cybersecurity België

Ons land werd recent opgeschrikt door twee grote cyberincidenten bij de overheid. We onderzoeken hoe de beveiliging van kritieke infrastructuren in België wordt aangepakt.

Advertentie

Nog maar zelden heeft cybersecurity zo hoog op de agenda van de Belgische politiek gestaan als vandaag de dag. De aanleiding daarvoor zijn twee grote cyberincidenten die de overheid recent te verduren kreeg. Het begon een drietal weken geleden met de DDoS-aanval op Belnet die verschillende overheidswebsites volledig platlegde. Deze week lekte het Centrum Cybersecurity België het nieuws dat het ministerie van Binnenlandse Zaken twee jaar lang bespioneerd werd door (vermoedelijk buitenlandse) hackers. Voor Wim Van Langenhove, Head of Cybersecurity Advisory bij Orange Cyberdefense, is het geen verrassing dat de overheid nu plots in actie schiet. “Grote incidenten blijken nodig te zijn om bewustzijn rond cybersecurity te creëren bij beleidmakers en bedrijfsleiders. Cybersecurity is nu eenmaal een hoge kost waar geen directe return on investment tegenover staat. Dat leidt vaak tot onderschatting van de risico’s, ondanks dat cyberaanvallen geen recent gegeven meer zijn.”

Kort na de cyberaanval op Belnet presenteerde de Nationale Veiligheidsraad de Cyberstrategie 2.0, een plan om België tegen 2025 één van de best beveiligde natiestaten te maken. Het plan legt de focus op meer bewustzijn, infrastructuur, samenwerking en bescherming van kritieke infrastructuren. Hoe haalbaar is dat plan en is het voldoende om een volgende cyberaanval op ons land af te weren?

Hoe goed zijn kritieke infrastructuren beveiligd in België?

Tijdens het gesprek van Wim Van Langenhove legden we de focus op de beveiliging van kritieke infrastructuren. Onder deze noemer vallen organisaties en sectoren die een vitale rol spelen in de maatschappij. Denk bijvoorbeeld aan distributeurs van energie of communicatienetwerken. Deze bedrijven zijn een interessant doelwit omdat ze een grote maatschappelijke impact hebben. Een geslaagde aanval op een kritieke infrastructuur kan veel chaos veroorzaken onder de burgers of industrieën die afhankelijk zijn van het netwerk, legt Van Langenhove ons uit. Criminelen weten maar al te goed dat hoe belangrijker het bedrijf is voor de maatschappij, hoe sneller en meer losgeld betaald zal worden. Dat werd onlangs geïllustreerd door een aanval op het Amerikaanse bedrijf Colonial Pipeline die de verdeling van brandstof in de war stuurde.

Een security-expert uit de Belgische waterindustrie beaamt dat kritieke bedrijven voortdurend waakzaam moeten zijn. “Elke maand gebeurt er iets dat we verder moeten uitpluizen. Phishingpogingen met malafide websites zijn echter dagelijkse kost. Dat kan ook in de omgekeerde richting voorkomen, dat fraudeurs de naam van een energie- of waterleverancier misbruiken om valse facturen naar mensen te sturen. Vaak weten onze klanten ook niet of ze klant bij ons zijn, er wordt namelijk niet of te weinig bij stilgestaan.”

“Wij zetten sterk in op proactieve campagnes en detectie. Maar je kan niet alle aanvallen afweren”, gaat de expert verder. “DDoS-aanvallen van grote omvang zijn bijvoorbeeld zeer moeilijk tegen te houden, ook al bereiken ze niet altijd hun doel. En er speelt ook de menselijke factor: 80% van de geslaagde cyberaanvallen is toe te schrijven aan een menselijke fout. Een andere bemoeilijkende factor is als hackers een zeroday kwetsbaarheid misbruiken. Onze klanten kunnen gerust zijn dat wij altijd water kunnen blijven pompen. Normaal gezien kan een cyberaanval nooit ons volledige netwerk droogleggen.”

DDoS

NIS-wet: een goede basis, maar lang niet voldoende

De invoering van de NIS-wet (Directive on security of Network and Information Systems) op 7 april 2019 legde strenge beveiligingsvoorwaarden op voor bedrijven die het label van kritieke infrastructuur dragen. NIS verplicht hen onder meer om voortdurend proactieve controles uit te voeren en een duidelijk actieplan op te stellen om een aanval af te weren. “Ik zie toch gemiste kansen in de NIS-wet”, luidt de mening van Van Langenhove. “Zo begrijp ik bijvoorbeeld niet waarom de gezondheidssector niet als een kritieke infrastructuur is bestempeld. Dat is jammer, want medische gegevens zijn uiterst gevoelige informatie. Bovendien kan een succesvolle cyberaanval op een ziekenhuis dramatische gevolgen hebben. Onze medische instituten niet aan de strengste eisen onderwerpen kan leiden tot het achterlopen van investeringen. Wetten helpen ook het bewustzijn rond cybersecurity verhogen op directieniveau.”

Ook de expert uit de waterindustrie vindt de NIS-wet nog niet de ultieme oplossing. “De NIS-wet verplicht ons om kritieke data over onze beveiliging te delen met de overheid. Wij houden ons daaraan,  maar als ik dan lees dat Binnenlandse Zaken gehackt wordt, baart me dat toch wel wat zorgen. Als die informatie in verkeerde handen valt, kan dat grote gevolgen hebben. Delen wij gevoelige informatie met een infrastructuur die minder goed beveiligd is dan de onze?”, klinkt het bezorgd. “Het ontbreken van overheidsdiensten is inderdaad een hiaat in de huidige NIS-wet”, pikt Van Langenhove verder in. “Ik ben ervan overtuigd dat dit bij latere aanpassingen van de wet wel zal worden toegevoegd.”

Cyberstrategie 2.0: een nieuwe aanpak in België

Met het nieuwe cybersecurityplan zet de federale overheid een volgende stap om NIS verder aan te vullen. Hoe kijkt een cybersecurity-expert aan tegen de doelstellingen die het plan vooropstelt? Van Langenhove: “Het zijn interessante en belangrijke doelstellingen, het bewustzijnsverhaal voorop. Het is een goede zaak dat het CCB belooft burgers en organisaties sneller te informeren over zerodays. De risico’s zichtbaar maken kan meer bewustzijn en een nieuwe mentaliteit rond cybersecurity creëren binnen de hoogste niveaus van maatschappij. Je moet investeren in beveiliging om je infrastructuur te verbeteren, niet om een boete te voorkomen. Een mentaliteitswijziging dringt zich op. Verder zie ik ook een belangrijke rol in meer samenwerking op nationaal en internationaal niveau”, gaat Van Langenhove verder. “Dat gebeurt op Vlaams niveau al wel onder de kritieke infrastructuren, maar daarbuiten blijft iedereen wat binnen zijn eigen sector. Hackers beschikken vaak over een betere organisatie en technologie dan hun doelwitten.”

“Of het plan zal slagen of niet, hangt af van de concretisering van die doelstellingen en de budgetten die de overheid vrijmaakt. Dat wordt wellicht de grootste uitdaging. Ik denk wel dat het kan bijdragen tot een andere benadering van cybersecurity in België. Er is de voorbije jaren flink geïnvesteerd in bescherming en identificatie, wat goed is, maar investeringen in het proactief monitoren van netwerken en het detecteren van cyberincidenten blijven nog wat achter. Ook hebben veel organisaties nog geen goed respons- en herstelplan. Dat is nodig om businesscontinuïteit tijdens en na een aanval zoveel mogelijk te bewaren”, besluit Van Langenhove.

Advertentie

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here