Twee strofes uit de Cybersecuritystrategie 2.0 van België: ‘De evolutie van de cyberdreiging van financieel gedreven naar geopolitiek gemotiveerd is uiterst zorgwekkend. Westerse landen worden geconfronteerd met een dreiging in cyberspace die het gevaar van fysieke aanvallen overstijgt (…). 'Cybersecurity is niet enkel de verantwoordelijkheid van de overheid. Het is een gezamenlijke inspanning, waar alle betrokken stakeholders aan kunnen bijdragen: bevolking, bedrijven, overheidsdiensten en organisaties van vitaal belang.'
Het CCB geldt als centraal coördinatiepunt voor cyberveiligheid in België en bedient derhalve al die betrokken stakeholders. Een één-loket-aanpak die voordelen biedt, stelt De Bruycker.
Hij vertelt dat het CCB is gestart met het zich een beeld vormen van die betrokken partijen en de aan hen te leveren services. Die zijn vervolgens in een catalogus gegroepeerd.
‘Internet wordt vaak als een publieke ruimte gezien maar ik denk dat er sprake is van een private ruimte om eerlijk te zijn. Neem deze virtuele ontmoeting: ik ben verbonden met een privénetwerk van een internet serviceprovider, ik ga over die lijnen naar een andere internet serviceprovider om dan uiteindelijk in uw privéomgeving terecht te komen. Dat geldt voor 99 procent van alle internetverkeer. Het is niet zo dat ik hier naar buiten stap zoals ik uit mijn huis stap en de straat opga. In de fysieke publieke ruimte kunnen we als overheid relatief gemakkelijk camera’s plaatsen vanuit veiligheidsoverwegingen, maar als overheid kun je niet zomaar een detectiesysteem plaatsen bij een internet serviceprovider. Echter, de cyberdreiging neemt toe en naar de bevolking is onze belangrijkste taak om ze daarvan bewust te maken. Sinds 2017 voeren we in de maand oktober campagne.’
‘De tweede groep zijn bedrijven en hen willen we vooral tools aanreiken. We hebben een cybersecurity reference guide gemaakt met daarin opgenomen een 160-tal checkpunten, opgesplitst naar basic en advanced, waarmee ze dreigingsniveau en risicoanalyse kunnen meten.’
De derde groep zijn overheidsdiensten. België heeft een complexe overheidsstructuur wat een gecoördineerd cyberveiligheidsbeleid voor overheidsdiensten niet eenvoudig maakt. Daar ligt een uitdaging, erkent De Bruycker, ‘omdat overheidsdiensten in België zeer onafhankelijk werken en niet graag, laten we zeggen, beïnvloed worden of gestuurd worden of gecontroleerd worden door anderen. Dus dat was een beetje een moeilijke groep om mee van start te gaan, maar we hebben daarvoor toch een vorm gevonden vorig jaar en dat loopt nu ook.’
De vierde groep kenmerkt hij als de belangrijkste: organisaties van vitaal belang. ‘Dat zijn de aanbieders van essentiële diensten en de operatoren van kritieke infrastructuur. Daarvoor hebben we bijvoorbeeld een early warning systeem gebouwd, een centrale hub waarop we alle informatie binnentrekken en vervolgens delen met die organisaties van vitaal belang en met de inlichtingen- en veiligheidsdiensten.’
Evenwichtsoefening
‘We hebben het CCB opgestart met als idee: wij gaan de leiding nemen. Maar cybersecurity is zeker niet enkel materie voor ons. Iedereen heeft zijn verantwoordelijkheid en wij willen iedereen respecteren in zijn verantwoordelijkheid. Dus ja, wij zijn de nationale autoriteit, maar we staan open voor alle voorstellen en voor alle ideeën. Feit is dat een dergelijke evolutie tijd vraagt. En zoals met alle evoluties in de wereld en in de geschiedenis, als je te snel wilt dan krijg je weerstand. Dat is een beetje de evenwichtsoefening die denk ik elk land meemaakt. Op een bepaald moment brengt iemand iets in beweging en dan komt er een reactie en zo ontstaat een wisselwerking. Defensie heeft aangegeven veel meer capaciteit te gaan opbouwen, misschien zelfs een offensieve capaciteit te gaan oprichten. Dat is nu een beweging in België die we proberen te kaderen. Wat betekent dit? Wat is het politiek draagvlak daarvoor? Eind vorig jaar hebben de Verenigde Staten besloten meer offensieve capaciteit in te zetten tegen de ransomware dreiging. Ik ben zeer benieuwd naar wat het effect daarvan zal zijn.’
