De muur van Hadrianus, de Atlantikwall,… sinds de oudheid focussen krijgsheren en naties zich op het beschermen van de fysieke landsgrenzen. Maar tijden veranderen en de wapens van de vijand ook. Malware en computervirussen worden ingezet als oorlogswapen. Maar hoe kunnen én moeten staten vandaag cyberaanvallen tegen hun kritieke activa en burgers voorkomen?
Even wat cybercrime oorlogsgeschiedenis: in het voorjaar van 2007 was Estland het allereerste land ter wereld dat slachtoffer werd van een massale, gerichte cyberaanval. Overheidswebsites lagen plat, maar ook systemen zoals de bankinfrastructuur. Estland was genoodzaakt om de stekker uit het internet te trekken en offline te blijven tot alle diensten hersteld waren. Sindsdien zijn grootschalige aanvallen op nationale belangen alleen maar toegenomen. Doel is telkens de kritieke infrastructuur trachten te beschadigen om het land te destabiliseren. En vaak is de aanval opgezet of gesponsord door een vijandelijke staat.
De potentiële gevolgen van zulke grootschalige cyberaanvallen op de infrastructuren van een land zijn groot: variërend van orde verstorend tot zelfs dodelijk. Wat als bijvoorbeeld de elektriciteits- of watertoevoer naar een stad zouden worden afgesloten? Bedrijven kunnen niet naar behoren werken, patiënten in ziekenhuizen en kwetsbare mensen kunnen sterven. Een grootschalige aanval op het bankensysteem kan de financiële markten verlammen en bedrijven – zelfs volledige economieën – laten failliet gaan. En aanvallen die transportsystemen – denk aan luchtverkeersleiding – verstoren, kunnen ook duidelijk nefaste gevolgen hebben.
Cyberoorlogvoering tussen staten is vandaag een reëel gevaar geworden. De vraag is: wat kunnen nationale regeringen doen om hun burgers en infrastructuur te beschermen?
Van cyberbeveiligingsplannen …
Cybercrime organisaties, terroristen en hacktivisten gebruiken geavanceerde tools, evenals door overheden gesponsorde cyberwapens die (op het dark web) zijn gelekt. De wereldwijde WannaCry-ransomware en de NotPetya-aanval zijn daar mooie voorbeelden van. Het World Economic Forum plaatste nadien cyberaanvallen hoog in het Global Risks Report 2018, zowel op vlak van waarschijnlijkheid als impact.
De meeste landen bekijken cyberbedreigingen anders: het gaat niet meer alleen over financiële en dataverliezen of inbreuken op privacy, maar het zijn ook echte bedreigingen voor de fysieke veiligheid van burgers. De meeste regeringen hanteren nu een drieledige benadering van cyberdefensie.
Ten eerste hebben ze de neiging om ‘cyberwapens’ te ontwikkelen. Dat wil vaak zeggen: comités en een administratie opzetten die de beste strategie zoekt, regels opstelt en de aanpak definieert om met cyberdreigingen om te gaan.
Ten tweede richten overheden zich op programma’s voor opleiding en bewustwording. Ze proberen daarmee het wereldwijde tekort aan it-security-professionals – deels – op te vangen. Naar schatting zijn er wereldwijd zo’n 3,5 miljoen profielen te kort.
Ten derde richten ze een (civiel) nationaal Cert (Computer emergency response team) op, met het doel om cyberdreigingen en -aanvallen het hoofd te bieden. Doorgaans is de militaire cyberverdediging gescheiden van de civiele cyberverdediging. Het tweede gebeurt meestal via een gecentraliseerde Cert, of een paar kleinere die zich telkens op een specifieke sector richten. Zoals hun naam (‘Response’) al suggereert, zijn Cert’s per definitie reactief. Ze schieten pas in actie nadat een groot cyberincident is begonnen of heeft plaatsgevonden. Sommige Cert’s evolueren naar een proactieve insteek waarbij ze informatie verzamelen en proberen te waarschuwen voor nieuwe risico’s of aanvallen. Maar de effectiviteit van deze maatregelen is beperkt, omdat de cyclus van detectie, analyse van de bedreigingen, en de publicatie en implementatie van de oplossingen soms weken kan duren. Waar bij dergelijke aanvallen elke seconde telt.
… Naar effectieve cyberbeveiliging
Misschien moeten naties eerder kijken naar een beveiligingsmodel dat ze beter kennen. Om hun landsgrenzen te verdedigen, gebruiken ze hulpmiddelen zoals radars om het luchtruim te scannen. Zo kunnen ze snel de vijandelijke acties analyseren en de juiste beslissing nemen: bijvoorbeeld afweerraketten lanceren of burgers naar schuilkelders leiden.
Voor een efficiënte cyberverdediging zouden naties een vergelijkbare aanpak moet volgen. Ook daar is er zowel ‘grensbescherming’ als interne beveiliging nodig. De belangrijkste toegangspunten tot de kritieke infrastructuur van een land moeten allemaal proactief worden gemonitord, waarbij de informatie aan één cybercrimecentrum wordt bezorgd om de inkomende bedreigingen te identificeren, te analyseren en de juiste reactie te bepalen. Dit kan worden gecombineerd met realtime preventie om nieuwe, onbekende malware op te vangen voordat ze zich op grote schaal kunnen verspreiden.
Deze overkoepelende laag zorgt voor meer visibiliteit en analysemogelijkheden en zou een ‘scherm’ moeten vormen om de landelijke weerbaarheid tegen cybercrime te waarborgen. Die beveiliging moet bovendien zo geautomatiseerd mogelijk zijn, om een onmiddellijke reactie te garanderen en om te kunnen anticiperen op de snelheid waarmee de cyberbedreigingen van vandaag zich kunnen verspreiden. De beveiliging moet gestuurd worden door realtime intelligentie en een goed bewustzijn van de ernst van de situatie om ervoor te zorgen dat landen zich kunnen verdedigen tegen zelfs nieuwe, nooit eerder geziene bedreigingen.
Het internet heeft een revolutie teweeggebracht in elk aspect van de samenleving – inclusief de internationale diplomatie en oorlogvoering. Zonder zo een holistische aanpak is het voor naties game over.
Christof Jacques, senior security engineer Check Point
