Cybersecurity: een zaak van ons allen

Dit is de ingekorte versie, lees het volledige artikel hier.

In het huidige tijdperk staat cybercriminaliteit in bijna elke organisatie hoog op de agenda. In de financiële sector is dat niet anders. 360° toonde zich van haar nieuwsgierigste kant en vuurde een resem vragen af op drie experts: Miguel de Bruycker (Centrum voor Cybersecurity België), Walter Coenraets (Federal Computer Crime Unit) en Jan De Blauwe (Febelfin werkgroep Secursys). Is cyberbeveiliging een positief verhaal in België? Wat kan beter? Hoe kunnen we verantwoord omgaan met nieuwe technologieën zoals de blockchain?

Binnen cybercriminaliteit worden meestal niet de systemen geviseerd maar wel de gebruikers …

Walter Coenraets (WC): “Het is inderdaad zo dat vaak de zwakste schakel in het systeem aangevallen wordt. Meestal is dat de eindgebruiker of consument. Bij gesofisticeerde aanvallen op bedrijfssystemen geldt dat evenzeer: fraudeurs proberen niet in te breken in die zeer goed beveiligde servers maar vallen de gebruikers aan. Ze zoeken de gemakkelijkste weg.”

Is die eindgebruiker voldoende gesensibiliseerd?

Miguel de Bruycker (MDB): “Als criminelen gebruik maken van social engineering* en phishing*, misbruiken ze puur het vertrouwen van ons allemaal. Zonder een zekere mate van vertrouwen kunnen we niet functioneren. Vaak voelen we als mens wel intuïtief aan dat er zaken zijn waar we voor moeten opletten. Ik kwam daarnet het station uit en iemand duwde mij een krantje in mijn handen … Dan weet ik wel dat dat waarschijnlijk geen gratis krantje is (lacht). Dat mechanisme is bij iedereen ingebouwd. Alleen is het internet zo snel gegroeid dat die mechanismen niet mee geëvolueerd zijn.”

WC: “We zien ook dat een sensibiliseringsboodschap voortdurend herhaald moet worden. Het is vaak ‘het ene oor in en het andere weer uit’. De grote uitdaging is consequentie: nu is er eens een promotiecampagne hier, dan weer een awareness campagne daar, daarna ebt het weer weg. De boodschap komt te versnipperd aan.”

Is de financiële sector voor de overheid een prioritaire sector wat betreft cyberveiligheid?

Jan De Blauwe (JDB): “Er zijn enkele kritische sectoren waarin de potentiële economische schade zeer groot kan zijn en waarbij het nuttig is dat de overheid een normerende rol op zich neemt: bv. de medische sector, de energiesector, de transportsector en de financiële sector. Sommige initiatieven zoals de Cyber Security Coalition hebben tot doel om die verschillende sectoren dichter bij elkaar, maar ook dichter bij de overheid, de academische sector en publieke sector te brengen. Ik ben ervan overtuigd dat we op sommige punten, zoals awareness, van elkaar kunnen leren.”

“Fraudeurs zoeken steeds de gemakkelijkste weg” – Walter Coenraets

WC: “Alleen al om je bereikte publiek zo groot mogelijk te maken, is het een goed idee om de krachten te bundelen. Kijken we naar de kritische sectoren, dan denk ik dat we ook de bedrijven moeten targetten die heel veel data verzamelen. Ook daar is het cruciaal dat er niets misloopt - zowel voor de onderneming zelf als voor het vertrouwen van het publiek.”
 

Waar plaatsen jullie de Belgische benadering van cybersecurity in Europa?

JDB: “Ik denk dat we wel fier mogen zijn op waar we staan. We hebben in België een lange traditie van elektronisch bankieren waardoor de penetratiegraad zeer hoog is en er qua cybersecurity veel maturiteit is. De toezichthouder heeft op een intelligente manier samengewerkt met de sector en ambitieuze, maar haalbare doelstellingen afgekondigd. Hoewel we tussen 2012 en 2014 een fraudegolf gehad hebben - daar voelen we nog een kleine naschok van - heeft dit nooit de omvang gehad van wat er bv. in Nederland of Frankrijk gebeurd is. Een voordeel is misschien wel dat we een vrij klein land zijn met taalbarrières. Vanuit het standpunt van de fraudeurs is België niet de meest interessante ‘markt’.”

WC: “De fraudeurs concentreren zich vaak eerst een tijdje op Nederland, verkassen dan naar België en nemen vervolgens Frankrijk in het vizier. Ondertussen absorberen ze nieuwe aanvalstechnieken en kiezen ze alweer een volgend land uit. Waar we in 2012 een piek met phishing hadden, zien we ondertussen een verschuiving naar ransomware* en bedrijven als slachtoffers.”

