-en-klare pakketten. Want cyberbeveiliging blijft een speciale sporttak. Een IT-er zonder diepe kennis van beveiliging zal de resultaten van een veiligheidscheck met behulp van een AI-tool niet goed kunnen interpreteren.”
Zal het niet altijd een ongelijke strijd blijven? De hacker moet slechts één gaatje in het systeem vinden, terwijl het bedrijf zich op een veelvoud van risico’s moet voorbereiden.
BAUDEWIJNS. “Dat klopt. Een hacker kan zich specialiseren, terwijl een bedrijf soms tot 500 toepassingen op zijn netwerk moet beveiligen en regelmatig updaten. Het is een moeilijke strijd, en dat zal altijd zo blijven.”
