Hoe Russische dreiging zorgt voor betere cyberbeveiliging
Estland en Georgië zijn de twee Europese landen die volgens de Global Cybersecurity Index (GCI) dit jaar het beste scoren op vlak van cyberbeveiliging. Maar ze hebben nog iets gemeen: beide hadden ze al eens het digitale geschut van Rusland op zich gericht. Ook Duitsland moest het in de afgelopen twee jaar ontgelden. In de aanloop naar de Bondsdagverkiezingen in september timmert het aan zijn virtuele afweer. De Russische dreiging via het web lijkt voor sommige landen een effectieve drijfveer voor betere cyberbeveiliging.
27 April 2007. De Estse regering beslist om een monument opgedragen aan Sovjetsoldaten van de hoofdstad Tallinn te verplaatsen naar een meer afgelegen militaire begraafplaats. De Russische minderheid in Estland, en bij uitbreiding Rusland, is woedend. Voor hen is het monument opgedragen aan hun bevrijders, voor de Esten aan bezetters. Russische president Vladimir Poetin reageert: ‘Wie monumenten schendt, beledigt zijn eigen bevolking en zaait nieuwe onenigheid en wantrouwen tussen staten en mensen.’
In Estland breken daarop rellen uit. Die vinden niet enkel op straat plaats: in de daarop volgende weken wordt het land getroffen door een reeks cyberaanvallen die het in zijn vitale instellingen raakt. De computersystemen van belangrijke Estse organen zoals het parlement, ministeries en banken crashen. Op websites van verschillende media verschijnen valse boodschappen en pro-Russische propaganda. Bankautomaten werken niet meer en websites van staatsinstellingen zijn onbereikbaar. De aanvallen blijken van Russische servers te komen.
e-Estonia
Sinds die grootschalige cyberaanval onderging Estland een digitale revolutie. Het land staat intussen bekend om zijn innovatieve voorstellen die het leven van haar burgers makkelijker moeten maken door verregaande digitalisering. Stemmen, staatsburgerschap aanvragen of een bedrijf oprichten: het gebeurt er allemaal online. Het land kreeg daarom de toepasselijke bijnaam e-Estonia. Vorig jaar beschreef de Wereldbank het land in haar World Development Report als ‘het dichtste bij een digitale samenleving’.
Ook op vlak van defensie zette de digitale revolutie zich er om evidente redenen door. Een jaar na de cyberaanslagen van 2007 opende in de Estse hoofdstad Tallinn het Coöperatiecentrum voor Cyberverdediging van de NAVO. In de Cyber Security Index van 2017, die eind juli gepubliceerd werd, scoort het land het beste van Europa. Volgens dat rapport is de Russische aanval de reden: ‘Estland verbeterde zijn cyberveiligheid na de aanval van 2007. Het introduceerde een structuur die snel kan reageren op aanvallen en voerde een wet in die vitale diensten ertoe verplicht om op een minimaal niveau operationeel te blijven als ze van het internet afgesloten worden.’
In juni nog tekenden de eerste ministers van Estland en Luxemburg een overeenkomst die de eerste data embassy mogelijk maakt. Die moet dienen als een veilige plaats waar de Estse overheid haar gevoelige informatie kan onderbrengen buiten de grenzen van het eigen grondgebied. In geval van oorlog kunnen de belangrijkste online diensten op die manier blijven werken via robuuste servers die in veilige datacentra buiten het conflictgebied staan. De data-ambassade zal dezelfde diplomatische immuniteit genieten als gewone ambassades onder het Verdrag van Wenen. Luxemburg krijgt dus in geen geval toegang tot de opgeslagen gegevens.
Estland werd in juli voorzitter van de Raad van de EU. Het land verwacht dat de Europese Commissie snel werk maakt van een nieuwe strategie rond cybersecurity. Op die manier toont Estland dat het wel degelijk is uitgegroeid van slachtoffer naar Europese voortrekker op het vlak van cyberbeleid.
