Levensmissie: mensen behoeden voor het cybergevaar.

Eddy Willems werkte in 1989 voor een verzekeringsfirma. Via een floppy disk – in die periode een populair opslagmedium voor digitale data – werd stiekem een Trojaans virus geïnstalleerd op zijn computer. Criminelen gijzelden op die manier zijn computer en vroegen losgeld. Willems bedacht een oplossing om het virus uit te schakelen. De media kwamen er op af om uitvoerig te berichten over het “losgeldvirus”. Dat was meteen de start van zijn carrière als security evangelist…

Alle werknemers zijn kwetsbaar voor internetfraude.

Als security evangelist bij het Duitse G DATA Software AG geeft Eddy Willems lezingen voor werkgevers, werknemers, experten, alsook kinderen en gepensioneerden die ook slachtoffer kunnen worden van cybercriminelen. Zijn doel is vooral om hen te waarschuwen omtrent de gevaren van cybercriminaliteit. Hij ziet het als zijn opdracht om de vaak technische termen over internetfraude te vertalen naar een breed publiek. In 2013 verscheen zijn boek “Cybergevaar”, dat nog altijd als e-book beschikbaar is. Binnenkort verschijnt een geactualiseerde versie in het Engels met ook tips van opinieleiders in het vakgebied.

“Het zal mij niet overkomen.”

Sinds de jaren negentig is er in feite niet zoveel veranderd: alle huidige nieuws over cybercriminaliteit, bestond toen ook al – weliswaar op kleinere schaal, stelt Willems. “Alles komt terug”. De kern is dat een cyber-probleem of internetfraude met een computer altijd gekoppeld is aan de mens. Het ene bestaat niet zonder het andere. Op dat vlak heerst er nog altijd veel naïviteit. Werkgevers dwalen als ze zeggen dat het hen niet zal overkomen. Zelfs de grootste IT-experten lopen in de val…

Twee vaststellingen van Willems.

De eerste wet is dat mensen er altijd blijven intuinen. “Phishing is nog altijd een van de grootste problemen van de wereld”, stelt Willems. In deze vorm van internetfraude probeert de dief gevoelige informatie los te krijgen zoals paswoorden of bankkaartgegevens. Zo kan een valse Facebookpagina bijvoorbeeld leiden tot ernstige datalekken in bedrijven.

De tweede wet is dat malware of schadelijke software alsmaar gesofistikeerder wordt. De verantwoordelijkheid hiervoor ligt volgens Willems deels bij grote beveiligingsdiensten zoals het Amerikaanse NSA (National Security Agency), die software ontwikkelen om mensen in het oog te houden. Criminelen nemen die technieken over.

I Love You. WannaCry.

Dit zijn geen titels van romantische popsongs, maar wel de namen van twee beruchte virussen. Het ILoveYou-virus sloeg voor het eerst toe in 2000 en was afkomstig uit de Filippijnen. Het was de eerste keer dat een virus op zo’n wereldwijde toesloeg. Het viel het Microsoft Windows besturingssysteem aan. De schade werd wereldwijd op 5,5 miljard dollar geraamd!

Het WannaCry-virus werd bekend in 2017. Het besmette meer dan 230.000 computers in 150 landen. WannaCry heeft onder andere computersystemen van het Spaanse telecommunicatiebedrijf Telefónica geïnfecteerd, evenals delen van de Britse National Health Service, FedEx en Deutsche Bahn. WannaCry is een zogenaamd ransomware of gijzelsoftware en versleutelt bestanden op een computer. Vervolgens werd er voor 300 tot 600 dollar losgeld gevraagd om de versleuteling op te heffen.

Het verschil tussen malware, phishing en hacking.

“Malware” is een grote verzamelnaam van alle software die “malicious”, dus kwaadaardig is. Denk aan virussen (die zich verspreiden), trojans (zonder dat je het in de gaten hebt), spyware (meekijken wanneer je een paswoord ingeeft voor bedrijfsspionage bijvoorbeeld).

“Phishing” gaat over het verzenden van e-mail om je te triggeren en je naar een website te lokken om meer gegevens van je te weten te komen. Dat is een manier om bijvoorbeeld bankgegevens te ontfutselen. “Spear phishing” is een variant die wijst op gerichter vissen naar paswoorden. Dit is een techniek die veel gebruikt wordt om bij bedrijven binnen te geraken. De grootste hacks ter wereld in bedrijven zijn meestal een gevolg van spear fishing. De criminelen zijn bijna psychologen die goede vragen kunnen stellen en zo hun weg zoeken in het netwerk.

