Maandag 05/12/2022

Hoeveel hacks zijn er nog nodig om de overheden wakker te schudden?

null Beeld kos
Beeld kos

Schuldig verzuim is duidelijk geen probleem voor onze politici, merkt Bart Preneel op. Hij doet onderzoek naar informatiebeveiliging en privacy; hij is als gewoon hoogleraar verbonden aan de onderzoeksgroep COSIC van de KU Leuven en iMinds.

OPINIE

Belangrijk nieuws op 9 mei: het computernetwerk van de FOD Buitenlandse Zaken is gehackt. Dit doet weer heel wat mediastof opwaaien, maar gaat voorbij aan de kern van de zaak. Het echte nieuws is dat men deze keer gemerkt heeft dat er ingebroken is en dat men een vermoeden heeft van wie er achter de inbraak zit. Heel waarschijnlijk zijn een groot aantal systemen van de Belgische overheden gehackt, en dat door meer dan één buitenlandse overheid. Wat nieuws zou zijn, is dat er op een dag eens geen afluisteroperaties of inbraken gebeurd zouden zijn in België.

De reactie van de eerste minister is als volgt: we hebben al een plan opgesteld en "Geen enkele bijkomende investering maakt een overheid of een organisatie volledig immuun tegen cyberaanvallen of spionageactiviteiten." Dat laatste is correct, maar het is vooral een goede poging om 20 jaar non-beleid van onze overheden op het vlak van informatiebeveiliging en de kwetsbaarheid van onze digitale economie te verdoezelen.

De evolutie naar een digitale maatschappij gaat steeds sneller. Communicatie, media, handel, industrie en interacties met de overheid zijn in toenemende mate digitaal. Dit brengt veel voordelen mee, maar betekent ook dat de maatschappij kwetsbaarder wordt voor cyberaanvallen. Het gaat hier over georganiseerde misdaad (cybercrime) en cyberspionage, maar mogelijk ook over cyberterrorisme en cyberoorlog. Wie de onthullingen van Snowden een beetje volgt, heeft begrepen dat de VS en het Verenigd Koninkrijk massaal spioneren in cyberspace en ook offensieve cyberoperaties voorbereiden en uitvoeren. Hetzelfde geldt voor alle grootmachten of landen die zich grootmachten wanen. Burgers die niet bezorgd zijn over inbreuken op de privacy of bedrijfsspionage kunnen zich inbeelden wat er zou gebeuren als we gedurende een of twee weken zonder stroom zouden vallen door een cyberaanval.

Eilandjes
Belgische academici staan internationaal aan de top in het domein van cyberbeveiliging. Ook onze industrie heeft heel wat kennis in huis. Zo werden een aantal belangrijke Amerikaanse en internationale beveiligingsstandaarden ontworpen door Belgische experten. Maar bij de overheid wringt het schoentje: er zijn een aantal eilanden met expertise (zoals bij de politie, bij de Kruispuntbank en bij de dienst FEDICT, die onder meer verantwoordelijk is voor de elektronische identiteitskaart), maar er is geen geïntegreerde aanpak.

Die vraag naar zo'n aanpak is niet nieuw. Al op het eind van de jaren negentig werd de nood aan meer investeringen en coördinatie in cyberbeveiliging naar voor gebracht door Belinfosec, een ad-hoc-consortium van experten uit de industrie, de academische wereld en de overheid. Er kwam geen respons. In 2008 werd een nieuwe oproep gelanceerd vanuit de industrie, de academische wereld en professionele organisaties (het BISI-consortium) om een geïntegreerd expertisecentrum op te richten bij de overheid, met belangrijke coördinerende bevoegdheden. Op dat moment bestond er al een werkgroep voor informeel overleg tussen de verschillende overheidsdiensten, maar zonder enige beslissingsbevoegdheid. Als late respons werd in 2009 CERT.be opgericht, dat dient als meldpunt bij cyberincidenten maar geen coördinerende rol heeft en slechts een bescheiden budget. België was een van de laatste landen in Europa om een CERT op te richten.

In april 2013, vermoedelijk onder druk van Europa, keurde België een cyberbeveiligingsstrategie goed. Dat bleek een lege doos te zijn, want er was geen budget voorzien. De onthullingen van Snowden in de zomer van 2013, gevolgd door een hete herfst met het Belgacomincident en het hacken van de diensten van onze eerste minister, hadden dan uiteindelijk toch hun effect: in december 2013 werd een budget van 10 miljoen euro goedgekeurd, al beweren een aantal bronnen dat een deel van het budget komt uit besparingen op andere beveiligingsbestedingen. In mei 2014 zou de oprichting van een coördinatiecentrum voor cyberbeveiliging nog altijd in een werkgroep zitten.

Peulschil
De overheid is niet alleen te traag, het geplande budget is een peulschil voor een uitdaging van deze omvang: coördinatie van de cyberbeveiligingsactiviteiten bij alle overheden, het opbouwen van technische en legale expertise, een intensief ondersteuningsprogramma van onderzoek en ontwikkeling in cyberbeveiliging, het ondersteunen van nieuwe academische opleidingen in dit domein en het coördineren van de beveiliging in de industriële sectoren.

Om u een idee te geven: in Duitsland heeft het BSI (Bundesamt für Sicherheit in der Informationstechnik) ongeveer 600 medewerkers en in Frankrijk wil het ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) binnen een paar jaar groeien van 150 naar 500 medewerkers. En dan gaat het hier zelfs puur om instellingen die zich bezighouden met de beveiliging van civiele overheidssystemen. In België hebben de meeste overheidsdiensten veel te weinig medewerkers met beveiligingsexpertise; vaak gaat het om een handvol mensen dat ons moet beschermen tegen de georganiseerde misdaad en tegen inlichtingendiensten met budgetten van 1 miljard dollar en meer.

Voor onze politici is dit schuldig verzuim blijkbaar geen probleem. Na de zoveelste aanval mogelijk gemaakt door het non-beleid komt men weg met het excuus dat er overleg is tussen onze diensten en met het cliché dat perfecte beveiliging toch niet bestaat. Blijkbaar beseffen onze politici niet dat onze economie op het spel staat. Hoeveel Snowdens en hacks van bedrijven en overheidsinstellingen zijn er nog nodig om onze overheden echt wakker te schudden?

Nu belangrijker dan ooit: steun kwaliteitsjournalistiek.

Neem een abonnement op De Morgen


Op alle artikelen, foto's en video's op demorgen.be rust auteursrecht. Deeplinken kan, maar dan zonder dat onze content in een nieuw frame op uw website verschijnt. Graag enkel de titel van onze website en de titel van het artikel vermelden in de link. Indien u teksten, foto's of video's op een andere manier wenst over te nemen, mail dan naar info@demorgen.be.
DPG Media nv – Mediaplein 1, 2018 Antwerpen – RPR Antwerpen nr. 0432.306.234