Met de exponentieel groeiende cybercriminaliteit is een doorgedreven coördinatie van initiatieven rond cyber security absoluut noodzakelijk. Miguel De Bruycker, Managing Director van het Centre for Cybersecurity Belgium (CCB), blikt terug op enkele belangrijke successen, maar kijkt meteen ook vooruit.
Tekst: Sijmen Goossens
“Eén van onze belangrijkste realisaties in 2019 was ongetwijfeld de zeer succesvolle awarenesscampagne rond phishing: ‘relax, denk twee keer na voor je op een link klikt’. De menselijke factor is bepalend bij alle vormen van veiligheid. Je kan een auto volstuwen met talloze veiligheidssnufjes, maar als mensen er onverstandig mee omspringen, blijft dat een maat voor niets.”
“Dat geldt ook voor cyber security: mensen moeten zich realiseren dat ze niet zomaar zaken kunnen aanklikken of downloaden. Bewustzijn creëren is dus enorm belangrijk. De campagne heeft ons aangenaam verrast. We vroegen de Belgische bevolking verdachte berichten door te sturen naar [email protected]. In oktober alleen al ontvingen we dankzij dit initiatief zo’n achtduizend berichten per kalenderdag, waardoor we dagelijks tientallen nieuwe phishing sites konden laten blokkeren door Google en Microsoft. Dat zijn tastbare resultaten.”
“Ook onze cyber security reference guide, die bedrijven via ons portaal kunnen raadplegen, ging online. Met 160 maatregelen is dit een mooie aanvulling op onze reeds bestaande ondersteuning voor particulieren en kmo’s.”
Vanop welke kanalen hebben jullie de mensen vooral aangesproken?
“We hebben op vele fronten ingezet. Vooreerst was er de grote persconferentie die we samen met de Cyber Security Coalition hebben georganiseerd. Ook sociale media werden volop gebruikt. Via de coalitie hebben zo’n 500 partners, veelal bedrijven, hun steentje bijgedragen: onze boodschap prijkte op geldautomaten van banken, op bussen van de MIVB, in Metro… We zijn 8 dagen uitgereden met de Federal Truck, een promotievrachtwagen van de overheid, om studenten te sensibiliseren.”
De menselijke factor is bepalend bij alle vormen van veiligheid. Je kan alle tools aanreiken, maar als mensen er onverstandig mee omspringen, blijft dat een maat voor niets.
“We ook samen met BE-Ready om lagereschoolkinderen te bereiken. Onze radiospots van tien en dertig seconden zijn in totaal zo’n 850 keer in de ether gegaan… We konden ook telkens het verband zien tussen een campagneactie en een verhoging van het aantal berichten dat we ontvingen op [email protected]. Zo weten we welke aanpak het meeste impact had. Let wel: persoonlijke gegevens worden bij ons altijd meteen verwijderd. Ze zijn niet relevant en vertrouwen is in onze visie heilig.”
Kan je hieruit conclusies trekken rond het effect op de globale cyberveiligheid?
“Veiligheid is een gevoel en dus moeilijk te meten. Toch hebben we enkele manieren om de efficiëntie van onze acties in kaart te brengen. Een recent rapport van de firma BitSight bijvoorbeeld, toont aan dat België in de loop van 2018 opklom van de elfde naar de zesde plaats in hun Security Rating.”
“Vorige zomer haalden we zelfs de vijfde plaats. Ik ben zeer benieuwd naar de cijfers van eind dit jaar. De eerste zijn is evenwel niet onze bedoeling, daarvoor zijn we te kleinschalig. We werken hier met vijftig mensen, in Duitsland zijn dat er bijvoorbeeld 1.300! Als we binnen de top tien blijven, zijn we erg goed bezig.”
Heb je een verklaring voor deze puike prestaties?
“We hebben hier natuurlijk een kennisgerichte samenleving en sowieso beschikken we over schitterende medewerkers. Wat zeker opvalt, is de creativiteit. Vanuit het buitenland komt men tegenwoordig kijken hoe we het doen, terwijl wij als jonge organisatie nog maar pas van hen kwamen leren. We gooien best hoge ogen en worden dus zeker serieus genomen.”
“Een absolute troef is ook de samenwerking tussen alle betrokken actoren. Online bewegen mensen zich in principe steeds in een soort ‘private ruimte’. De bevoegdheden die een overheid wél heeft in de publieke ruimte zijn er dus niet. Daarom is samenwerken uiterst belangrijk om zowel een draagvlak als de mogelijkheden te krijgen om te controleren en doeltreffend te zijn.”
Vanuit het buitenland komt men tegenwoordig kijken hoe we het doen, terwijl wij als jonge organisatie nog maar pas van hen kwamen leren.
“Zo hebben we een aantal platformen met onder andere de veiligheidsdiensten, de sectorale overheden, de cyber security coalition, mensen vanuit de private, publieke en academische sector, enz. Die sterke samenwerking in ons land is vrij uniek. Het is misschien wel onze grootste verdienste dat we alle inlichtingendiensten, veiligheidsdiensten en andere essentiële partners op één lijn krijgen over dergelijke moeilijke thema’s.”
Wat worden de krachtlijnen voor 2020?
“In 2020 zullen we deze samenwerkingen verder uitbouwen met een platform voor serviceproviders. We willen mensen gericht informeren over kwetsbaarheden. Naar analogie met spear phishing, willen we nu ook spear warning inzetten; gericht waarschuwen over potentiële risico’s. We ontvangen dagelijks honderdduizenden records van kwetsbaarheden en infecties wereldwijd.”
“Nu hebben we een systeem klaar dat al die info samenbrengt, tendensen blootlegt en nieuwe kwetsbaarheden detecteert. Hierdoor kunnen we mensen heel gericht informeren over specifieke risico’s. Om kwaadwillige copycats niet op ideeën te brengen, vertel ik evenwel nog niet té veel concreet over dergelijke spear warning.”
“We willen in elk geval met de serviceproviders samen kijken of ze onze info kunnen bevestigen. Hoe zien zij het? Wat kunnen we eventueel samen doen? Het draagvlak voor samenwerking is verrassend groot. Tot slot is er ons vlaggenschip: het Early Warning System. Dit systeem bundelt en structureert alle informatie die wij dagelijks uit de wereld ontvangen, klaar om gedeeld te worden met alle aanbieders van infrastructuren en essentiële diensten. Tijd om samen te zitten dus.”