Cybercriminaliteit is de snelst stijgende vorm van criminaliteit. Het is dan ook cruciaal dat de overheid, bedrijven én burgers hier samen de grootste prioriteit van maken. Zes experts beantwoorden vier prangende vragen tijdens een online gesprek.
Tekst: Joris Hendrickx
Experts
💻 Centrum voor Cybersecurity België: Miguel De Bruycker, Managing Director
💻 Cyber Security Coalition: Anneleen Dammekens, Adviseur
💻 Deloitte: Jan Vanhaecht, Cyber Risk Leader
💻 NVISO: Jeroen Vandeleur, Service line lead – Cloud Security & Cyber Architecture
💻 Secutec: Geert Baudewijns, CEO & Founder
💻 Cegeka: Fabrice Wynants, Director Security & IAM Services
1 – Wat kunnen organisaties preventief doen om problemen te vermijden?
Miguel De Bruycker: “Preventie bestaat uit bescherming, detectie en respons. Je kan dat zowel op menselijk als op technologisch vlak doen. Je moet mensen leren wat correct gedrag is, dat monitoren en ook ingrijpen wanneer nodig. Op technologisch vlak zijn o.a. een goede detectie, een offline back-up, regelmatige updates, een juiste governance, een up-to-date netwerkschema en het voorzien van de nodige responstools cruciaal.”
Anneleen Dammekens: “Laat je bij de preventie begeleiden door experts en leg vooraf vast welke experts je moet contacteren bij een incident. Niet enkel het vermijden, ook het detecteren van incidenten is belangrijk. Een incident-responsplan geeft iedereen duidelijkheid over de taken en verantwoordelijkheden. Het is belangrijk om iedere werknemer te betrekken en te sensibiliseren.”
Fabrice Wynants: “Net zoals wij met de coronamaatregelen, moeten bedrijven ook de regels van de basishygiëne rond cybersecurity respecteren om problemen te vermijden. De meeste aanvallen gebruiken immers steeds dezelfde valkuilen en kunnen relatief gemakkelijk worden vermeden. Als de preventie faalt moet vervolgens ook de detectie goed ingericht zijn.”
Jan Vanhaecht: “Bedrijven moeten met beperkte middelen de juiste keuzes te maken die echt het verschil zullen maken. Iedere organisatie is anders. Het komt er dus op aan om goed te analyseren wat specifiek voor jouw bedrijf en jouw sector de typische risico’s én de juiste preventieve stappen zijn.”
2 – Hoe kan een organisatie snel en correct reageren bij een datalek?
Anneleen Dammekens: “Bij datalekken kunnen verschillende wetgevingen van toepassing zijn. Het is belangrijk om hier in de voorbereiding rekening mee te houden. Als het persoonsgegevens betreft dan is de GDPR van toepassing en heb je een meldplicht. In het kader van de voorbereiding kan je het formulier daarvoor al eens doornemen. Ook bepaalde kritieke sectoren die onder de NIS-wetgeving vallen hebben een meldplicht. Opnieuw is de voorbereiding hier dus cruciaal: zorg dat iedereen op de hoogte is van zijn taken, de te volgen procedures en de te contacteren experts.”
Jeroen Vandeleur: “Zonder een goede voorbereiding reageert men vaak in paniek. Dikwijls worden in het proberen dichten van het lek of het beperken van de schade dan verkeerde acties uitgevoerd waarbij bv. ook belangrijk bewijsmateriaal verdwijnt. Je moet dus een incident responsplan met duidelijke stappen klaar hebben liggen. Daarnaast zijn ook crisisoefeningen op elk niveau een grote meerwaarde. De overheid heeft alvast templates voorzien van incident responsplannen die je kan raadplegen op www.digitalreactionplan.be.”
Fabrice Wynants: “Een goed plan is om drie redenen belangrijk. Ten eerste begrijpen bedrijven dan goed wat hun regulatoire verplichtingen zijn. Ten tweede kan je zo snel en effectief reageren om de business impact te beperken. Ten derde is het nodig voor een goede communicatie naar de buitenwereld toe om de reputatie impact te beperken.”