“We zijn een klein land met taalbarrières. Voor een fraudeur is België daardoor niet de meest interessante markt” – Jan De Blauwe

WC: “Wat de benadering van cybersecurity betreft: wij zouden graag een Europese harmonisering zien in standaarden, opleidingen en certificeringen. Nu is er nog een groot verschil tussen landen zoals het VK en Nederland - waar heel sterk geïnvesteerd wordt - en een peloton van landen dat probeert aan te klampen, maar eigenlijk over te weinig middelen en mensen beschikt om dat adequaat te doen.”

Worden de fraudeurs voldoende opgespoord en gepakt?

MDB: (zucht) “Eerlijk? Dat is problematisch. Het is heel lastig om hen te vatten. Ze opereren ook bijna nooit vanuit België, dus je zit meteen met een internationale zaak. Dat maakt het erg moeilijk. Als ze al geïdentificeerd worden, is dat bijna altijd via internationale samenwerking.”

WC: “Ik krijg vaak telefoontjes van mensen die voor een paar honderd EUR zijn opgelicht op internet en zich afvragen of het de moeite is om klacht in te dienen. Ja, dat is zeker de moeite. Het klopt dat zo’n dossiers bij gebrek aan bewijs tegen een concrete ‘dader’ vaak geseponeerd worden, maar veel kleine zaakjes samen maken soms wel dat er plots grote lijnen zichtbaar worden en dat er op een bepaald moment elementen opduiken om achter een bende aan te gaan.”

Mag de eindgebruiker vandaag het nodige vertrouwen hebben in de bancaire technologie?

JDB: “Zonder twijfel. Ook de Nationale Bank van België speelt hier prominent haar rol, wat de sector verwelkomt. Het is enerzijds een extra pair of eyes, dat ons kan helpen om fouten aan het licht te brengen en anderzijds geeft dit toch ook een cachet. Het is dan wel geen echt certificaat maar het helpt om de marktacceptatie een zetje te geven.”

Als we het hebben over vertrouwen: hoe kijken jullie aan tegen de blockchain en de bitcoin?

MDB: “Ik denk dat dit soort technologieën onvermijdelijk zijn. We hebben er alle belang bij om ze zo correct mogelijk te implementeren. De blockchain* bestaat al sinds 2009. Ja, er zijn incidenten geweest. Ja, er zijn risico’s aan verbonden. Dat is bij elke financiële transactie en elk financieel systeem zo. Er zijn zeker nog uitdagingen zoals de volatiliteit van de munt, de bescherming van de elektronische wallets of de exchange centers die gehackt worden. Als we die onder controle krijgen, denk ik dat - zeker voor kleine betalingen - de bitcoin* of een andere virtuele munt bepaalde voordelen biedt en een bruikbaar systeem kan worden dat ook door banken ingezet wordt.”

Het ABC van de tekst:

* bitcoin: virtuele munt of cryptocurrency die in 2009 in het leven geroepen werd.

* blockchain: een openbaar digitaal grootboek waarin transacties van virtuele valuta of middelen, zoals bitcoins, worden opgeslagen, beheerd en gecontroleerd.

* Mt. Gox bitcoin exchange: Japans bitcoin platform dat in 2014 failliet ging na grootschalige fraude.

* phishing: een techniek waarbij fraudeurs persoonlijke gegevens en bancaire codes trachten te achterhalen. Vaak versturen ze hiervoor valse e-mailberichten in naam van de bank.

* ransomware: gijzelsoftware die uw pc-bestanden vergrendelt. Nadien wordt u gecontacteerd om “losgeld” te betalen.

* social engineering: een techniek waarbij een fraudeur mensen probeert te misleiden door in te spelen op typisch menselijke eigenschappen zoals vertrouwen, nieuwsgierigheid, naïviteit, hebzucht …

 

De technologie heeft ook al haar eigen fraudegevallen meegebracht, denk aan de hack van de Mt. Gox bitcoin exchange*.

WC: “Blockchains en bitcoins zijn veilig. Het zijn de platformen waar de wallets zich bevinden die soms niet genoeg beveiligd zijn. De blockchain technologie op zich wél. Je hebt nu ook nieuwe munten als Ethereal, die nog verder gaan dan bitcoin en waarmee je alle transacties kunt afhandelen: van de huur van je vakantiehuisje tot alle mogelijke aktes, zonder tussenpersonen en de bijhorende kosten. Dat zal veel efficiënter gebeuren dan de manier waarop het nu gebeurt.”

