Ciso Serge Christiaans wordt aan de tand gevoeld
INTERVIEW – Tijdens de lokale editie van Cybersec Europe in Nederland, Utrecht (Cybersec Netherlands 2023) nam chief information security officer (ciso) Serge Christiaans deel aan de paneldiscussie over ot-security. Vervolgens vroegen we hem naar zijn visie op cyber warfare, luchtvaartveiligheid en de rol van cybercriminelen en ransomware in de toekomst.
Hoe belangrijk is cyber warfare tegenwoordig tijdens oorlogsvoering? Of beter gezegd: is cyber warfare zelf de (belangrijkste) oorlog?
Als voormalig militair piloot ben ik me terdege bewust van de veranderingen in de manier waarop we tegenwoordig vechten. We hebben het over kinetische oorlogsvoering als actieve oorlogsvoering, waarbij conventionele en onconventionele wapens in beweging zijn. Niet-kinetische oorlogsvoering omvat doorgaans cyber warfare, economische sancties en diplomatie.
Het enige verschil tussen cybercrime en cyber warfare is de motivatie. Cyber warfare vindt al jaren plaats in verschillende delen van de wereld. Het wordt grotendeels onopgemerkt door de reguliere media en het publiek, vooral omdat het onzichtbaar is en omdat de schade niet in dramatische beelden op voorpagina’s kan worden vastgelegd.
Gecombineerd met kinetische oorlogsvoering zijn cyberaanvallen zeer efficiënt in het ‘vormgeven van het slagveld’. Dat wil zeggen het verwarren en afleiden van de vijand, het verstoren van de communicatie, het verzamelen van inlichtingen en spionage. Ik durf te zeggen dat iemands vermogen tot cyber warfare een beslissend wapen is op het hedendaagse strijdtoneel.
Welke rol speelt de ‘Big 4’ op het veiligheidstoneel wereldwijd, en hoe denk je dat dit zal ontwikkelen?
Op het gebied van cybersecurity verwijst de Big 4 naar de landen die de grootste aantallen cybercriminelen huisvesten: China, Rusland, Iran en Noord-Korea. Deze landen herbergen allemaal zeer geavanceerde, door de staat gesponsorde groepen cybercriminelen, vaak in dienst van overheidsinstanties. Ze worden geregeerd door dictators die hun eigen regels opstellen en banden met deze threat actors gemakkelijk kunnen ontkennen.
Het is moeilijk om precies te zeggen welk percentage van de cybercrime wordt toegeschreven aan threat actors die zich in deze Big 4 bevinden, omdat cybercriminaliteit vaak complex is. Maar het is niet onmogelijk te traceren en toe te schrijven. Het is echter overduidelijk en bewezen dat deze vier landen allemaal belangrijke bronnen van cybercrime zijn, waarbij threat actors rechtstreeks voor de overheid werken of bescherming genieten binnen haar grenzen.
De democratische wereld, met haar open samenleving, loopt achter bij de ontwikkeling van cyber warfare-capaciteiten. Totdat we de achterstand hebben ingelopen, zullen we een duidelijk nadeel hebben. De Big 4 zal doorgaan met het stelen van ons intellectueel eigendom en cryptocurrencies, onze samenleving opzettelijk ontwrichten en inlichtingen verzamelen voor industriële en militaire doeleinden ter voorbereiding op eventuele, kinetische oorlogsvoering.
Hoe kwetsbaar is uw sector, de luchtvaartsector, voor hackers?
De luchtvaartindustrie is volledig met elkaar verbonden, maakt deel uit van het essentiële mondiale transportsysteem en is afhankelijk van zeer complexe en vaak verouderde it-systemen. Het vakgebied ondergaat nog steeds enorme digitale transformaties en het einde daarvan is nog niet in zicht. De luchtvaartindustrie is ook cruciaal voor de economie van elk land, en het ontwrichten ervan zal verstrekkende gevolgen hebben.
Threat actors zullen manieren blijven vinden om luchtverkeersleidingssystemen, passagiersinformatiesystemen, reserveringssystemen en onze toeleveringsketen te ontwrichten. Voor hen is er veel laaghangend fruit met een hoge beloningsfactor. Een eenvoudige ransomware-aanval kan privégegevens in gevaar brengen en vitale it-systemen onbruikbaar maken, waardoor de luchthavenactiviteiten vele dagen worden stilgelegd. Privégegevens van passagiers zijn van grote waarde op het dark web.
