‘Is dit de instantie die moet waken over mijn vingerafdrukken?' Of hoe de hack bij de FOD Binnenlandse Zaken de gemoederen blijft beroeren. En tegelijk bevestigen de gebeurtenissen enkele hardnekkige feiten over statelijke aanvallen.
1. Niets is wat het lijkt
Bij de analyse van de hack bij FOD Binnenlandse Zaken hebben experts en media zich toch wel vergist, vindt Eddy Willems, security-evangelist bij G-data. Iets wat hij twee dagen geleden ook al tweette. Het FOD gebruikte Microsoft Exchange en daarvan was toen net bekend geworden dat het kwetsbaarheden bevatte die konden worden uitgebuit, de zogenaamde Hafnium attacks. Een monitoring naar aanleiding hiervan, door het CCB (Centrum voor Cybersecurity België), wees uit dat er iets grondig mis was. ‘De monitoring naar aanleiding van die Exchange-kwetsbaarheden toonde dus de aanwezigheid van hackers aan’, oppert Eddy Willems.
Ook dat de aanval meteen aan China werd toegeschreven lijkt hem onterecht. ‘Dat kan je meteen na zo’n incident onmogelijk te weten komen’, zegt Willems. ‘Dat lukt pas na een uitgebreide analyse, die overigens vaak door securitybedrijven gebeurt.’
2. Meer dan China en Rusland
Waarnemers vergelijken de hack bij Binnenlandse Zaken met de beruchte Proximus-hack (toen nog Belgacom) die ook lang onder de radar bleef. Die werd uitgevoerd door een inlichtingendienst van bondgenoot Groot-Brittannië. Willems ziet voor deze hack bij Binnenlandse Zaken eerder gelijkenissen met de hack bij de collega’s van FOD Buitenlandse Zaken uit 2014. ‘Dat was toen via de zogenaamde snake malware en die is van Russische makelij.’ Snake was toen al de toepassing bij uitstek van de Russen om dergelijke hacks uit te voeren.
Om maar aan te geven dat er meer landen zijn die instaan voor statelijke cyberaanvallen. Denk dus aan China en Rusland, maar ook aan de Verenigde Staten, het Verenigd Koninkrijk, Israël en Noord-Korea. En soms worden ook Iran, Zuid-Korea en Oekraïne genoemd. ‘Ook Nederland bekwaamt er zich meer en meer in. Al kan in theorie iedereen, en dus ook elk land, dit uitvoeren.’
3. Meer dan hacks: diverse manieren
Statelijke cyberaanvallen zijn altijd moeilijk om mee om te gaan, stelt Stefaan Hinderyckx, beveiligingstopman bij NTT. Hij omschrijft dit soort aanvallen als een driekoppig monster. ‘Als je één kop afhakt, groeit die meteen weer aan.’ Of hoe ze moeilijk uit te roeien en in te schatten zijn.
Ze hebben ook de reputatie complex te zijn, met de malwareaanval rond Stuxnet – op een nucleaire faciliteit in Iran en uitgevoerd door Israël en de VS – in het achterhoofd. Al zijn ze doorgaans niet zo complex als Stuxnet. ‘Over de aanval bij binnenlandse zaken vraag ik me af of die echt wel zo gesofisticeerd was. Wat misschien nog het meest gesofisticeerd was, is dat ze zo lang onder de radar zijn kunnen blijven’, stelt Willems.
Ook hacks bij Proximus, de premier, Buitenlandse Zaken en Belnet werden toegeschreven aan statelijke cyberaanvallen. De aanpak wil vaak grondig verschillen. Er doen over statelijke aanvallen veel samenzweringstheorieën de ronde, stelt ook ethische hacker Inti De Ceukelaire. ‘Maar als er één samenzweringstheorie is die ik geloof, dan is het dat Rusland actief desinformatie en propaganda verspreidt binnen Europa om voor verdeeldheid te zorgen. Via zogenaamde troll-accounts, maar evenzeer via accounts als @RT_com’, zo liet De Ceukelaire zich deze week ontvallen op Twitter. ‘Het is de aanpak van verdeel en heers.’
4. Alle middelen zijn goed
Een constante bij veel cyberaanvallen is dat het maar traag aanzet tot samenwerking. Zo was de aanval bij Proximus indertijd wel de aanleiding voor de Cyber Security Coalition, waarbij spelers uit de academische wereld, openbare instanties en de privésector de krachten bundelden.
Toch wordt onder securitybedrijven nog altijd veel te weinig kennis gedeeld, vindt Willems. ‘Dat is ook bij dit incident het geval. De gegevens worden gedeeld met de leverancier, en mogelijk met een derde partij. En waarschijnlijk ook met het CERT. Maar het zou veel beter zijn dat de hele security-industrie er inzicht in krijgt.’
5. De pr-ramp
Of het nu de Democratische Partij is in de VS of een ministerie in ons land: zo’n hack is altijd vervelend voor de partij die het overkomt. ‘Omdat meestal een menselijke fout aan de basis ligt. Vaak heeft iemand gewoon op een foute link geklikt of een fout bestand geopend. Maar dat vertelt niemand graag in het openbaar’, stelt Willems.
Ook bij Binnenlandse Zaken kunnen ze zoiets missen als kiespijn. Enerzijds omdat data in foute handen zijn gevallen, anderzijds door de reputatieschade. Of zoals iemand op Twitter zich liet ontvallen: ‘Is dit dan de instantie die moet waken over mijn vingerafdrukken?’
