Beeld Markus Spiske / Unsplash

Cyberoorlog

De oorlog van de toekomst is digitaal en wordt met onzichtbare wapens gevochten

De Australische premier Scott Morrison maakte deze week bekend dat zijn land al maandenlang systematisch het doelwit is van een gerichte en door een staat georganiseerde cyberaanval. Veel details wilde hij niet kwijt, maar de aanval zou gericht zijn op computersystemen van de overheid, essentiële diensten en een reeks grote bedrijven. Over wie er achter de aanvallen zit, hield Morrison zich op de vlakte, maar de verdenking gaat in de richting van China, een land waarmee Australië al langer op gespannen voet leeft.

Het is nogmaals de bevestiging van wat cyberexperts al lang (en nog al te vaak in de woestijn) roepen: de oorlog van de toekomst is digitaal en wordt niet langer met schietgeweren, bommen en granaten uitgevochten, maar met computervirussen, wormen, Trojaanse Paarden, logic bombs en andere onzichtbare wapens die essentiële infrastructuren, miljoenensteden en zelfs hele landen serieuze schade kunnen toebrengen of, nog erger, volledig stilleggen. Zelfs een cyberaanval waarbij een groot deel van de wéreld platgaat, is niet langer sciencefiction.

Wat staat ons nog allemaal te wachten? En hoe groot is de kans dat straks ook in België het licht uitgaat?

HUMO Hoeveel schade een cyberattack kan aanrichten bleek nog eens in 2017, toen de ransomware WannaCry de wereld rondging: de aanval trof naar schatting meer dan 200.000 computers in 150 landen. Onder andere de computersystemen van Deutsche Bahn, de Spaanse telecomreus Telefónica en de Britse National Health Service werden zwaar getroffen.

BART PRENEEL (cyberexpert en hoofd van de Afdeling Computerbeveiliging en Industriële Cryptografie aan de KU Leuven) «De vraag is wel of dat toen de bedoeling was. Voor zover we het kunnen reconstrueren, is het allemaal begonnen bij een oude fout in een Microsoftsysteem. Die fout zou gekend zijn geweest bij de NSA, het beruchte Amerikaanse National Security Agency, waarna ze er een exploit (een stukje software dat je in een andere computer smokkelt, red.) voor zouden hebben geschreven: EternalBlue. Die exploit zou vervolgens gestolen zijn door de Russen die hem in 2017 gebruikt zouden hebben bij een grote cyberaanval op Oekraïne. Daarna is die exploit verder gelekt. Wat misschien niet de bedoeling was, maar soms verspreidt software sneller dan je denkt.

»WannaCry heeft vooral mensen en bedrijven getroffen die nog op oude XP-systemen zaten en niet betaalden voor de updates. De gevolgen waren hoe dan ook zeer indrukwekkend: de totale kost wereldwijd werd door het FBI geschat op één miljard euro, maar je moet eens denken wat er zou gebeuren als iemand een zogenaamde zero day, dat is een nieuwe fout waar nog geen patch voor bestaat, in Windows 10 zou vinden. Dan spreken we niet meer over 200.000 maar over een paar honderd miljoen computersystemen die plat gaan. Dat zal onze beste dag niet zijn.»

HUMO Is dat een realistisch scenario?

PRENEEL «Het is zeker niet ondenkbaar. De kost zou in zo’n geval in de tientallen miljarden dollars lopen. Experts voorspellen al zeer lang dat zoiets kan gebeuren, maar blijkbaar gebeurt het niet. We weten dus niet waarom. Hebben we gewoon geluk gehad of is er een andere reden? Ik ben er eerlijk gezegd toch niet zo heel gerust in.

»Voorlopig zijn er nog niet echt grote incidenten geweest waarbij bijvoorbeeld de hele wereld een week zonder internet zit. Er heeft ook nog geen groot land een week zonder elektriciteit gezeten. Maar als we alles meer en meer digitaal gaan maken en niet voldoende in veiligheid investeren, zal er vroeg of laat zo’n groot incident zijn. De ervaring leert ook dat er dàn pas echt werk zal worden gemaakt van beveiliging. Blijkbaar was WannaCry niet voldoende om iedereen wakker te schudden, want ik heb sindsdien geen grote gedragsverandering gezien.»

