De strijd om meer cyberveiligheid kan beginnen, nú!

We zitten met zijn allen in de digitale achtbaan. En het uitdagende eraan? Die baan vaart steeds sneller. De digitale rollercoaster waarin we ons bevinden, raast in loops van je welste voorbij. Keerzijde ervan? De ritjes duren almaar korter! En vooral: ‘Is het nog wel veilig?’

De digitale transformatie verloopt met de dag in versneld tempo. Het gebruik van digitale tools en slimme apparatuur, IoT, City of Things, AI biedt overheid, bedrijf en burger almaar handiger troeven. Denken we hierbij aan sneller en efficiënter werken, altijd (digitaal) kunnen samenwerken, delen en communiceren, 24/7 bereikbaar én service aan de klant.

Digitalisering en nieuwe technologieën, het zijn dé sleutels tot succes om de mogelijkheden van de toekomst dichter bij vandaag te brengen om morgen de weg naar 'efficiënter' en 'beter' in te slaan.

Maar, zoals zovele mooie dingen heeft digitale transformatie ook zijn prijs. Met elke nieuwe ontwikkeling neemt de afhankelijkheid van technologie toe. Zonder ons bewust van te zijn of bij stil te (willen) staan, domineert technologie in mindere, wellicht meerdere mate ons dagelijks leven, thuis én op het werk. Die digitale achtbaan, er is geen stoppen noch uitstappen meer aan. 

Een verregaande digitalisering in versneld tempo is bovendien koren op de molen voor cybercriminelen. Dat steeds meer apparaten softwarematig worden aangestuurd via internet, betekent voor hen feest, een waar festijn om digitale kwetsbaarheden uit te buiten, aan de knoppen van het schakelbord te draaien en cyberaanvallen te lanceren.

Die digitale achtbaan... niet helemaal zonder gevaar dus. Afhankelijkheid van technologie brengt (cyber)risico's met zich mee. Of had je anders gedacht? Fasten your cyberseatbelt. Cyberveiligheidsgordels aan!

Sommige overheden en bedrijven staan op vandaag echter nog te weinig stil bij hoe digitaal kwetsbaar ze wel zijn. Eén simpele, foute muisklik of touch op het scherm is de afstand én de tijd om een overheid of bedrijf, zelfs kritische delen van de samenleving, te ontwrichten. Mogen de havens van Antwerpen en Gent recent getroffen door een grootschalige cyberaanval hiervan getuigen zijn. Anderen denken dan weer dat ze voor cybercriminelen niet belangrijk zijn. Onterecht! Elke onderneming in élke sector, overheid en privé, groot en klein, is een potentieel doelwit voor hackers of andere cybercriminelen. Elk, en met zijn allen moeten we daarom even hard opletten, waakzaam blijven, alert zijn.

Ondernemingen met een minder uitgewerkte cyberstrategie horen tot de grootste risicogroep om te worden aangevallen, schade op te lopen, in het slechtste geval niet te overleven. Cybercriminelen buiten met gemak en zonder empathie of terughoudendheid, want money time, hun digitale kwetsbaarheid uit. Valsspelen zonder daarbij zelf ontdekt te willen worden, dat is de sluwe tactiek in het schaakspel van de cybercrimineel. Cyberincidenten gaan daarom bijna altijd gepaard met vluchtmisdrijf, zonder afgifte van naamkaartje of zonder al te veel digitale sporen na te laten.

Cybercriminaliteit kost de wereldmarkt handen vol geld. In 2021 liep de schade op tot om en bij de zes biljoen dollar. Een cijfer haast zo hoog dat het geen betekenis meer (g)(h)eeft, omdat een modale sterveling, zoals u en ik, er zich nog nauwelijks iets kan bij voorstellen. Dat dit cijfer zowat overeenstemt met het bruto nationaal product van het Verenigd Koninkrijk en Frankrijk, draagt echter weinig aan het voorstellings- en bevattingsvermogen bij.

