Advertentie

‘Overheid moet internet dringend veiliger maken'

©Dieter Telemans

Securityblogger Len Lavens zet na tien jaar een punt achter zijn Belsec-blog. Niet dat er niets meer te schrijven valt. ‘Het ontbreekt dit land al jaren aan middelen en samenwerking om de cyberveiligheid te verbeteren.’

Nadat hij bijna drie uur onvermoeibaar heeft gepraat over de wereld van hackers, onlinespionnen en cyberterreur, toont Len Lavens me nog even hoe eenvoudig het is om onveilige Belgische websites te vinden. Het duurt geen minuut voor hij via Google enkele bekende sites heeft gevonden die het slachtoffer zijn geworden van een ‘defacement’, een inbraak waarbij hackers de inhoud van de site veranderen.

Zo’n defacement is vooral vervelend voor de reputatie van de gehackte organisatie. ‘Maar het is ook een signaal voor andere hackers dat het om een slecht beveiligde website gaat’, zegt Lavens. Dat trekt dan weer de aandacht van onder meer de beruchte hackersgroep Rex Mundi, die de voorbije twee jaar bijna 1 miljoen persoonsgegevens heeft buitgemaakt van Belgen en buitenlanders.

Advertentie

Slecht beveiligde webformulieren zijn voor Rex Mundi en andere aanvallers een gemakkelijke manier om binnen te breken in databanken. En mocht u nog geloven dat de meeste organisaties daartegen wel beveiligd zijn, dan maakt Lavens u snel een illusie armer. ‘Hier: de website van de politie van Nijvel. Gedefaced, dus kwetsbaar voor hackers, én met een onlinewebformulier. Stel je voor dat een inwoner van Nijvel op reis gaat en via dat formulier vraagt of de politie zijn huis wil bewaken... Of hier: dit is de website van een bedrijf dat de referenties op het cv van sollicitanten controleert. Ook kwetsbaar. En ze bewaren hun beveiligingscertificaat op hun eigen server, wat absoluut uit den boze is.’

Lavens heeft de voorbije tien jaar een groot deel van zijn vrije tijd opgeofferd aan het opsporen en signaleren van zo’n openstaande achterpoortjes op het Belgische web. In het securitywereldje werd soms meewarig gedaan over de Oostendenaar die tegen windmolens leek te strijden. Maar zijn Belsec-blog lazen ze wel met aandacht. Lavens mocht twee keer getuigen in het federaal parlement, spaarde zijn kritiek niet op de Belgische domeinnaambeheerder DNS en op de gaten in de elektronische identiteitskaart. Op zijn blog rapporteerde hij geregeld over belangrijke hacks.

Toch kondigde hij onlangs aan een punt te zetten achter die blog. Een beslissing die veel te maken heeft met het gebrek aan juridische bescherming voor zogenaamde klokkenluiders. ‘Twee jaar geleden werd de hacking van een belangrijke database van een half miljoen Belgen gemeld. Tot elke prijs wilde ik de publicatie daarvan voorkomen. Ik heb toen samengewerkt met de FCCU - de afdeling cybercriminaliteit van de federale politie - en heb er een jaar lang niets over gepubliceerd. Toch liet een jurist me verstaan dat ik zelf in verdenking kon worden gesteld voor die hack. En bij de politie kreeg ik te horen dat ze me daartegen weinig bescherming konden bieden. Dan weet je wat stress betekent’, zegt hij. ‘Ook in andere gevallen ben ik door advocaten aangepakt. Bij het laatste incident liet men zelfs een profiel van mij en mijn gezin opstellen. Dat was voor mij de druppel. Ik voelde me als een koorddanser tussen twee flatgebouwen, zonder vangnet.’