HUMO Twee jaar geleden waarschuwde een Britse parlementaire commissie dat cyberaanvallen de grootste bedreiging voor de nationale veiligheid zijn, maar de Britse regering nog altijd niet gehaast leek om de kritische infrastructuren van het land afdoende te beschermen. De commissie drong er toen ook op aan om een minister van cybersecurity aan te stellen. Hoe zit dat bij ons? Ligt de overheid er hier genoeg van wakker?

PRENEEL «Vergeleken met onze buurlanden doen we het helemaal niet goed. We hebben historisch gezien zeer goeie expertise op het vlak van cybersecurity, maar bij de overheid is er toch wel een probleem. In onze buurlanden hebben overheidsinstellingen die zich met cyberveiligheid bezighouden honderden en zelfs duizenden mensen in dienst; bij ons moet het Centrum voor Cybersecurity het stellen met een kleine dertig mensen. Wij academici klagen dat al sinds de jaren negentig aan en inmiddels heeft men, na een aantal hacks, ook budget vrijgemaakt voor de CERT, het Computer Emergency Response Team. Die mensen doen zeer goed werk, maar ze hebben veel te weinig middelen. Dat wil niet zeggen dat àlles een ramp is. In de sociale zekerheid en de ziekensector is men redelijk goed bezig.»

HUMO De topman van het Centrum voor Cybersecurity maakt zich anders sterk dat vitale bedrijven in ons land – onder andere energiebedrijven, financiële instellingen en telecomoperatoren - voldoende gewapend zijn tegen cyberaanvallen.

PRENEEL «Ik vrees toch dat de Britse geheime dienst GCHQ, de NSA of landen als Rusland, Noord-Korea en China hier nog altijd kunnen binnendringen waar ze maar willen: zowel bij overheden als bij bedrijven. Daarover maken we ons best niet te veel illusies. Op dat vlak hebben we een grote achterstand ten opzichte van andere landen.»

HUMO Cybercrime kent geen grenzen. Moet de bestrijding ervan niet best op Europees vlak geregeld worden?

PRENEEL «Absoluut. Enkele jaren geleden heeft Europa gestipuleerd dat er meer werk moest gemaakt worden van cybersecurity, maar politiesamenwerking binnen Europa ligt zeer gevoelig. Als de Franse of Duitse politie, waar veel meer mensen op cybersecurity werken dan bij ons, een gesofisticeerd stuk malware heeft om pakweg in de iPhone van misdadigers in te breken, zullen ze dat zeker niet delen met de Belgen. Het risico bestaat namelijk dat het zal lekken. Dan zijn ze niet alleen hun tool kwijt, het kan dan ook tegen hun eigen bedrijven gebruikt worden. Samenwerking op dat vlak ligt dus zeer moeilijk. Europa heeft bovendien wel wetgeving voor politiediensten en hoe die moeten samenwerken, maar over veiligheidsdiensten heeft het niks te zeggen.»

HUMO Hoe goed die samenwerken, bleek ook in 2013, toen uitkwam dat de Britse geheime dienst Belgacom, zoals Proximus toen nog heette, had gehackt.

PRENEEL «In intelligentie zijn er geen bevriende naties. Iedereen probeert iedereen te hacken. De Belgen hebben overigens nooit formeel tegen die hack geprotesteerd. Wellicht uit vrees dat de Britten de samenwerking op andere vlakken op een lager pitje zouden zetten.»

HUMO Eugene Kaspersky, hoofd van het gelijknamige bekende veiligheidslab, waarschuwde voor de gevolgen als men niet voor internationale samenwerking zou kiezen. Dan riskeren we volgens hem een balkanisering van de cybersecurity waarbij het ieder voor zich is, en niemand zal winnen.

PRENEEL «Samenwerking is noodzakelijk, maar het probleem is dat men elkaar wantrouwt, en terecht. Er zullen ook altijd landen zijn die voorstaan op anderen en meer of betere cyberwapens hebben, zoals de V.S. en Groot-Brittannie. Zij hebben er natuurlijk geen belang bij om samen te werken. Wat ook meespeelt, is dat het land dat het meest geavanceerd is en de meeste digitale systemen heeft, en dat is op dit ogenblik de V.S., het kwetsbaarst is.»

