Een heuse cyberoorlog is iets waarmee we in de toekomst rekening moeten houden. Cybersecurityspecialist bij DNS Belgium, Kristof Tuyteleers legt uit wat de mogelijke gevolgen zijn en hoe je je als burger of als bedrijf kan wapenen tegen een grootschalige cyberaanval.
Kunnen we ons als gewone burgers beschermen tegen de gevolgen van een cyberoorlog?
Kristof Tuyteleers: "Net zoals bij een traditionele oorlog wordt een cyberoorlog boven de hoofden van gewone burgers gevoerd. Bij een fysieke oorlog kan je het oorlogsgebied ontvluchten. Dat kan niet in een cyberoorlog. Onze wereld is digitaal en er is immens veel aan het internet gekoppeld.
We zien dat bij een cyberoorlog vaak nutsvoorzieningen en publieke infrastructuur het doelwit zijn om een maatschappij of een land te destabiliseren. Daar kan je je als individu niet tegen wapenen. Manipulatie van democratische verkiezingen door buitenlandse overheden is ook populair als het gaat om cyberwarfare.
Europa lanceerde wetgevende initiatieven zoals NIS, NIS2 en de Cybersecurity Resilience Act. Het doet dat om bedrijven en overheden ertoe aan te zetten alles zo goed mogelijk te beveiligen en om onze digitale samenleving cyberweerbaar te maken.
Je kan erop rekenen dat alle vitale aanbieders al het mogelijke doen om hun dienstverlening voldoende veerkrachtig uit te bouwen. Om cyberaanvallen te weerstaan en de onderliggende infrastructuur snel terug online te brengen als ze worden aangevallen."
"Afhankelijk van je doel, kies je een ander wapen uit. Je gebruikt ook een ander wapen om een tank uit te schakelen dan om een vliegtuig neer te halen. Bij cyberwarfare is dat net hetzelfde."
Is het mogelijk dat cyberwar ook in de huiskamers gevoerd wordt door bv. geconnecteerde toestellen te blokkeren of via die toestellen burgers te bespioneren?
"Dat hangt eigenlijk af van wat je wil bereiken en hoe zichtbaar zo’n aanval mag zijn. Bij cyberspionage wil je onder de radar blijven, dan is het niet zo slim om op grote schaal gebruikerstoestellen te hacken. Als het vooral gaat om spierballengerol en dreiging, is het belangrijker om te laten zien dat je over die (cyber)wapens beschikt dan ze daadwerkelijk in te zetten. Het afschrikeffect primeert.
Als het doel inderdaad is om de maatschappij te ontwrichten, dan zijn IoT-toestellen zoals thuisrouters en dergelijke zeer interessante toestellen om te hacken. Ze worden nog te vaak met onveilige instellingen geleverd en zijn niet altijd makkelijk te updaten, waardoor securityproblemen niet of nauwelijks opgelost geraken. De gebruiker weet vaak niet dat het toestel gecompromitteerd is.
Maar als je een samenleving wil ontwrichten, heb je veel digitale vuurkracht nodig. Hoe meer apparaten met een internetverbinding, hoe groter de aanval kan zijn. Als je bijvoorbeeld een internet service provider wil platleggen, is een DDOS-aanval een doeltreffende strategie. Dan is het doel echt om de dienstverlening van die ISP te verstoren en niet om bijvoorbeeld data te stelen.
Afhankelijk van je doel, kies je dus een ander wapen uit. Je gebruikt ook een ander wapen om een tank uit te schakelen dan om een vliegtuig neer te halen. Bij cyberwarfare is dat net hetzelfde."
Kristof Tuyteleers, CISO DNS Belgium
Wat moeten we dan doen mocht er een cyberwar uitbreken? Onze accounts verwijderen en zo veel mogelijk geld uit de bankautomaat halen?
"Een bankrun lijkt me niet zo zinvol. Wanneer een natie een cyberaanval sponsort, is dat vaak om de (digitale) samenleving te verstoren. Dus door al je geld van de bank te halen, speel je in de kaart van de aanvallers. Het enige wat je eigenlijk kan doen als burger, is de cyberstorm uitzitten. Er gebeuren nu ook incidenten waar niet breed over gecommuniceerd wordt. Omdat er op tijd wordt opgetreden, diplomaten achter de schermen ingrijpen, de impact beperkt is of omdat de aanvallen simpelweg niet gedetecteerd worden.
Er zijn allerlei doemscenario’s te bedenken waarbij burgers ook fysiek gevaar lopen. Denk maar aan cyberaanvallen die bijvoorbeeld een nucleaire reactor laten smelten of een stuwdam laten overstromen in een dichtbevolkt gebied. In het scenario waarbij het internet volledig wegvalt, is het vooral veilig om thuis te blijven en offline te gaan."
"Als burger moet je erop vertrouwen dat de ontwikkelde rampenplannen en de nodige overheidsinstanties hun werk zullen doen."
Dat klinkt behoorlijk catastrofaal. Is er reden tot paniek?
"Als burger moet je erop vertrouwen dat de ontwikkelde rampenplannen en de nodige overheidsinstanties hun werk zullen doen. Onze overheid richtte bijvoorbeeld het nationaal crisiscentrum en het centrum voor Cybersecurity in België op. Deze organisaties werkten een noodplan uit, samen met de energieleveranciers van ons land.
