‘Het is een gouden eeuw voor spionage’

MIKKO HYPPONEN © BI
Stijn Fockedey
Stijn Fockedey Hoofdredacteur a.i.

Het grootste gevaar in cybersecurity komt niet van productiefouten in computerchips, maar van hackers bij machtige inlichtingendiensten zoals de NSA. Volgens Mikko Hyppönen zijn cyberspionnen zo gevaarlijk omdat ze nooit opgeven. Bedrijven en burgers zijn vaak niet het doelwit, maar ze zijn wel geregeld bij de slachtoffers.

Als hij zich in één zin moet voorstellen, zegt Mikko Hyppönen dat hij “op hackers jaagt”. De Fin wordt internationaal gerespecteerd voor zijn expertise en hij verleent geregeld zijn medewerking aan gerechtelijke onderzoeken. Hij werkt voor de Finse cybersecurityspecialist F-Secure, die een onafhankelijke koers vaart. Daarom wordt Hyppönen in het oog gehouden door de machtigste inlichtingendiensten ter wereld.

“Inlichtingendiensten zeggen dat het nu de donkere middeleeuwen zijn voor de elektronische spionage, omdat het surf- en het berichtenverkeer zo sterk versleuteld zijn. Maar dat is onzin, het is juist een gouden eeuw voor spionage. Afluisteren is misschien vrijwel onmogelijk door de sterke encryptie, maar inlichtingendiensten kunnen ons gedrag veel beter in kaart brengen, omdat we zo veel met onze smartphone en onze computer doen.

Via het gsm-netwerk kunnen ze perfect volgen met wie ik bel, hoelang ik spreek en welke andere smartphones zich dicht in de buurt bevinden. Die bijzonder waardevolle metadata hadden inlichtingendiensten vroeger niet.”

‘Een beveiligingslek of een fout in de code is nog te dichten. Maar er is geen securitypatch voor onze hersenen’

“Ik heb nog altijd een oude floppydiskette bij me, om me eraan te herinneren hoe onschuldig het vroeger was. Toen waren er vrij eenvoudige virussen, die door tieners werden geschreven. Nu is het vechten tegen cyberspionnen, terroristen en de georganiseerde misdaad, die allemaal steeds meer gesofisticeerde cyberwapens gebruiken. Had iemand dat voorspeld in de jaren negentig, dan had ik dat afgedaan als sciencefiction.”

Wat is voor u de gevaarlijkste cyberaanval aller tijden?

MIKKO HYPPONEN: “Zonder twijfel de WannaCry-aanval van vorig jaar (meer dan 300.000 computers in 150 landen raakten besmet, nvdr). De snelheid waarmee het virus zich verspreidde en de schade waren nooit vertoond. Wat die aanval nog angstaanjagender maakte, is dat die werd gepleegd door Noord-Korea en niet door criminelen. Er is gelukkig slechts één land dat zo om geld verlegen zit dat het via ransomware massaal mensen afperst.

“De andere gevaarlijke aanval was Petya, anderhalve maand daarna, die ook computers over de hele wereld trof. Er zijn sterke vermoedens dat die aanval vanuit Rusland is opgezet, omdat de eerste slachtoffers in Oekraïne vielen. In zijn conflict met Oekraïne probeert Rusland al jaren met een cyberoorlog het land te saboteren. Het is minder zichtbaar dan de nucleaire wapenwedloop, maar overheden zijn wel bezig met een nieuwe wedloop, om cyberwapens. Het kan nog een hele tijd duren eer de wereld tot een consensus komt om de zaken niet te laten ontsporen.”

Ondertussen dreigen consumenten en bedrijven voortdurend het slachtoffer te worden.