JDB: “Het grotere potentieel bevindt zich in het onderliggende distributed ledger mechanisme, waar de blockchain een voorbeeld van is, eerder dan de cryptomunten. De blockchain heeft twee grote voordelen. Je hebt eerst en vooral geen centrale overheid nodig om een grootboek te raadplegen want die zit in het systeem verspreid en is voor iedereen te consulteren. Het tweede voordeel is dat de technologie toelaat om een vertrouwensproces op te bouwen tussen partijen die elkaar niet kennen. Settlement is daar een mooi voorbeeld van. Asset transfers die in sommige markten nog via tussenpersonen verlopen en daardoor traag zijn: dat is typisch iets waar de blockchain inzetbaar kan zijn.”

Die nieuwe technologieën kunnen ook de aanzet vormen tot een cashloze maatschappij, zoals Scandinavië er al bijna één is.

JDB: “België zit in de kopgroep in het afbouwen van cash, meer dan bv. Duitsland, Italië of de Oost-Europese landen. Sommige consultants stellen dat je honderd elektronische transacties per jaar per persoon moet doen om een bepaalde appreciatie te creëren die naar de afbouw van cash leidt. In België zitten we daar al over.”

Over kopgroepen gesproken: met onder meer SWIFT en Euroclear speelt België een hoofdrol inzake financiële spitstechnologie. Maken we wel genoeg gebruik van deze kennis om economische activiteit op te bouwen?

MDB: “Ik denk dat de overheid dit nog verder kan stimuleren. Wij proberen de verschillende actoren daar ook bewust van te maken. Voor kmo’s bijvoorbeeld zijn we webinars aan het ontwikkelen: kleine, gratis online cursussen voor de CEO van maximaal een kwartiertje of twintig minuten. Zo’n cursus kan de CEO helpen om te beslissen hoe hij nu eigenlijk aan risicobeheer moet doen in zijn organisatie.”

JDB: “België is een voortrekker geweest op het vlak van digital identities. Onze overheid was daar al zeer vroeg mee bezig; misschien zelfs té vroeg, waardoor het gebruik van de eID nooit zijn volledig potentieel heeft kunnen waarmaken. Ook qua encryptie hebben we al goede dingen laten zien. Een van de meest gebruikte encryptiealgoritmes ter wereld is ontwikkeld in België. De uitdaging is nu om de financiële spitstechnologie te verpakken, samen met een aantal cybertechnologieën, zodat ze relevant wordt voor de eindgebruiker en hem voldoende gerust weet te stellen. De vraag is dan natuurlijk: ga je dat zelf ontwikkelen of aankopen en integreren in een gebruiksvriendelijke oplossing?”

Wat is voor jullie in cybersecurity de Black Swan? Datgene wat niemand had zien aankomen, maar dat, misschien over enkele jaren, toch gebeurd is?

JDB: “Een virus, op maat gemaakt door een buitenlandse mogendheid, dat erin slaagt om een structurele infrastructuur, die in het slechtste geval ook nog eens door verschillende banken gedeeld wordt, te infiltreren en er controle over weet te nemen.”

WC: “Terroristen of zelfs klassieke criminelen die vitale infrastructuren aanvallen.”

MDB: “De proliferatie van cyberwapens: de nog onbekende impact van de ontwikkeling en het gebruik van zeer complexe cyberwapens als die op een bepaald moment in handen vallen van criminelen en beschikbaar komen voor terroristen. Wanneer onze kritieke infrastructuur meer en meer afhankelijk wordt van centrale systemen op het internet, worden de tools die in staat zijn om zo’n structuren aan te vallen, mogelijks beschikbaar gesteld aan mensen met zeer slechte bedoelingen.”

Jan De Blauwe:

  • Sr. Manager bij BNP Paribas Fortis
  • Voorzitter van Secursys, de Febelfin werkgroep die cybersecurity van dichtbij opvolgt binnen de banken-leden

Miguel de Bruycker:

  • Directeur van het Centrum voor Cybersecurity België (CCB) dat - onder de FOD Kanselarij van de Eerste Minister - instaat voor het opsporen, het observeren en het analyseren van online veiligheidsproblemen, alsook het permanent informeren van de gebruikers

Walter Coenraets:

  • Hoofd van de FCCU (Federal Computer Crime Unit), een onderdeel van de Federale Politie dat op nationaal niveau instaat voor de bestrijding van ICT-criminaliteit