Zowel de gewone gebruikers als de overheid en bedrijven worden het slachtoffer van cybercriminaliteit. Dat is een feit. De economische crisis maakt de strijd ertegen nog moeilijker.
Cybercriminelen zijn zo goed geworden dat ze hun buitgemaakte data in bulk doorverkopen aan nog beter uitgeruste partijen, bijvoorbeeld de overheid. “Ze bemachtigen zo veel data dat ze het niet meer alleen kunnen verwerken en analyseren”, zei de topman van beveiligingsexpert RSA Art Coviello onlangs.
Toch verdienen cybercriminelen grof geld met internetoplichting, het stelen van informatie en andere misdrijven. Jaarlijks bedraagt de wereldwijde buit honderden miljarden euro’s, zelfs volgens de laagste schattingen. “Alleen al met de diefstal van intellectuele eigendom zorgen cybercriminelen voor de grootste transfer van welvaart die de wereld ooit heeft gezien”, zei generaal Keith Alexander van het National Security Agency, het Amerikaanse elektronische spionageagentschap, een jaar geleden in een speech.
Computerlosgeld
Die uitspraak kreeg veel kritiek, omdat de generaal zich baseerde op cijfers van computerbeveiligingsbedrijven. Die bedrijven hebben er net als de generaal baat bij om de dreiging groter voor te stellen dan ze is. In geen enkel land weet men echt welke omvang cybercriminaliteit heeft. Veel zaken worden nooit gerapporteerd of blijven onopgemerkt. Maar zelfs voorzichtige schattingen leveren onheilspellende cijfers op.
De federale politie raamde de jaarlijkse kosten van cybercriminaliteit op 1 tot 3 miljard euro voor de Belgische economie in 2011. Binnenkort geeft ze cijfers voor 2012. Hoofdcommissaris van de Federal Computer Crime Unit (FCCU) Luc Beirens bevestigt dat de cybercriminaliteit blijft toenemen in ons land. “Het afgelopen jaar is het aantal meldingen van ransomware bijvoorbeeld spectaculair gestegen”, zegt Beirens.
“Mensen konden niets meer met hun computer doen, omdat ze zogezegd waren betrapt op illegaal surfgedrag. Ze konden pas weer normaal over hun computer beschikken als ze een boete betaalden via een kredietkaart. Een populaire versie van die kwaadaardige programma’s gebruikt het logo en de naam van de politie om goedgelovige gebruikers op te lichten. Daardoor kregen we heel veel vragen en meldingen binnen. Toen er een variant de ronde deed met het logo van auteursrechtenvereniging Sabam, lag de respons veel lager. ”
“Het is moeilijk een volledig beeld te krijgen”, gaat Beirens voort. “In ieder geval neemt cybercriminaliteit in al zijn vormen toe. Dat kan niet anders omdat onze economie meer afhankelijk wordt van computers en digitale communicatie. Het is onrustwekkend dat de georganiseerde misdaad er zo’n grote rol in speelt en dat cybercriminelen meer en meer bedrijven beginnen te viseren. Het bedrijfsleven staat er nog veel te weinig bij stil dat het niet alleen zijn financiële gegevens goed moet beschermen. Hackers hebben het ook gemunt op gegevens van klanten, prijzen of goederen. Cybercriminelen zoeken bijvoorbeeld naar bestelcodes, waarmee ze in naam van bedrijven goederen kunnen afhalen.”
Slordig beheer van software
Vaak exploiteren cybercriminelen zwakke plekken in de computersystemen van bedrijven. Zij doen dat door voortdurend en grootschalig de kwetsbaarheid van systemen te testen. Die zwakke plekken zijn meestal onbedoeld het gevolg van slordig beheer of fouten in de software. “Cyberspionage en criminaliteit spreken meer tot de verbeelding, maar fouten in computersystemen zijn op zich al een probleem. Door de complexiteit van de programma’s is het onvermijdelijk dat er fouten sluipen in de broncode”, zegt Christian Van Heurck van het Belgische Computer Emergency Response Team (CERT). Elk land heeft zo’n CERT, dat hulp biedt bij computerincidenten en ook aan preventie doen.