Kunt u begrip opbrengen voor het juridische standpunt? Elke hacker kan wel beweren dat zijn bedoelingen nobel zijn.
Len Lavens: ‘Ik heb me altijd honderd procent gehouden aan een strikte interpretatie van de wet op cybercriminaliteit, en in alle openheid met verschillende diensten samengewerkt. De gemeenschap van veiligheidsspecialisten vraagt al sinds 2008 een statuut dat ‘responsible disclosure’ mogelijk maakt. Daarmee kan je organisaties informeren over hun beveiligingsproblemen zonder dat je zelf door hun advocaten aangepakt wordt. In de VS zijn er duizenden ethische hackers en zelfstandige specialisten die met de overheid samenwerken. Nog een ander probleem is dat je als blogger niet dezelfde bescherming hebt als beroepsjournalisten.’

We hebben toch al overheidsinstellingen die waken over een veilig internet, zoals CERT.be?
Lavens: ‘Het CERT of Cyber Emergency Response Team heeft daar nog altijd niet de middelen voor. Het team treedt meestal pas op nadat er een incident heeft plaatsgevonden. Het zou meer preventief moeten waarschuwen. De FCCU en het gerecht schieten pas in actie als er een klacht is ingediend. En de Privacycommissie wacht op nieuwe wetgeving uit Europa. Ze stelde wel aanbevelingen op om persoonsgegevens beter te beschermen, maar wil die nog niet juridisch afdwingen. En zo gaat het bijna altijd. De Vlaamse Toezichtscommissie (die toezicht houdt op het elektronische dataverkeer van openbare besturen, red.) kondigde op zeker ogenblik aan dat ze boetes zou opleggen aan besturen die de onlineveiligheid verwaarloosden. Toen ik een medewerker voorstelde een lijst van onveilige Vlaamse gemeentesites te bezorgen, zei hij me dat ik dat artikel over die boetes niet moest geloven.’

Lossen boetes de problemen op?
Lavens: ‘Ze kunnen de ongelijkheid wegwerken tussen echte ondernemers en klungelaars. Wie een zaak opent in de echte wereld, moet aan honderd voorwaarden voldoen, maar online kan je alle veiligheidsvoorschriften voor code, servers en data ongestraft negeren.’

Advertentie

Blijkbaar leeft het gevoel dat diefstal van persoonlijke data niet zo’n groot probleem is.
Lavens: ‘Onterecht. Criminelen proberen tegenwoordig gedetailleerde persoonlijke profielen op te stellen om gemakkelijker aan identiteitsfraude of oplichting te doen. Sommige Belgische overheidsdiensten en bedrijven gebruiken het rijksregisternummer online als identificatienummer, maar dat is een risico. Het is een uniek nummer dat criminelen toelaat de link te leggen tussen allerlei persoonsgegevens uit verschillende gelekte databanken, maar waarvan ze nog niet wisten bij welke persoon die hoorden.’

Wat moet er nog gebeuren?
Lavens: ‘Als iedereen zijn verantwoordelijkheid opneemt, zijn er geen nieuwe wetten nodig. Maak met de vakbonden afspraken om de gegevens van werknemers beter te beschermen. De grote operatoren kunnen waarschuwingen tonen als je een geïnfecteerde website bezoekt. We zouden een klein team moeten hebben onder de eerste minister dat meteen kan reageren op grote incidenten. De controle op onlinekredietwebsites zou moeten worden geregeld in een Koninklijk Besluit. En er is een evaluatie nodig van de beveiliging van de netwerken van de operatoren. De incidenten bij onder meer Belgacom, het gameplatform 9lives van Telenet en de Waalse kabelgroep VOO tonen aan dat dit niet voldoende is.’

‘Voor netwerkbeheerders zie ik drie grote uitdagingen. Eén: maak meer gebruik van dubbele authenticatie: een extra beveiligingssleutel bovenop het wachtwoord. Twee: concentreer je eerst op de gegevens waarvan je wakker zou liggen als ze zouden ‘verdwijnen’ en isoleer ze in een aparte en sterk beschermde omgeving.’

‘En drie: encryptie heeft maar zin als ze volledig is. De hele server, de harddisk en de hele ‘workflow’ van belangrijke data moeten geëncrypteerd zijn. Elk achterpoortje kan immers gebruikt worden om malware te installeren of data te stelen.’

Advertentie
Gesponsorde inhoud