Wat schade door cybercriminaliteit aangaat, doet België niet onder. De Belgische overheden schatten de geleden schade op jaarbasis op bijna 1 procent van het bruto nationaal product (BNP), wat overeenkomt met 3,7 tot 4,5 miljard euro per jaar. In begrotingstermen uitgedrukt: ‘Dat kan tellen.’ Of voor de gewone mens in de straat of op café als u wilt: ‘Dat scheelt meer dan een slok op de borrel.’  De resultaten van onderzoek door de KU Leuven samen met het VBO en de Cyber Security Coalition dat peilt naar de kost en de invloed van cybercriminaliteit in België laten zien dat er voornamelijk drie in geld meetbare kostenposten zijn na een cyberaanval: aan de ene kant de personeelskost – de manuren die nodig zijn om het incident onder controle te krijgen en te herstellen –, aan de andere kant de materiële kosten – kapotte hardware of software, andere beschadigde goederen of data – en tenslotte de financiële verliezen, naar aanleiding van bijvoorbeeld het betalen een losgeld aan de aanvallers, het betalen van schadevergoedingen en eventueel boetes aan derden en de winstderving als gevolg van het stilliggen van de activiteiten. Een laatste schadepost, moeilijk in geld meetbaar, maar niet te onderschatten is de reputatieschade.

Cybercriminaliteit komt bovendien steeds vaker voor. Ook in België en dwars door Vlaanderen is die steile opmars aan de gang. Dit moet ons alarmeren, ons zorgen baren, vooral onze alertheid opschroeven. Toch blijft het moeilijk in te schatten hoe groot de cyberdreiging nu werkelijk in ons land is. Een mogelijke graadmeter is bijvoorbeeld het aantal meldingen dat binnenkomt bij het Centrum voor Cybersecurity België (CCB), de federale overheidsinstelling die waakt over de cyberveiligheid in ons land. Je kan hen beschouwen als een soort 'cyberbrandweer'. Elk jaar opnieuw stijgt het aantal cyberaanvallen naar nieuwe recordhoogtes. Dat aantal is de voorbije jaren fors gestegen. In 2018 telde die dienst nog 1.600 meldingen van cyberincidenten, een jaar later was dat aantal al meer dan verdubbeld tot 4.484. In 2020 kwam daar nog eens 66 procent bij: 7.433. Ook in 2021 waren er meer aanvallen dan het jaar voordien, wat van België het op vijf na meest cyberkwetsbare land maakt volgens een FBI-rapport. De centrale ligging en de status van ‘Brussel - Europese hoofdstad’ maken sommige in België gelegen bedrijven – de grote vissen – tot interessante, vette prooien. Niet enkel grote namen en vooraanstaanden krijgen een plaats in het register van betreurenswaardige slachtoffers. Ook ‘onbekende soldaten’ kunnen slachtoffer worden in de strijd tegen cybercriminaliteit.