Jan Vanhaecht: “Kalm blijven is cruciaal. Meestal is je eerste vermoeden over de oorzaak niet het juiste. Een goede planning is dus belangrijk. Een té gedetailleerde planning is anderzijds ook niet goed. De kans is immers groot dat het incident waarmee je te maken krijgt net niet in één van de vooropgestelde scenario’s past. Mensen moeten vooral de juiste mindset hebben en de juiste telefoonlijsten klaar hebben liggen waarmee ze de zaken in handen kunnen nemen.”
Geert Baudewijns: “Geef je IT mensen ook de nodige ruimte. Zet hen samen en geef hen de kans om zich volledig te concentreren op het oplossen van het probleem. Dat is echt nodig om de juiste beslissingen te kunnen nemen, want zij staan sowieso al onder een enorme druk. Het is ook belangrijk dat je dezelfde tools gebruikt als de hackers. Een firewall, antivirussoftware en antispamfilter volstaan niet. Vaak blijkt bij een incident dat hackers al maanden eerder waren binnengedrongen. Door met de juiste tools alle activiteiten in het netwerk te screenen kan je snel verdacht gedrag detecteren.”
Miguel De Bruycker: “Bij de diagnose is het cruciaal om een beroep te doen op de juiste experts. Het is ook belangrijk om te beseffen dat de hacker de enige schuldige is, en niet het IT-departement. Al tref je voorbereidingen volgens alle regels van de kunst, dan nog kunnen hackers een achterpoort vinden. Om geen tijd te verliezen dien je vooraf na te denken of je klacht wil indienen, bij wie en wie dat moet doen. Ook de volgorde van communicatie is belangrijk: eerst de bestuursleden, dan de medewerkers, dan de partners en dan pas het grote publiek. Ten slotte dien je ervoor te zorgen dat het niet meer opnieuw kan gebeuren.”
3 – Wat houdt de cybersecurity strategie voor België in? Wat is het belang hiervan?
Miguel De Bruycker: “Het belang hiervan is dat we bovenop de maatregelen die organisaties moeten nemen ook de algemene bevolking sensibiliseren rond cyberveiligheid en hen de nodige tools geven om zich beter te beschermen. Daarnaast zijn samen met de internetproviders structurele maatregelen voorzien om ervoor te zorgen dat het internet voor iedereen een veiligere plek wordt. We willen ook zorgen dat er meer expertise is in België door IT-studierichtingen te promoten en ondersteunen innovatie initiatieven in hun groei. Met bv. Safeonweb hebben we alvast een sterke sensibiliseringstool. Nog dit jaar zullen we ook een mobiele app lanceren die mensen waarschuwt voor specifieke dreigingen en die je kan verbinden met je wifi-netwerk zodat deze je kan waarschuwen bij een kwetsbaarheid of infectie.”
Jan Vanhaecht: “Het is belangrijk om te benadrukken dat dit een cyberstrategie voor België is. Het is niet enkel voor de overheid, maar ook voor de bedrijven en de burgers een enorme meerwaarde. Er zijn maatregelen voorzien op maat van alle stakeholders. Safeonweb geniet intussen een gigantische naamsbekendheid en heeft zowel privé als professioneel een grote impact. De uitgesproken ambitie doorheen alle niveaus om zo tegen 2025 één van de minst kwetsbare landen in Europa te zijn geeft alvast voor iedereen de richting aan.”
Fabrice Wynants: “In het waarmaken van die ambitie is het belangrijk dat onze pas afgestudeerden weten wat er speelt op het vlak van cyber security en hiervoor een interesse ontwikkelen. Het vergt nu eenmaal heel wat expertise en skills in een steeds breder wordend domein. Een andere opportuniteit is dat we via deze weg verschillende stakeholders kunnen samenbrengen en samenwerking kunnen stimuleren.”
Jeroen Vandeleur: “Het tekort aan talent wordt enkel maar groter. Het aantal aanvallen neemt immers toe terwijl de pool van cybersecurity specialisten beperkt blijft. Om deze specialisten bij te houden moeten we er ook voor zorgen dat zij voldoende interessante uitdagingen in hun job hebben en dus niet enkel maar phishingmails moeten analyseren. De eenvoudige en steeds terugkerende activiteiten zoals het monitoren, detecteren en zelfs een deel van de respons moeten zoveel mogelijk worden geautomatiseerd. Kmo’s hebben nu eenmaal gelimiteerd budgetten. Automatisatie en kennisdeling kunnen daarom een grote meerwaarde zijn.”