“Hacking” is de meest gehoorde term in de media, maar wordt verward met phishing en malware. Hackers willen het systeem naar hun hand zetten en daar dan iets mee doen: afpersen of spioneren. Ethische hackers zijn dan weer hackers die in opdracht van een werkgever werken om de beveiliging te testen en aan te scherpen. In feite doet een hacker manueel wat malware doet: zoeken naar veiligheidsgaten om binnen te dringen en het systeem dus naar hun hand te zetten.

Hoe goed zijn Belgische werkgevers beveiligd?

Belgische werkgevers zijn niet slecht bezig volgens Eddy Willems. “We zijn bij de goede leerlingen van de klas.” Dat we gemiddeld goed scoren is dankzij organisaties zoals de NATO, de Europese Unie en enkele grootbanken in België die een goede verdediging hebben. Het probleem situeert zich meer bij grote werkgevers, waarbij diensten niet met elkaar praten en servers, pc’s en netwerken daardoor kwetsbaar zijn. Daarnaast is België vooral een KMO-land en dat is meteen de zwakke plek. Cyber security is over het algemeen minder goed bij KMO’s omdat de kostenfactor meespeelt. Een voorbeeld daarvan is dat antivirus-software niet altijd optimaal wordt geïnstalleerd.

Wat kunnen werkgevers doen ter verdediging?

“Elk werkgever moet een security pakket hebben, punt”, beklemtoont Willems. De beveiliging die een IT-provider of reseller levert, is bijna nooit voldoende. Een goed beheerd antiviruspakket is een basis. Daarnaast is er een groot probleem van lekken. Willems noemt dat de achilleshiel voor werkgevers: software-updates worden bijvoorbeeld te laat geïnstalleerd. Soms wordt er gesproken van de 3%-regel. Dus 3% van de omzet van een bedrijf zou moeten geïnvesteerd worden in cybersecurity. Voor Willems is dat veel te weinig. Hij hanteert liever de 5%-regel als minimum. Die regel is uiteraard heel algemeen, geeft hij toe. Het is logisch dat een grootbank of gerenommeerd advocatenkantoor bijvoorbeeld meer dan gemiddeld investeert in cybersecurity. Willes weet bijvoorbeeld dat het lek van de Panama-papers uit een advocatenkantoor kwam.

De cybersecurity expert concludeert dat alles uiteindelijk start bij bewustwording: zich informeren, beveiligingssoftware uitvoerig testen (eventueel via een ethische hacker), een expert uitnodigen voor een lezing, etc. Zolang er maar over gesproken wordt. Probleem is echter dat veel mensen denken dat ze het kennen. Ze onderschatten het risico.

Belgische wetgeving vrij goed, maar het probleem is complex.

Volgens Willems is de wetgeving in ons land vrij goed. Het is vergelijkbaar met die van onze buurlanden. Helaas is internetfraude een internationaal probleem. Daar wringt het schoentje. Samenwerken met Nederland of Duitsland is dan iets eenvoudiger dan met pakweg Brazilië of India. In die landen gelden andere wetten, de rechterlijke macht functioneert anders en je moet mensen kennen om iets gedaan te krijgen.

Een ander gekend probleem dat recent veel aandacht krijgt, is het gebrek aan transparantie bij de internetgiganten zoals Google en Facebook.

Er worden wel degelijk mensen wereldwijd gearresteerd, weet Willems. Al duurt het soms lang en haalt het daarom niet altijd de media. Het schandaal met gestolen naaktfoto’s van beroemdheden was bijvoorbeeld een eenvoudige phishing aanval via een Apple ID. De man achter de diefstal is uiteindelijk gearresteerd na een 5 jaar onderzoek. Het zijn dikwijls complexe zaken, waarbij het moeilijk is om de precieze bron aan te duiden en te bewijzen.

Van Internet of Things naar Internet of Threats.

In de nabije toekomst worden ontelbare huishoudtoestellen, apparaten en voertuigen aangesloten op het Internet, zodat ze met elkaar kunnen communiceren en zelfs autonoom beslissingen kunnen nemen. Dit Internet of Things (IoT) is meestal niet voldoende beveiligd. Gelukkig bestaan er vandaag nog geen standaarden, stelt Willems. Dus hackers spreken die taal nog niet. Van zodra dat het IoT op grote schaal toegepast wordt, gaat dat ongetwijfeld problemen veroorzaken. Want grote schaal betekent in dat er veel geld te verdienen valt voor cybercriminelen…