De werking en maturiteit van noodzakelijke diensten, zoals DNS Belgium, moeten vertrouwen geven. Er is steeds meer wetgeving die daarop inspeelt. Bedrijven moeten aan een groot aantal beveiligingsregels te voldoen. Dit zijn zowel algemene controlemaatregelen zoals de ISO 27001-norm of het NIST cybersecurity framework, als zeer sectorspecifieke beveiligingsconfiguraties voor producten en diensten. De overheid ziet hierop toe met bijvoorbeeld audits die de cyberhygiëne controleert bij essentiële diensten. Denk dan aan transport, nutsvoorzieningen, de financiële sector en veel meer."
Kan je een paar tips geven voor bedrijven om zich beter te beschermen tegen de dreiging van een cyberoorlog?
"Je kan je als bedrijf niet anders wapenen tegen een cyberoorlog dan tegen cybercriminelen. Maar de uitdaging wordt wel groter. Er zijn regimes die hackers haast ongelimiteerde financiële en technische middelen aanbieden om gerichte aanvallen uit te voeren op een andere natie. Ze werken nauw samen met cybercriminelen of hebben zelf een hele batterij staatshackers op de loonlijst. Ze zijn ook heel actief in de handel in zero-day exploits. Dat zijn bugs in software die nog niet gemeld werden of waar nog geen patch voor beschikbaar is. Als je doelwit bent van zo’n regime strijd je met ongelijke wapens.
Realistisch gezien kan je bijna niet vermijden dat je vroeg of laat gecompromitteerd wordt. Maar dat wil niet zeggen dat je niet alles in het werk moet stellen om de kans dat het gebeurt en de impact zo klein mogelijk te houden.
Alles begint bij de basisbeveiliging. Systemen en software moet je up-to-date houden, je moet alles monitoren, je moet weten wat de normale en afwijkende patronen zijn. De noodherstel- en continuïteitsplannen die je maakt, moeten erop gericht zijn de kritische data en diensten terug online te krijgen binnen een tijdsbestek dat aanvaardbaar is voor de onderneming.
Binnen een sector moeten bedrijven de krachten bundelen om slimmer en efficiënter te zijn op het vlak van cyberbeveiliging. Je wint erbij om samen beveiligingsstandaarden en -procedures uit te werken en informatie uit te wisselen.
Ten slotte is het belangrijk om een goed crisisplan op te stellen en jaarlijks te controleren of het nog voldoet. Vaak vergeten bedrijven om bewijsmateriaal (logbestanden en forensische kopieën) veilig te stellen. De dienstverlening of productie zo snel mogelijk operationeel krijgen is topprioriteit, maar wat als dat ten koste gaat van het vernietigen van alle digitale inbraaksporen?"
Bij wie kunnen bedrijven terecht als ze het slachtoffer zijn van een aanval?
"Je gaat best al preventief op zoek naar een externe partner met relevante expertise en vaardigheden. Misschien heeft je sector wel een security werkgroep, een cyber emergency response team (CERT) of een ander kenniscentrum waarop je kan terugvallen.
Ook sectorale toezichthouders en CCB/CERT.be zijn belangrijk wanneer zich een incident voordoet. En overheidsinstellingen kunnen vaak helpen met informatie over de dreiging en met praktische richtlijnen op basis van eerdere incidenten die ze onderzochten. Je staat er als bedrijf niet alleen voor. Maar zorg dat je nu al weet bij wie je terecht kan."
Waarop moeten specialisten in cybersecurity focussen?
"In de eerste plaats op het identificeren en begrijpen van de bedreiging. Weet wat de kroonjuwelen van het bedrijf zijn, wat de grootste cyberrisico’s zijn en wie de belangrijkste aanvallers kunnen zijn. Het profiel van een aanvaller varieert: cybercriminelen, hacktivisten, script kiddies, staatshackers enzovoort. Met al die informatie kan je een grondige risicoanalyse doen en gepaste cybersecuritymaatregelen doorvoeren.
Cybersecurity evolueert zo snel dat je dat als cybersecurityspecialist nooit in je eentje kan bijbenen. Er zijn heel wat mensen in de security-community bereid om hun ervaringen en kennis te delen, maak er gebruik van. DNS Belgium neemt actief deel aan nationale initiatieven van de Cyber Security Coalition en Beltug. Zij houden themavergaderingen en publiceren zeer nuttige informatie over cybersecurity voor hun leden. Ook het CCB publiceert handige documenten met handvatten voor bedrijven. Ik vind dat je gebruik moet maken van deze schat aan kennis. Zo hou je meer tijd over om je te focussen op de specifieke maatregelen die de infrastructuur en de data van jouw bedrijf beter beveiligen."
Wat is je conclusie?
"Cybersecurity is een soort continue wapenwedloop tussen de hackers en de beveiliging. Dat is een strijd die nog wel even zal voortduren. Extra wetgeving en goeie samenwerking tussen de overheid en de bedrijfswereld zal er hopelijk voor zorgen dat wij uiteindelijk aan het langste eind trekken."
Meer lezen over cyberoorlog
-
-
Interview
Is België voorbereid op een aanval met militaire cyberwapens?
Oorlog speelt zich niet alleen op het slagveld af, maar ook in cyberspace. In ons land houdt het CCB alvast meer dan een oogje in het zeil. -
Interview
Verdrag over cyberoorlogen
Moeten we de Verdragen van Genève, goedgekeurd in tijden waarin oorlogen 'traditioneel' werden gevoerd, aanpassen aan de nieuwe realiteit van de cyberoorlog? -
Interview
Samenwerking publieke en privésector is essentieel
Europa en België in het bijzonder zetten veel menselijke, technologische en financiële middelen in om de strategie voor cyberbeveiliging 2.0 te implementeren. -
Hoe staat het met cybersecurity in België en wereldwijd?
We leggen aan de hand van een infographic uit wat de staat is van cybersecurity in België en de wereld.