HYPPONEN: “De grootste bedreiging komt van overheden en inlichtingendiensten, en die gaan doelgericht te werk. De man in de straat en een doorsneebedrijf lopen niet veel risico door een overheid aangevallen te worden. Waarom zouden die de computer van het restaurant om de hoek willen kraken en schade aanrichten? Ze kunnen daar niets vinden dat hen voorthelpt. Eigenlijk zijn de belangrijkste doelwitten van die zeer gesofisticeerde cyberaanvallen de traditionele doelwitten van spionnen: politici en defensiebedrijven. En wie een potentieel mikpunt is, is zich daar in de regel van bewust en neemt de gepaste maatregelen.”

Het blijft een oneerlijk gevecht.

HYPPONEN: “Het is heel moeilijk je te beschermen als de aanvallers bijna ongelimiteerde middelen hebben en de beste mensen kunnen aantrekken. Kijk, als James Bond je wil doden, dan sterf je ook. Niet alleen omdat hij getraind is en vrijwel onbeperkte middelen heeft, maar vooral omdat hij niet opgeeft. Met elektronische spionage is dat hetzelfde. Ze blijven proberen tot ze binnen geraken.

Vroeger was het zaak een zeer sterke eerste verdedigingslinie op te werpen, met een firewall en antivirus. Maar je mag daar niet op vertrouwen. Je ramen en deuren kunnen goed beveiligd zijn, maar het is raadzaam nog een bewegingssensor in huis te hebben om inbrekers te detecteren. Een goede IT-beveiliging monitort ook het verkeer dat achter die firewall zit en heeft procedures voor het geval dat een cyberinbraak succesvol is.

Een groot bedrijf heeft nu eenmaal een grote IT-infrastructuur, en dan zijn er onvermijdelijk zwakke plekken of inbraakpogingen. Maar een gewoon bedrijf of een gewone computergebruiker is dus meestal niet het doelwit van inlichtingendiensten. Voor hen komt het grootste gevaar van criminelen.”

‘Er komen industriële machines op de markt die adequaat kunnen worden beveiligd. Maar het zal nog decennia duren eer de hele infrastructuur vernieuwd is’

Die zijn vooral uit op een snelle buit?

HYPPONEN: “Cybercriminelen zijn democratisch, ze vallen iedereen aan. Het maakt voor hen niet veel uit of ze een Italiaanse of een Finse kredietkaart kunnen stelen, of dat het er een van een bedrijf is. Natuurlijk gaan ze af en toe heel doelgericht te werk, maar hun populairste tactiek is ransomware, en daar gaan ze voor een maximale verspreiding: zo veel mogelijk computers proberen te blokkeren. Er zijn altijd slachtoffers die geen actuele back-up hebben en het losgeld betalen.”

En wat als criminelen wachtwoorden kunnen stelen?

HYPPONEN: “In de regel gebruiken ze die niet zelf, maar verhandelen ze gestolen wachtwoorden en persoonsgegevens op de zwarte markt, aan hackers die zich hebben gespecialiseerd in identiteitsfraude. Mensen gebruiken jammer genoeg nog te vaak hetzelfde wachtwoord voor verschillende diensten, zeker voor hun belangrijkste e-mailadres. Als hackers daar toegang toe krijgen, kunnen ze aan alles en kunnen ze bijvoorbeeld via je profiel zaken online bestellen. Kies daarom een uniek en moeilijk wachtwoord.

‘Cybercriminelen zijn heel democratisch, ze vallen iedereen aan’

“Voor bedrijven is er nog een ander risico. Criminelen stelen vaak data die niet zo waardevol zijn, of die versleuteld zijn. In dat geval kunnen de fraudeurs die niet lezen. Ze eisen dan geen losgeld, maar doen aan afspersing. Als de bedrijven niet betalen, maakt de cybercrimineel de hacking publiek. Dat is slecht voor de reputatie van het bedrijf.”

Vanaf mei 2018 moeten bedrijven die in de Europese Unie opereren datalekken en hackingen publiek maken. Anders dreigen zware boetes.

HYPPONEN: “De Europese privacyhervorming GDPR heeft een neveneffect. In de nieuwe regels staat dat bij zware inbreuken boetes kunnen worden opgelegd tot 4 procent van de totale omzet van het bedrijf. De strengere privacyregels geven cybercriminelen daardoor een interessante richtprijs. Het aantal gevallen van afspersing door gestolen data zal gevoelig toenemen.”