Hoe veilig is vliegen tegenwoordig als vliegtuigen, boordevol computers, tijdens de vlucht worden gehackt?
Moderne vliegtuigen zitten vol met honderden computers, hoewel de meeste niet met internet zijn verbonden. We hebben tot nog toe geen succesvolle cyberaanvallen op een vliegtuig tijdens de vlucht of gerelateerde incidenten gezien. Gps-spoofing wordt echter een steeds vervelender probleem, vooral langs de Fins-Russische grens en rond het Iraanse luchtruim. Een gps-spoofing-aanval vermindert opzettelijk de nauwkeurigheid van satelliet-gps-signalen die worden gebruikt om vliegtuigen te laten navigeren en landen op een luchthaven.
Al met al verwacht ik niet dat een hacker de besturing van mijn vliegtuig tijdens de vlucht kan overnemen. Toch kunnen ze problemen veroorzaken als ze bijvoorbeeld de beschikbaarheid of integriteit van specifieke subsystemen weten aan te tasten. Ik ontwikkel cybersecurity-trainingsprogramma’s voor piloten van luchtvaartmaatschappijen om ze te trainen in vluchtsimulatoren. Het herkennen van de dreiging en de signalen van een cyberaanval zijn de voornaamste doelstellingen van deze trainingen.
Wanneer zal de wereld eindelijk verlost zijn van cybercriminelen?
Ik ben bang dat de wereld nooit zal worden verlost van cybercriminelen, of van criminelen in het algemeen. Ze zullen gewoon in verschillende gedaanten blijven verschijnen. Precies zoals de mensheid altijd oorlog heeft gekend. Misschien is het een ontwerpfout in de Homo Sapiens?
Veel regeringen, maar vooral dictators wereldwijd, gebruiken hun cybercapaciteiten als goedkope, bijna niet-detecteerbare, niet-kinetische wapens. Zoals eerder vermeld is de Big 4 verantwoordelijk voor de meeste cyberaanvallen wereldwijd, en ze weten dat we niet hun cyber-criminele bedoelingen uit kunnen schakelen.
De dunne grens tussen kinetische en niet-kinetische oorlogsvoering vervaagt, wat betekent dat cyber warfare in snel tempo een geïntegreerd en essentieel onderdeel van oorlogsvoering wordt. Ik ben bang dat we cybercrime nog vele jaren moeten blijven bestrijden, tenzij we misschien wereldwijde vrede bereiken?
En in het verlengde daarvan: elimineren we ooit ransomware en ransomware-aanvallen?
Ransomware is gewoon een andere vorm van cybercrime, maar dan werkt het ontwrichtend. We zullen nooit al onze bedrijven, burgers en overheden kunnen beschermen tegen cybercrime. Daarvoor is cybersecurity simpelweg te complex. Er bestaat niet zoiets als 100 procent veiligheid. Het proactief opsporen en neutraliseren van de threat actors zou echter aanzienlijk helpen tegen de explosieve opkomst van ransomware waar we vandaag de dag nog steeds mee te maken hebben.
Biografie Serge Christiaans
Serge Christiaans is een in Singapore gevestigde ciso en dataprivacyexpert. Hij is ook directeur en bestuurslid van de afdeling Isaca Singapore en vliegt als kapitein op een commerciële Airbus. Voordat hij ciso-rollen op zich nam, behaalde hij een bedrijfsdiploma aan de Koninklijke Nederlandse Militaire Academie en voltooide hij een masteropleiding in cybersecurity aan de Universiteit van West-Londen.
Met meer dan achttien jaar wereldwijde ervaring op het gebied van it en cyberbeveiliging heeft hij sinds 2005 voor veel organisaties gediend als leider op het gebied van cyberbeveiliging en gegevensprivacy. Hij heeft uitgebreide operationele leiderschapservaring opgebouwd als militair piloot en leider op het gebied van cyberbeveiliging, actief in de regio Azië-Pacific.
Hij wordt algemeen erkend vanwege zijn inspirerende, mensgerichte leiderschaps- en mentorstijl en uitgebreide luchtvaartervaring. Christiaans praat graag over het leven, het universum en alles daartussenin, inclusief leiderschap, bedrijfsculturen en uiteraard de luchtvaart, bij voorkeur onder het genot van een uitstekend kopje espresso.
Dit artikel verscheen eerder in een sterk ingekorte vorm (in het Engels) in het Cybersec Europe e-Magazine #3
