Expert waarschuwt voor toename cyberaanvallen: “Vooral niet op de link klikken”

De medische labo’s in Brugge en Ardooie, het gemeentebestuur van Kuurne, de weefmachinefabrikant Picanol en bakkerijspecialist Ranson: allemaal lagen ze al eens in de touwen na een cyberaanval. En volgens expert Vincent Naessens volgen er nog veel meer. De Harelbekenaar schreef er het boek ‘De Cyber Arena’ over. “Gemeentebesturen betalen doorgaans snel losgeld om geen reputatieschade te lijden.”

Harelbekenaar Vincent Naessens, KULeuven-professor en expert softwarebeveiliging, met zijn boek ‘De Cyber Arena’. Arena, jawel: het gaat er keihard aan toe.©LUDO-OSTIJN
Harelbekenaar Vincent Naessens, KULeuven-professor en expert softwarebeveiliging, met zijn boek ‘De Cyber Arena’. Arena, jawel: het gaat er keihard aan toe.©LUDO-OSTIJN

We ontmoeten Vincent (43) bij hem thuis, op een boogscheut van het station. De vader van Lucas (16) en Hélène (13) komt uit Waregem en is dus nieuw in de wijk. “Maar ik heb vroeger nog in Harelbeke gewoond”, zegt hij. “Recht tegenover het legendarische café Mr. Bean.”

Na zeven jaar assistent te zijn geweest aan de Kulak, is hij nu als professor verbonden aan de onderzoeksgroep DistriNet van de KULeuven, de grootste Europese onderzoeksgroep in het domein van softwarebeveiliging . Hij leidt de Gentse hub, die dertien onderzoekers telt. Volgens hem zijn we ons nog te weinig bewust van de impact van cybercriminaliteit.

Die gevolgen zijn groot, weten we intussen.

“Zeker. Als een bedrijf wordt gehackt, is om te beginnen iedereen technisch werkloos. Vaak stelen hackers gegevens of maken ze die onleesbaar tot ze het gevraagde losgeld krijgen. Wel: in 2020 werd in België meer dan 100 miljoen euro losgeld betaald aan hackers. En dat is enkel wat gerapporteerd wordt. Uit gegevens van verzekeraars blijkt dat één op tien verzekerde bedrijven binnen het jaar getroffen wordt. Die verzekeraars keren hen in de meeste gevallen een bedrag tussen 10.000 en 30.000 euro uit.”

Is het ene bedrijf kwetsbaarder dan het andere?

“Bedrijven waar machines staan opgesteld, zoals Picanol, zijn extra kwetsbaar, omdat die vaak decennia lang werken met dezelfde software, en het updaten ervan allesbehalve evident is. Ziekenhuizen zijn eveneens aantrekkelijke doelwitten. Die komen vrij snel met geld over de brug, om geen mensenlevens op het spel te zetten. Maar ook gemeentebesturen betalen doorgaans snel. Zij beschikken over heel wat persoonsgegevens en betalen om geen reputatieschade te lijden.”

Zijn onze persoonsgegevens wel veilig dan?

“Het is sowieso niet verstandig om grote hoeveelheden data centraal bij te houden. De Amerikaanse geheime dienst (NSA) is al gehackt, Facebook ook, net als Twitter en LinkedIn. Wat zou een West-Vlaams gemeentebestuur daar dan immuun voor zijn? De vraag is ook of de overheden van morgen wel te vertrouwen zijn. In China gaat de internetsnelheid omlaag bij gebruikers die te veel gamen. Wie zegt dat wij hier over tien jaar niet zo’n regime hebben? Het kan snel gaan.”

Hoe kunnen wij ons netwerk thuis beter beschermen?

“Veel gebruikers laten zich bij het installeren van slimme toestellen zoals IP-camera’s en Sonos-speakers verleiden tot het aanpassen van de beveiligingsinstellingen in het draadloos netwerk. Wees daar voorzichtig mee. De website Shodan, bijvoorbeeld, geeft een overzicht van vrij toegankelijke IP-camera’s. Bij de mensen die zo’n camera hebben hangen, kan je dus gewoon mee binnenkijken.”

Zijn we naïef?

“Het onderwijs is alleszins niet mee geëvolueerd. Mijn zoon heeft nog altijd min of meer hetzelfde lesrooster als ik twintig jaar geleden, met één uurtje ICT. En dat terwijl de virtuele wereld intussen sluizen, verkeerslichten en slagbomen aanstuurt. Hackers kunnen die dus allemaal manipuleren. In Duitsland lieten cybercriminelen bijvoorbeeld boodschappen verschijnen op de elektronische borden boven de perrons. Maar evengoed kunnen ze de volgende keer het treinverkeer zelf in de war sturen.”

Wie zijn die hackers eigenlijk?

“Het romantische beeld van enkele vrienden die in een kelder samen hacken, klopt niet langer. Hackers specialiseren zich steeds meer. Zo zijn er groepen die kwetsbaarheden en bugs (programmeerfouten, red.) detecteren. Zij bedenken ook manieren om die uit te buiten. Andere groepen ontwikkelen vervolgens de malware of gijzelsoftware. En uiteindelijk zijn er de hackers die de malware op het darkweb, zeg maar de virtuele zwarte markt, kopen en de aanvallen uitvoeren. Zij moeten niet veel van ICT kennen en bij wijze van spreken alleen nog maar op enter duwen. De gijzelsoftware is trouwens zo geprogrammeerd, dat pakweg veertig procent van het in Bitcoins betaalde losgeld automatisch terugvloeit naar de makers ervan.”

Bent u al eens benaderd door de ‘dark side’, om voor hen te hacken?

”Neen, dat zijn twee heel gescheiden werelden. Wel hebben wij een spin-off die een platform biedt aan ethische hackers. Bedrijven als Tomorowland, Brussels Airlines of Schoenen Torfs testen via dat platform hoe goed hun systeem beveiligd is. De ethische hackers krijgen dan een bugbounty van 250 tot 2.000 euro per gevonden fout. Maar eigenlijk komt het er nog altijd vooral op neer dat iemand op een link klikt, waardoor kwaadaardige software geïnstalleerd wordt, en hackers zo aan de gegevens kunnen. Niet klikken op zo’n link is dus nog altijd de boodschap.”

Het boek De Cyber Arena van Vincent Naessens is uitgegeven bij Boekscout en telt 210 pagina’s. Bestel via decyberarena.be.

Zeg et ne keer

Waar heb je een fout gezien of heb je zelf een suggestie? Laat het ons dan weten.