Welk Belgisch security-incident van de laatste jaren was het meest memorabel? Daarover debatteerden de bezoekers van het Computable Café met security-expert Marc Vael.
Vael had zelf al een top tien van incidenten opgesteld waaruit hij zelf een top-drie had gedistilleerd. Die top-tien behandelt hij ook in een boek dat hij geschreven heeft. Daaronder onder meer de patiënten-gegevens van het Emmaüs-ziekenhuis die via een incompetente leverancier op internet belandde, Electrabel-gate waarbij de voorzitter van de raad van bestuur van de energiegigant zijn eigen personeel bespiedde en de medewerker van Toyota Motor Europe die een cd met hr-informatie van het personeel kwijtspeelde.
Opvallende afwezige was de Belgacom-hack, waarbij de Britse geheime dienst GCHQ, geholpen door het Amerikaanse NSA, telefoon- en dataverkeer kon afluisteren via systemen bij Belgacom. ‘Die hack heb ik bewust niet meegenomen omdat het een state sponsored attack was’, zegt Vael. ‘Je vindt er ook weinig meer relevante informatie over dan datgene wat al in de media is verschenen.’
Top-3
De top-3 bestond uiteindelijk uit de ceo-fraude bij Crelan, waarbij een medewerker, die dacht dat hij handelde in opdracht van de ceo, geld overschreef naar hackers. ‘De bank verloor er uiteindelijk zeventig miljoen euro mee’, zegt Vael. ‘Het is ook bijzonder on-Belgisch dat ze hierover zo snel en open hebben gecommuniceerd. Heel veel andere bedrijven zouden geprobeerd hebben dit toegedekt te houden.’
De tweede case was WannaCry. Die begint bij een Amerikaanse medewerker van het NSA die malware op zijn computer mee naar huis neemt maar gehackt wordt. De hackers proberen de tools eerst te verkopen, maar wanneer dat niet lukt, gooien ze de boel gewoon op internet. Vael: ‘En vanaf dan was het maar een kwestie van tijd voor iemand er mee aan de slag zou gaan. Het opmerkelijke was ook dat je er als hacker eigenlijk helemaal niet veel voor hoefde te doen. Het ging bijna vanzelf. Maar de schade was wel gigantisch. Containerbehandelaar Maersk, die in de haven van Zeebrugge actief is, heeft er een kater van zeshonderd miljoen euro aan overgehouden. Niet alleen omdat ze hun it-systeem moesten vervangen, maar ook aan verloren business en schadeclaims.’
De derde case is de voortdurende hack van webcams die onvoldoende beveiligd zijn. ‘De websites waar je die onbeveiligde camera’s kunt bekijken, staan ook gewoon open voor iedereen’, legt Vael uit. ‘Je hoeft geen enkele hack-skill te hebben om mee te kijken in crèches, zwembaden, bistro’s of bedrijven. De kwaliteit van de beelden is vaak ook opmerkelijk: je kunt perfect mensen herkennen op de beelden, maar ook bijvoorbeeld nummerplaten. De les is dus: je kan wel camera’s installeren om je beveiliging op te krikken, maar je moet ze wel juist configureren en installeren, ofwel bekom je net het omgekeerde.’
Stemronde
Het publiek mocht stemmen en dat werd een nek-aan-nek-race tussen Wannary en Crelan. Argumenten voor de cases vlogen heen en weer. ‘Crelan is de meest herkenbare case en we kunnen er echt iets uit leren’, argumenteerde een bezoeker. Iemand anders argumenteert voor WannaCry: ‘Het gemak waarmee het ging en de enorme schade die op zo’n kort periode werd aangericht zijn ongezien.’
Uiteindelijk won Crelan het pleit. Iets waar ook Vael zich wel in kon vinden. ‘Ten eerste omdat zulke dingen nog altijd gebeuren, maar ook omdat Crelan zo moedig was om hier mee naar buiten te komen. Hopelijk kunnen andere bedrijven en organisaties er iets van leren.’