In uw Cybersecuritystrategie 2.0 waarin taken en doelstellingen voor de periode 2021-2025 worden geschetst, is het doel geformuleerd dat tegen 2025 België in het cyberdomein één van de minst kwetsbare landen van Europa moet zijn. Dat is een duidelijke ambitie. Hoe benchmarkt zich dat nu en wat is er dan nog nodig?
‘Die benchmarking blijft een waanzinnige uitdaging. Wij gebruiken daarvoor momenteel een aantal indexen die meer strategisch van aard zijn, zoals bijvoorbeeld de National Cyber Security Index, die beheerd wordt door Estland. Daarnaast maken we gebruik van het BITSIGHT platform, dat is een meer technisch platform dat ons zicht geeft op onze kwetsbaarheden. Wij kunnen daar permanent volgen wat de ranking is van ons land ten opzichte van de andere EU-landen.’
‘Die kwetsbaarheid kent in onze visie twee richtingen: enerzijds de menselijke kwetsbaarheid en anderzijds de technische kwetsbaarheid. De menselijke kwetsbaarheid, die komt er eigenlijk op neer: je kunt over de veiligste wagen beschikken en het beste wegensysteem en de beste veiligheidsmaatregelen, maar daar past ook een zeker gedrag en bewustzijn van de chauffeur bij. Op internet komt veel spoofing voor, dat is je voordoen als iemand anders, en het is zaak dat gebruikers zich daarvan bewust zijn en zich naar gedragen. Sinds 2017 kennen we hier in België in de maand oktober een grote nationale awareness campagne. De meest recente campagne was ‘Wees slimmer dan een phisher’. We hebben sinds de start burgers ook gevraagd dat als ze iets verdachts opmerken dit via e-mail aan ons te melden. Dat kunnen ze doen op safeonweb.be, dat is ons nationaal portaal voor de bevolking. Op vier jaar tijd zijn we erin geslaagd om het aantal meldingen te laten stijgen naar bijna 13.000 per dag! Dat geeft ons een ongelooflijk zicht op wat er allemaal gebeurt en wij sturen die malicious links door naar bijvoorbeeld Microsoft en Google.’
In dit verband, vertelt De Bruycker, wordt ook gebruikt gemaakt van het Belgian Anti-Phishing Shield (BAPS), een systeem waarbij in samenwerking met een aantal grote internet serviceproviders wordt gewaarschuwd voor onechte webpagina’s. ‘Wij sturen per dag gemiddeld tien- tot dertigduizend keer een waarschuwing uit, wat betekent dat er even zo vaak door iemand op een link wordt geklikt naar een kwaadaardige webpagina.’
Zijn er bepaalde trends uit af te leiden, komen die mails uit bepaalde landen of kringen?
‘Nee, die analyses kunnen we niet zomaar maken. Feit is wel: het wordt alsmaar moeilijker om phishingmails te herkennen. Ze volgen de actualiteit, het is vaak ook perfect Nederlands en Frans. Ze worden beter en dus het is dringend tijd dat wij ook beter worden anders gaat het fout lopen.’
Is er samenwerking met andere landen binnen Europa overigens in dit kader, de trends en de risico- en dreigingsactoren lijken min of meer gelijk?
‘De dreigingen die wij zien zijn inderdaad voor de meeste EU-landen gelijkwaardig. Er komt op verschillende onderwerpen samenwerking op gang, vaak nog case by case, maar dat is een fantastische evolutie.’
De Bruycker refereert onder meer aan FluBot-malware die in mei 2021 opdook en waarmee criminelen zich via een app toegang verschaffen tot Android smartphones. Hij voegt eraan toe dat de Cybersecuritystrategie 2.0 van België ook aan een internationale context raakt, aan initiatieven van de Europese Unie om de cyberweerbaarheid binnen de EU te promoten en te verbeteren, met als basis de Cybersecurity Act van 2019.
Al in 2005 publiceerde u een visiedocument over cyberdefensie. U was er vroeg bij?