Misschien vraagt u zich af: ‘Hoe gaan die cybercriminelen tegenwoordig te werk?’ of ‘Hoe zien ze eruit?’ 'Zijn ze wel van vlees en bloed, hebben ze een gezicht? 'Velen denken dan misschien aan de pukkelige tiener met een overschot aan IT-talent maar fout moreel kompas. De tiener omhuld met een overmaatse, donkere capuchon die ergens in een stoffige hoek op zolder of in een veel te vochtige kelder aan het hacken is, om binnen de clan van gelijkgestemden naam en faam te maken. Dat beeld klopt ten dele. Toch zijn cybercriminelen vandaag overwegend 'geweldig' professioneel en goed georganiseerd.  Hun speelterrein? Heel de wereld want cybercriminelen houden niet van landsgrenzen. Het verhaal van cybercriminaliteit is een internationaal verhaal. Sommigen opereren als world online marketeers. Ze maken zelfs reclame voor hun producten.  Je kan online take away hackingdiensten met een gewaarborgde slaagkans kopen.  Soms in de afslag met gegarandeerde korting. Aanvallen kunnen ook op bestelling worden uitgevoerd. Dat heet dan Hacking-as-a-service (HaaS). Service inbegrepen. Lonely wolfs en goed georganiseerde handige harry’s dus met net dat tikkeltje te veel aan duistere kennis van IT-systemen, met een meer dan criminele achtergrond om 'ú onwaardig' tegen te zeggen, en die van cybercriminaliteit een bijna feilloos businessmodel hebben gemaakt. Quasi ongemerkt, erg geduldig en met het vizier op de lange termijn schuimen cyberspionnen nauwkeurig, met grote precisie het wereldwijde web af, op zoek naar netwerken waar een digitaal (achter)poortje achteloos, per vergissing of uit vergetelheid (alweer) is blijven openstaan. Eens ze binnen zijn snuffelen ze rustig en gniffelend rond in de IT-systemen en bedrijfsdata en bepalen ze de meest efficiënte strategie en operaties om volgende fasen in de cyber kill chain aan te vatten. ‘Patience’ voor meer trefzekerheid is het geheim codewoord van hun spel. 

Vaststelling daarbij is dat niet zozeer het beveiligingsapparaat, zeg maar het verdedigings- en afweersysteem, van ondernemingen niet werkt. Vaak ontbreekt het gewoon simpelweg aan zo'n beveiligingsapparaat. Er staat geen beleids- en IT-equipe paraat met de nodige expertise om een doeltreffende cyberstrategie uit te werken. Laat staan deze te vertalen naar de operationele werking.  Logging en monitoring ontbreekt. Door een gebrek aan detectie blijven cyberincidenten onder de radar, worden ze nauwelijks gemeld of geregistreerd. Er ontbreekt dus een heleboel. Dat is vandaag in het slagveld van digitaal geweld een misser van formaat.

Als overheid of bedrijf moet je daarom beter voorbereid zijn op het feit dat je ooit zelf het slachtoffer van een cyberaanval wordt: 'Hoe reageer je daarop? Welke processen kunnen de invloed van een aanval inperken? Ligt er een cyberstrategie, actieplan, business continuity, recovery- en back-upplan klaar? Is dat getest en uitvoerbaar? Wie neemt wanneer de leiding? Wie staat in de frontlinie voor als dat echt nodig mocht zijn? En hoe leer je je medewerkers omgaan met de risico’s? Hoe overtuig je hen van gevaren, die ze niet (onmiddellijk) kunnen zien, maar wel aanwezig zijn, op de loer liggen?' Bij cybersecurity moet dus het volledige plaatje kloppen. Al deze elementen samen maken een overheid of bedrijf weerbaar tegen, veerkrachtig na een cyberaanval.

Het is echter een hardnekkig feit, een ijzeren wet dat als je je onderneming onvoldoende beveiligt, je makkelijker het doelwit wordt van cybercriminelen en het slachtoffer van hun aanvallen. Dat is echter geen noodlottigheid. Dat digitaal vuurpeloton moet niet ballistisch-fatalistisch worden ondergaan. Daar valt zeer zeker iets aan te doen. En dat door de strijd om meer cyberveiligheid een grotere prioriteit te geven en deze aan te gaan.

Reden tot paniek? Nog niet! Als er positiefs uit de vele cyberaanvallen van de voorbije jaren tot nu te rapen valt, dan is het wel de niet mis te verstane waarschuwing die daarvan uitgaat. Een 'wake-up call' om ons beter voor te bereiden. Maar, en voor diegenen die er nog aan zouden twijfelen, er is urgentie mee gemoeid. Als we er nu ons werk van maken, komen we wellicht niet te laat. Maar dan mogen we niet langer uitstellen. De strijd om meer cyberveiligheid kan beginnen, nú.

Kurt Penninck, Directeur Privacy & Security V-ICT-OR - Werkgroep Security.