Ciso Serge Christiaans wordt aan de tand gevoeld
INTERVIEW – Tijdens de lokale editie van Cybersec Europe in Nederland, Utrecht (Cybersec Netherlands 2023) nam chief information security officer (ciso) Serge Christiaans deel aan de paneldiscussie over ot-security. Vervolgens vroegen we hem naar zijn visie op cyberoorlogvoering, luchtvaartveiligheid en de rol van cybercriminelen en ransomware in de toekomst.
Hoe cruciaal is cyberoorlogvoering tegenwoordig tijdens oorlogsvoering? Of beter gezegd: is cyberoorlogvoering zelf de (belangrijkste) oorlog?
Als voormalig militair piloot ben ik me terdege bewust van de veranderingen in de manier waarop we tegenwoordig vechten. We hebben het over kinetische oorlogsvoering als actieve oorlogsvoering, waarbij conventionele en onconventionele wapens in beweging zijn. Niet-kinetische oorlogsvoering omvat doorgaans cyberoorlogvoering, economische sancties en diplomatie.
Het enige verschil tussen cybercriminaliteit en cyberoorlogvoering is de motivatie. Cyberoorlogvoering vindt al jaren plaats in verschillende delen van de wereld. Het wordt grotendeels onopgemerkt door de reguliere media en het publiek, vooral omdat het onzichtbaar is en omdat de schade niet in dramatische beelden op voorpagina’s kan worden vastgelegd.
Gecombineerd met kinetische oorlogsvoering zijn cyberaanvallen zeer efficiënt in het ‘vormgeven van het slagveld’. Dat wil zeggen het verwarren en afleiden van de vijand, het verstoren van de communicatie, het verzamelen van inlichtingen en spionage. Ik durf te zeggen dat iemands vermogen tot cyberoorlogvoering een beslissend wapen is op de hedendaagse slagvelden.
Welke rol speelt de ‘Big 4’ op het veiligheidswereldtoneel, en hoe denk je dat zich dat zal ontwikkelen?
Op het gebied van cyberbeveiliging verwijst de Big 4 naar de landen die de grootste aantallen cybercriminelen huisvesten: China, Rusland, Iran en Noord-Korea. Deze landen herbergen allemaal zeer geavanceerde, door de staat gesponsorde groepen cybercriminelen, vaak in dienst van overheidsinstanties. Ze worden geregeerd door dictators die hun eigen regels opstellen en banden met deze dreigingsactoren gemakkelijk kunnen ontkennen.
Het is moeilijk om precies te zeggen welk percentage van de cybercriminaliteit wordt toegeschreven aan dreigingsactoren die zich in de Big 4 bevinden, omdat cybercriminaliteit vaak complex is. Maar het is niet onmogelijk te traceren en toe te schrijven. Het is echter overduidelijk en bewezen dat deze vier landen allemaal belangrijke bronnen van cybercriminaliteit zijn, waarbij dreigingsactoren rechtstreeks voor de overheid werken of bescherming genieten binnen haar grenzen.
De democratische wereld, met haar open samenleving, loopt achter bij de ontwikkeling van cyberoorlogscapaciteiten. Totdat we de achterstand hebben ingelopen, zullen we een duidelijk nadeel hebben. De Big 4 zal doorgaan met het stelen van ons intellectueel eigendom en cryptocurrencies, onze samenleving opzettelijk ontwrichten en inlichtingen verzamelen voor industriële en militaire doeleinden ter voorbereiding op eventuele kinetische oorlogsvoering.
Hoe kwetsbaar is uw sector, de luchtvaartsector, voor hackers?
De luchtvaartindustrie is volledig met elkaar verbonden, maakt deel uit van het essentiële mondiale transportsysteem en is afhankelijk van zeer complexe en vaak verouderde it-systemen. Het vakgebied ondergaat nog steeds enorme digitale transformaties en we hebben het einde daarvan nog niet in zicht. De luchtvaartindustrie is ook van vitaal belang voor de economie van elk land, en het ontwrichten ervan zal verstrekkende gevolgen hebben.
Bedreigingsactoren zullen manieren blijven vinden om luchtverkeersleidingssystemen, passagiersinformatiesystemen, reserveringssystemen en onze toeleveringsketen te ontwrichten. Voor hen is er veel laaghangend fruit met een hoge beloningsfactor. Een eenvoudige ransomware-aanval kan privégegevens in gevaar brengen en vitale it-systemen onbruikbaar maken, waardoor de luchthavenactiviteiten vele dagen worden stilgelegd. Privégegevens van passagiers zijn van grote waarde op het dark web.