Dus het aantal verdachte en frauduleuze e-mails zal de mailboxen van bedrijven blijven teisteren?

HYPPONEN: “Ja, zulke phishingmails zijn een groot probleem. Een beveiligingslek of een fout in de code is te dichten. Maar er is geen securitypatch voor onze hersenen. Het blijkt erg moeilijk mensen goed te trainen, hen te doen stoppen met zonder nadenken op een link te klikken of hun wachtwoord in te geven. Bij F-Secure hebben we een interne competitie om verdachte mails te ontmaskeren.

De beste manier om iedereen waakzaam te houden, is als bedrijf zelf van die mails te versturen. Wie er een opmerkt en rapporteert, krijgt een punt. Ik sta in de rangschikking ergens op de vijftigste plaats. Ik ben omringd door geeks, de competitie is moordend. Gamification, van training een spelletje maken, is een goed middel om mensen voor te bereiden op echte aanvallen.”

In hoeverre kunnen die cyberaanvallen fysieke gevolgen hebben?

HYPPONEN: “Ik heb lang gedacht dat mijn baan draaide rond het beveiligen van computers. In realiteit gaat het om de samenleving. Elke fabriek, elke energiecentrale draait op computers. Traditioneel wordt geprobeerd die kritische infrastructuur af te schermen van het internet.

Maar het blijkt moeilijk die zaken volledig los te koppelen. Telkens als we het internet scannen, komen we fabrieken tegen waarvan de machines op het internet staan. Die bedrijven geloven ons bijna nooit, tot we bellen of we die geconnecteerde machine eens mogen afzetten vanuit Finland (lacht). Mensen beseffen dat niet genoeg. Het internet is ontworpen om een nucleaire oorlog te doorstaan. Dat betekent dat het netwerkverkeer altijd een weg zoekt.

‘Het is heel moeilijk je te beschermen als de aanvallers bijna ongelimiteerde middelen hebben en de beste mensen kunnen aantrekken’

“Het probleem in de industrie is dat de machines een levensduur van decennia hebben, en niet van jaren. Veel machines werken daardoor nog met eenvoudige en onveilige IT-componenten. Bovendien zijn de standaardwachtwoorden van die apparatuur meestal nooit veranderd. Nu komen er industriële machines op de markt die wel adequaat kunnen worden beveiligd, maar het zal nog decennia duren eer de hele infrastructuur vernieuwd is.”

Vier tips van Mikko Hyppönen

1. Investeer in een veilige smartphone

“Ik raad meestal de iPhone aan, die standaard een zeer goede beveiliging heeft. Apple ondersteunt zijn toestellen langer met beveiligingsupdates dan de meeste fabrikanten, die het Android-besturingsysteem gebruiken. Probeer daarom zeker de allergoedkoopste toestellen met Android te vermijden.”

2. Maak back-ups

“Zowel privé als professioneel zijn goede en actuele back-ups onontbeerlijk. Als ransomware je computer blokkeert, hoef je enkel je computer te herinstalleren. Probeer zeker ook een back-up op een andere fysieke locatie te bewaren, om te vermijden dat je alles kwijt raakt, bijvoorbeeld na een zware brand.”

3. Houd beveiliging up-to-date

“Zorg dat alle systemen, alle apps en alle toestellen altijd up-to-date zijn. Voer de aangeboden veiligheidsupdates altijd meteen door. Mensen hebben de neiging eerst aan antivirussoftware te denken, maar dat is fout. Back-ups en veiligheidsupdates van fabrikanten verdienen de prioriteit.”

4. Kies de juiste cloudprovider

“De bekende en grote aanbieders van onlinediensten kunnen meer investeren in veiligheid dan anderen. Hou ook rekening met de nationale belangen. Als de Amerikaanse overheid mogelijk interesse heeft in uw data, is er een risico. Want wij worden niet beschermd door de Amerikaanse wetten.”

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content