CERT is in België een onderdeel van Belnet, dat de netwerkinfrastructuur van de federale overheid en verbonden organisaties beheert. Ze is bezig met een nieuwe aanpak van alle cyberveiligheidsproblemen. Het beleid valt onder de bevoegdheid van premier Elio Di Rupo..
Er is ook al een overlegplatform op federaal niveau, waar ICT-organisaties en de veiligheidsdiensten geregeld bij elkaar zitten. De federale regering wil nu een Centrum voor Cyber Security in België (CCSB) oprichten. Die nieuwe dienst zorgt voor de dagelijkse uitvoering en opvolging van het cyberveiligheidsbeleid. Het zou bestaan uit twintig specialisten en het budget zou 3,7 miljoen euro bedragen. Dat is nog niet in de begroting gepland. Een van de scenario’s is middelen van de betrokken departementen samen te voegen.
Het lijkt misschien dat de overheid cyberveiligheid verwaarloost, omdat het nu pas een overkoepelend orgaan opricht. Maar op veel vlakken is de afgelopen tien jaar veel vooruitgang geboekt. Smals, de ICT-organisatie van de Belgische sociale zekerheid en gezondheidszorg, heeft bijvoorbeeld een eigen geavanceerde standaard voor de beveiliging van de data en de processen van de aangesloten diensten. Dat is erg belangrijk, want het gaat om veel en erg gevoelige gegevens van alle burgers en ook van Belgische bedrijven.
Dat neemt niet weg dat de begrotingsperikelen zware hoofdbrekers veroorzaken. Alle departementen moeten besparen, en dus ook de ICT-afdelingen die belast zijn met het onderhoud en de beveiliging van de systemen. Beveiligingsexpert Trend Micro organiseerde onlangs een congres over cyberveiligheid bij de Belgische overheid. Tijdens het debat werd meermaals duidelijk dat de besparingen heel wat ICT-overheidsmanagers met een handicap opzadelen.
Geen nodeloze paniekvoetbal
Tijdens dat debat werd ook duidelijk dat we ons geen illusies moeten maken. Veiligheidsincidenten zijn niet uit te sluiten. Daarom zijn we beter voorbereid op het ergste. Maar het is voor de ICT-diensten ook niet gemakkelijk om voldoende geld en mankracht te vinden voor de opmaak van die cyberrampenplannen. Dat die broodnodig zijn, werd vorig jaar nog geïllustreerd, toen bleek dat bij de vervoersmaatschappij NMBS-Europa een tijd een bestand met gegevens van 700.000 klanten niet afgeschermd was. Behalve een sanctie van de Privacycommissie kreeg de afdeling van NMBS ook veel kritiek voor de gebrekkige communicatie en haar aanpak.
Een bijkomende stimulans om die crisisplannen op te stellen, komt van Europa. Organisaties in de privé- en in de publieke sector worden verplicht om ernstige cyberveiligheidsincidenten en verliezen aan gevoelige gegevens bekend te maken. Anders riskeren ze zware sancties. In de Verenigde Staten is zo’n regelgeving al van kracht.
“Het is positief dat die verplichting er komt”, zegt Van Heurck. “Dankzij die transparantie krijgen we een beter zicht op de problematiek. Maar de regelgeving mag ook niet te streng worden. Het is niet de bedoeling dat organisaties afgeschrikt raken of nodeloos paniekvoetbal spelen. Ze moeten zich ook de tijd gunnen om de situatie zo goed mogelijk in te schatten. Door de complexiteit van de systemen is dat vaak een enorme uitdaging.”
STIJN FOCKEDEY
“De cybercriminaliteit neemt toe. Dat kan niet anders omdat onze economie meer afhankelijk wordt van computers en digitale communicatie” Luc Beirens, federale politie
Fout opgemerkt of meer nieuws? Meld het hier