HUMO Kaspersky maakte zich ook zorgen over de razendsnelle militarisering van cyberspace. Meer dan dertig landen hebben al gezegd dat ze een militaire cyberdivisie hebben, maar het werkelijke aantal ligt uiteraard nog veel hoger. Overal zit men naarstig cyberwapens te ontwikkelen die bestemd zijn voor eigen gebruik, maar die altijd vroeg of laat uitlekken en in de handen van criminelen terechtkomen.

PRENEEL «Het mooiste voorbeeld is EternalBlue, de exploit van de NSA die aan WannaCry werd gehangen en een hoop schade aanrichtte. Iedereen zit nu maar cyberwapens te fabriceren. Vroeg of laat moet dat wel slecht aflopen. Het is ook niet simpel op te lossen. Verder is het de vraag hoe verschillende landen die diensten superviseren. De NSA heeft tools waarmee het kan inbreken in iedere telefoon en elk bedrijf. Wie kijkt na wat voor tools zulke diensten ontwikkelen en wat ze daarmee doen? Dat lijkt me een heel belangrijke vraag. Anders dreigen die organisaties veel te machtig te worden. Vroeger kon je hun macht inperken door het personeelsbestand te verminderen, maar in het digitale tijdperk werkt dat niet meer. Cyberaanvallen kosten weinig, je hebt er weinig mensen voor nodig en je kan ze op grote schaal doen. Je moet er daarom goed op toezien wat die mensen doen.»

HUMO Als we het goed begrijpen, zijn politie- en inlichtingendiensten, die cybercrime zouden moeten bestrijden, er mee verantwoordelijk voor dat het probleem juist toeneemt?

PRENEEL «Daar komt het ongeveer op neer. Een aantal dingen zouden gewoon verboden moeten worden. Grote fouten in operating systems van basisinfrastructuur zouden onmiddellijk gemeld moeten worden aan de producent. Spionnen zullen de superwapens waar ze nu over beschikken nooit afgeven. Maar je kan hun activiteiten wel streng controleren. Liefst door mensen met de nodige expertise. Het Comité I bij ons bestaat uit zeer bekwame mensen, maar dat zijn oud-rechters die bepaald geen technologie-expert zijn. Die begrijpen niet wat de impact kan zijn van een lek in iOS. De hoorzittingen met Mark Zuckerberg in het Amerikaans Congres waren op dat vlak ook veelzeggend: de meeste senatoren bleken niet eens te snappen hoe Facebook werkt.»

HUMO China zou een hackersleger van meer dan honderdduizend man in dienst hebben dat echt overàl binnenraakt om informatie te pikken of systemen te verstoren of te ontregelen. En als je genoeg tijd en middelen uittrekt, is élk systeem te kraken. Zitten we, zoals de Nederlandse onderzoeksjournalist en cybercrime-expert Huib Modderkolk stelt, nu al volop in een – voorlopig onzichtbare - cyberoorlog?

PRENEEL «De Chinezen zijn niet de enigen, hé. Bij ons zijn er ook hackers in dienst van het leger. Maar cyberoorlog wordt inderdaad steeds belangrijker. De V.S. hebben voor het eerst toegegeven dat ze ermee bezig zijn en dat ze een aparte cyberforce willen oprichten. Dat is een ontwikkeling die niet te stoppen is. Men wijst nu naar China, maar andere landen doen het zelf ook, zij het op iets kleinere schaal. Al lijkt een leger van honderdduizend hackers me wel héél veel.»

HUMO Ondertussen zijn er steeds meer cyberaanvallen op landen. Rusland legde twee jaar geleden een deel van Oekraïne plat. En in 2007 en 2008 waren respectievelijk Estland en Georgië het doelwit van de Russen.

PRENEEL «Het probleem is dat je heel moeilijk kan bewijzen wie achter zo’n aanval zit. De Britten en Amerikanen, die veel spionagetools hebben, zullen het wel weten. Maar als je zoals ons land niet de globale communicatie kan onderscheppen en niet heel veel mensen en kennis hebt, is het zeer moeilijk om de aanvaller te identificeren. Je weet niet of het Rusland, China of Noord-Korea is, en daarom kan je ook niet reageren. Nog een reden waarom internationale samenwerking belangrijk is.

»Europa heeft vijftien jaar geleden wel ENISA opgericht, het European Union Agency for Cybersecurity: die mensen doen heel goed en nuttig werk, ze organiseren om de twee jaar bijvoorbeeld een oefening waarbij een grote cyberaanval wordt gesimuleerd, maar hun middelen zijn beperkt. Ook daar lijken de nationale belangen voor te gaan.»