‘Ja, blijkbaar wel. Ik zat als stafofficier bij de informaticadienst van Defensie en had directe contacten met stafofficieren van de dienst strategie. Die werkten aan een toekomstvisie voor Defensie en ik ben dan gevraagd om een hoofdstuk te schrijven over cyberdefence. Ik had al interesse in de initiatieven van de Amerikaanse luchtmacht op dat gebied en een toevallige ontmoeting met een vroegere studiegenoot gaf me ook veel inzicht. Ik vond dat toen al een heel boeiende materie omdat wij vanuit ict-oogpunt ook geconfronteerd werden met de uitdaging om de netwerken van Defensie te beveiligen.’
Strategische visie
‘Mijn strategische visie voor de toekomst is dat je niet alleen de mensen moet klaarmaken voor het internet, maar dat we ook het internet zullen moeten klaarmaken voor de mens. En dat betekent dat we een extra laag zullen moeten bouwen bovenop het internet die veel meer gebaseerd is op digitale identiteit. Sta me toe een voorbeeld te geven: wanneer je op het internet een website opzet, dan komt daar een certificaat op, dat is een slotje dat je ziet in de url-balk. Als je kijkt naar de fysieke wereld, althans in België is het al meer dan honderd jaar zo voor drukwerk, dan ben je wettelijk verplicht als je een flyer verspreidt of een affiche uithangt om erop te zetten wie verantwoordelijk is voor die boodschap. Maar dat is niet zo voor websites.’
‘Ik vind dat wij als overheid ook een rol spelen als het gaat over het wettelijk kader van het internet en dat betreft ook de identiteit. Stel je voor dat we allemaal rondrijden op de snelweg in een wagen zonder nummerplaat, wie houdt zich dan nog aan regels?’ De Bruycker spreekt in dit verband over het concept van trusted publisher waarbij wordt uitgegaan van een aantal validatieniveaus waarvoor certificaten kunnen worden afgegeven. ‘Het hoogste niveau is extended validation wat wil zeggen dat zowel de organisatie als de identiteit van de aanvrager worden gecontroleerd. Dat zie je als je bij je bank inlogt.’
Hij vertelt dat er een prototype browser plug-in is ontwikkeld waardoor aan internet gebruikers via kleuren (groen, geel, oranje) zichtbaar wordt gemaakt hoe (on)veilig de bezochte website is. ‘Het doel is als ik een mail krijg van mijn bank met een link en ik klik op die link en ik kom terecht op een website die lijkt op de website van mijn bank, maar het niet is, dan kleurt de plug-in oranje.’
Omgekeerd praat De Bruycker ook over het concept van trusted sender waarbij de identiteit van degene die een boodschap verstuurt is te valideren. Daarbij zou gebruik gemaakt kunnen worden van Itsme, een app voor de smartphone je je online identificeert. De app is een initiatief van enkele telco’s en banken in België, is door de overheid geadopteerd en kent bijna zes miljoen gebruikers. Een mobiele oplossing met als basis een door de overheid gevalideerde identiteit.
De Bruycker: ‘Waarom zou ik met die app niet aanloggen op mijn e-mail, op mijn Messenger of mijn WhatsApp? Dan krijg ik bijvoorbeeld een Decentralized ID-token, met een bepaalde geldigheidsduur en om de zoveel tijd moet ik opnieuw via Itsme bevestigen dat ik het ben en dan krijg ik een nieuw token en als ik een bericht ontvang van iemand – dat kan een sms zijn, een e-mail of een WhatsApp – dan kan ik controleren of daar een digitale identiteit aan gekoppeld is ja of nee.’
Hij vertelt dat er in Estland en Griekenland vergelijkbare systemen bestaan, gekoppeld aan de smartphone. ‘Of dergelijke systemen onfeilbaar zijn, daarop heb ik geen antwoord, maar Itsme® is naar mijn weten nog nooit gekraakt.’
De Bruycker plaatst wel een kanttekening. ‘Dergelijke toepassingen en ideeën ondervinden vaak weerstand omdat ze afbreuk zouden doen aan het concept van een open en free – lees bijna anoniem – internet. Dat biedt mensen wereldwijd de mogelijkheid om zich te laten horen, om ideeën te verkondigen, zonder schrik te moeten hebben voor vervolging. Dat is een belangrijk principe. Met die extra laag moeten we geen afbreuk doen aan de mogelijkheid anoniem te willen publiceren. Die twee moeten dus naast elkaar kunnen bestaan.’
Dit artikel is ook te lezen in GOV-magazine nummer 19 van Atos.