Hoe veilig is vliegen tegenwoordig als vliegtuigen, boordevol computers, tijdens de vlucht worden gehackt?
Moderne vliegtuigen zitten vol met honderden computers, hoewel de meeste niet met internet zijn verbonden. We hebben tot nog toe geen succesvolle cyberaanvallen op een vliegtuig tijdens de vlucht of gerelateerde incidenten gezien. Gps-spoofing wordt echter een steeds vervelender probleem, vooral langs de Fins-Russische grens en rond het Iraanse luchtruim. Een gps-spoofing-aanval vermindert opzettelijk de nauwkeurigheid van satelliet-gps-signalen die worden gebruikt om vliegtuigen te laten navigeren en landen op een luchthaven.
Al met al verwacht ik niet dat een hacker de besturing van mijn vliegtuig tijdens de vlucht kan overnemen. Toch kunnen ze problemen veroorzaken als ze bijvoorbeeld de beschikbaarheid of integriteit van specifieke subsystemen weten aan te tasten. Ik ontwikkel cybersecurity-trainingsprogramma’s voor piloten van luchtvaartmaatschappijen om ze te trainen in vluchtsimulatoren. Het herkennen van de dreiging en de signalen van een cyberaanval zijn de voornaamste doelstellingen van deze trainingen.
Wanneer zal de wereld eindelijk verlost zijn van cybercriminelen?
Ik ben bang dat de wereld nooit zal worden bevrijd van cybercriminelen, of van criminelen in het algemeen. Ze zullen gewoon in verschillende gedaanten blijven verschijnen. Precies zoals de mensheid altijd oorlog heeft gekend. Misschien is het een ontwerpfout in de Homo Sapiens?
Veel regeringen, maar vooral dictators wereldwijd, gebruiken hun cybercapaciteiten als goedkope, bijna niet-detecteerbare, niet-kinetische wapens. Zoals eerder vermeld is de Big 4 verantwoordelijk voor de meeste cyberaanvallen wereldwijd, en ze weten dat we geen manier hebben om hun cybercriminele bedoelingen onschadelijk te maken.
De dunne grens tussen kinetische en niet-kinetische oorlogsvoering vervaagt, wat betekent dat cyberoorlogvoering in snel tempo een geïntegreerd en essentieel onderdeel van oorlogsvoering wordt. Ik ben bang dat we cybercriminaliteit nog vele jaren moeten blijven bestrijden, tenzij we misschien mondiale vrede bereiken?
En in het verlengde daarvan: elimineren we ooit ransomware en ransomware-aanvallen?
Ransomware is gewoon een andere vorm van cybercriminaliteit, zij het dan ontwrichtend. We zullen nooit al onze bedrijven, burgers en overheden kunnen beschermen tegen cybercriminaliteit. Daarvoor is cybersecurity simpelweg te complex. Er bestaat niet zoiets als 100 procent veiligheid. Het proactief opsporen en neutraliseren van de bedreigingsactoren zou echter aanzienlijk helpen tegen de endemische opkomst van ransomware waar we vandaag de dag nog steeds mee te maken hebben.
Biografie Serge Christiaans
Serge Christiaans is een in Singapore gevestigde ciso en dataprivacyexpert. Hij is ook directeur en bestuurslid van de afdeling Isaca Singapore en vliegt als kapitein op een commerciële Airbus. Voordat hij ciso-rollen op zich nam, behaalde hij een bedrijfsdiploma aan de Koninklijke Nederlandse Militaire Academie en voltooide hij een masteropleiding in cybersecurity aan de Universiteit van West-Londen.
Met meer dan achttien jaar wereldwijde ervaring op het gebied van it en cyberbeveiliging heeft hij sinds 2005 voor veel organisaties gediend als leider op het gebied van cyberbeveiliging en gegevensprivacy. Hij heeft uitgebreide operationele leiderschapservaring opgebouwd als gedecoreerd militair piloot en leider op het gebied van cyberbeveiliging, actief in de regio Azië-Pacific.
Hij wordt algemeen erkend vanwege zijn inspirerende, mensgerichte leiderschaps- en mentorstijl en uitgebreide luchtvaartervaring. Christiaans praat graag over het leven, het universum en alles daartussenin, inclusief leiderschap, bedrijfsculturen en uiteraard de luchtvaart, bij voorkeur onder het genot van een uitstekend kopje espresso.
Dit artikel verscheen eerder in een sterk ingekorte vorm (in het Engels) in het Cybersec Europe e-Magazine #3