Anneleen Dammekens: “Het is een erg belangrijk signaal dat de overheid hier een prioriteit van maakt. Het bewijst ook dat de cyberstrategie van 2013 geen one shot was en dat er dus nu op wordt verder gewerkt. Het is essentieel om te beseffen dat de overheid dit niet alleen kan doen, maar dat het een gedeelde verantwoordelijkheid is met academici en bedrijven.”
4 – Tot waar mag cybersecurity gaan?
Geert Baudewijns: “Enerzijds moeten we de tools van de hackers gebruiken en op dezelfde manier tewerk gaan als hen. Anderzijds mogen wij uiteraard niet zelf hacken. We controleren, meten en vergelijken informatie op het dark web. Hieruit trekken we een conclusie op basis waarvan we klanten kunnen waarschuwen. Betalingen promoten we zeker niet, maar het is uiteindelijk het getroffen bedrijf dat die beslissing moet maken. Soms kan men nu eenmaal niet anders. We zullen in ieder geval enkel onderhandelen over encryptiesleutels.”
Miguel De Bruycker: “Je kan maar zover gaan als wat de maatschappij aanvaardt. We moeten online dezelfde principes toepassen in de reële wereld. Als de overheid geen regels oplegt dan loopt het fout. Soms is daar echter eerst een incident voor nodig. We hebben onlangs meer dan 1.000 kwetsbare domeinnamen opgelijst. Toch kunnen we door de GDPR voorlopig de eigenaars van die domeinen niet waarschuwen. Er is dus eerst nood aan een incident voor die shift kan worden gemaakt.”
Jan Vanhaecht: “Er is bij veel organisaties nog steeds de angst dat de IT toegang zal krijgen tot alle informatie. Omgekeerd wordt de parallel met de fysieke wereld soms oneindig doorgetrokken. Bij een fysieke handtekening wordt haast nooit iemands paspoort gecontroleerd, terwijl bij een digitale ondertekening tal van strenge regels gelden. We zijn als maatschappij dus nog altijd niet klaar om volledig in de digitale realiteit te gaan leven, maar we evolueren daar wel naar toe.”
“We moeten onze defensieve maatregelen opstellen en klaar zijn om te reageren, binnen de bestaande wetgeving en wat maatschappelijk acceptabel is. Het is onze eigen verantwoordelijkheid om de grens juist te stellen en uit te leggen wat die grenzen zijn, zodat de publieke opinie meebeweegt in een richting die ons toelaat om de juiste maatregelen te treffen. Iedereen moet begrijpen dat de maatregelen nodig zijn en dat die er zijn om hun veiligheid te garanderen.”
Fabrice Wynants: “Organisaties hebben het soms moeilijk om te begrijpen binnen welk legaal kader we kunnen opereren. De bijstand door specialisten die dat kunnen kaderen is heel belangrijk. Er is enerzijds het kader voor het beschermen van informatiesystemen en anderzijds het kader met betrekking tot de bestrijding van cybercriminaliteit. Bij een incident is het cruciaal om volgens de regels te werken, zeker wat betreft de forensische analyse. Nog te vaak worden acties ondernomen die later legaal niet kunnen worden gebruikt. Hier moet worden over nagedacht wanneer de actieplannen worden opgesteld.”
Anneleen Dammekens: “Wanneer weegt het belang van veiligheid meer door ten opzichte van de fundamentele rechten van iedere mens zoals bv. de privacy of het eigenaarschap van een website? Op zich is bv. hacking niet toegestaan. Een gecoördineerde ‘Responsible Disclosure Policy’ waarbij men zich openstelt voor ethische hackers is daarentegen wel een goede manier om je binnen een legaal kader te laten helpen om kwetsbaarheden te identificeren. Toch zal het altijd een ongelijke strijd blijven waarin enkel de ‘goeden’ gebonden zijn aan een wettelijk kader.”