HUMO Hoe groot is het risico op cyberaanvallen door terroristen? Kunnen die pakweg vliegtuigen laten neerstorten of kerncentrales laten ontploffen door computersystemen te hacken en over te nemen?

PRENEEL «In principe heb je daar vrij weinig mensen en middelen voor nodig en kan je het vanop afstand. Als landen hun huiswerk hebben gemaakt, zijn kerncentrales en vliegtuigen vrij goed beveiligd. Een lone wolf of een terreurbeweging zie ik nog niet meteen een vliegtuig neerhalen. Maar als landen als Iran of Noord-Korea ze steun zouden verlenen, is het natuurlijk een ander verhaal. 

»Enkele jaren geleden was er DarkMatter, een cybersecurity-bedrijf uit de Verenigde Arabische Emiraten dat zich naar eigen zeggen alleen bezighield met cyberverdediging, maar ook spionageopdrachten uitvoerde voor de regering. DarkMatter had ook ex-NSA-medewerkers in dienst, maar die hebben ontslag moeten nemen toen bleek dat het bedrijf ook Amerikanen bespioneerde. Waarmee de Amerikaanse werknemers dus een misdrijf zouden begaan. Het laat zien hoe dit soort kennis zich kan verspreiden. Mensen worden in Amerika of in China opgeleid door het leger. Als ze ontslag nemen en vervolgens hun diensten commercieel aanbieden, of op de zwarte markt, krijg je zeer gevaarlijke toestanden. Maar naties lijken mij op dit moment een groter risico dan terreurorganisaties, omdat er toch wel een zeker kennisniveau vereist is voor een ambitieuze hackingaanval. Het is toch nog iets anders dan het leren besturen van een vliegtuig of leren hoe je bommen moet maken.»

HUMO Terreurgroepen of misdaadorganisaties zouden wel de diensten van geldbeluste en weinig scrupuleuze hackers of voormalige NSA-experts kunnen inhuren.

PRENEEL «Dat is zeker een risico. Anderzijds: met een cyberaanval kan je veel schade aanrichten, maar niet veel terreur. Als je alle vliegverkeer stillegt door een cyberaanval op de luchthaven veroorzaak je schade, maar dat is geen terreur. En terroristen willen vooral terreur zaaien. Men zou nu al heel grote economische schade kunnen aanrichten, maar het risico daarop is niet zo groot, omdat niemand er veel belang bij heeft.

»Als we overal zelfrijdende auto’s zouden hebben en die zouden plots beginnen crashen, zou je wél angst bij de bevolking veroorzaken. Daarvoor staat de technologie nu nog niet ver genoeg, maar het is geen ondenkbaar scenario.»

HUMO Beveiligingsbedrijf McAfee stelde in een rapport dat artificiele intelligentie in de toekomst steeds belangrijker zal worden. A.I. wordt nu al ingezet om aanvallen te stoppen, maar cybercriminelen zullen er ook betere, slimmere en nog lastiger op te sporen malware mee kunnen ontwikkelen. Veel AI-tools zijn bovendien als open source beschikbaar, zodat iedereen – ook lieden met minder goede bedoelingen - ermee aan de slag kan.

PRENEEL «Artificiele intelligentie heeft ook zwakke kanten. Als je aan een foto van een kat wat pixels toevoegt, zal A.I. die herkennen als een kameel of een goudvis. A.I. is nog niet perfect en makkelijk te misleiden, maar de ontwikkelingen op dat vlak gaan uiteraard ook zeer snel. Ik denk dat we binnen tien jaar een war of machines hebben waarbij zowel de aanval op computersystemen als de verdediging ervan met artificiele intelligentie gebeurt. En het zal ook razendsnel gaan: met actie en reactie binnen de milliseconde – veel te snel voor mensen dus.»

HUMO Een war of machines: dat klinkt toch niet zeer geruststellend.

PRENEEL «We hebben natuurlijk ook machines die ons hélpen. Het kan best zijn dat we door A.I. net een bétere veiligheid krijgen. Wie zal het zeggen? Ik ben daar niet zo pessimistisch over.»

Meer over

Reageren op een artikel, uw mening ventileren of een verhelderend inzicht delen met de wereld

Ga naar Open Venster

Op alle artikelen, foto's en video's op humo.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar redactie@humo.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234