Te land, ter zee en op het web
Vergelijkbaar met het verhaal van Estland, is dat van Georgië. Een jaar na de cyberaanval die Estland tijdelijk lamlegde, richtte Rusland zijn digitale pijlen op zijn meer zuidelijke buurland bij de Zwarte Zee. Er was echter ook een groot verschil tussen de twee gevallen: de digitale aanvallen tegen Georgië gingen gepaard met fysiek militair geweld op Georgisch grondgebied. Bij dat soort hybride oorlogvoering, die sinds toen haar opmars gemaakt heeft, verschuift de focus steeds meer van zwaar geschut op de grond naar digitale wapens. Niet zozeer mensen, maar systemen en informatiestromen worden direct aangevallen.
Enkele dagen voor de Russische inval in Georgië, overspoelden zombiecomputers strategisch gekozen servers van websites zoals die van de president, het ministerie van Buitenlandse Zaken en dat van Defensie. Die crashten daardoor en werden onbereikbaar. Verder werd onder andere de site van de Georgische Nationale bank gehackt.
Het conflict met Rusland begon toen Georgië probeerde om opnieuw controle te krijgen over zijn opstandige noordelijke provincie Zuid-Ossetië, die zichzelf als een onafhankelijke staat ziet. Rusland erkent die onafhankelijkheid. Toen de Georgische regering besliste om met troepen naar Zuid-Ossetië te trekken, reageerde Rusland met een tegenoffensief op Georgisch grondgebied.
Rusland ontkende achter de cyberaanvallen te zitten. De regering suggereerde dat mogelijk Russische patriotten zich geroepen hadden gevoeld om hun land bij te staan in de oorlog tegen Georgië. De cyberaanvallen die met het grondoffensief in Georgië gepaard gingen, vertoonden nochtans grote gelijkenissen met die van een jaar eerder in Estland. Snel werd duidelijk dat ook de uitvoerder waarschijnlijk dezelfde was. Analisten vonden bewijzen dat verkeer naar de Georgische websites werd omgeleid naar via servers in Rusland en Turkije, waar het geblokkeerd werd.
Een van de voortrekkers in het onderzoek was Jart Armin, een prominent analist van cybermisdaad die toen zijn bevindingen postte op zijn website Hostexploit.com en daardoor veel aanzien verwierf. De servers stonden volgens Armin ‘onder de controle van RBN en onder de invloed van de Russische regering.’ Het RBN of Russian Business Network is een berucht Russisch hackerscollectief dat zowel banden met de Russische maffia als de Russische regering zou hebben.
Analisten vonden bewijzen dat verkeer naar de Georgische websites werd omgeleid naar via servers in Rusland en Turkije, waar het geblokkeerd werd.
Nu, negen jaar later, is Georgië volgens de Global Cybersecurity Index samen met Frankrijk de op een na beste leerling van Europa en nummer acht in de wereld als het gaat over internetveiligheid. Het land heeft volgens het rapport veel aandacht voor de beveiliging van nationale informatiesystemen. Onder de Georgische Wet op Bescherming van Informatie is er een nationaal bureau voor cybersecurity opgericht, dat vooral toeziet op de beveiliging van gevoelige informatie die met het defensie te maken heeft.
De algemene beveiligingsstrategie van het land bestaat erin dat verschillende overheidsdiensten samenwerken om hun data zo goed mogelijk te beschermen. Ook de privésector wordt daarbij betrokken om zo innovatie en beleid te laten versmelten. Het land werkt samen met technologiebedrijf The Bitfury Group om haar informatie, zoals het kadaster, te beschermen met Blockchain-technologie. Die technologie is gebaseerd op de idee dat je niet eerst een platform bouwt en het dan beschermt, maar dat het platform zichzelf beschermt met ingebouwde mechanismen: security by design.
Fancy Bear in Duitsland
De grote wake-up-call voor Duitsland kwam er in mei van 2015, toen hackers erin slaagden in de servers van het Duitse parlement te geraken om daar naar nuttige informatie te gaan graven. Verschillende Duitse parlementsleden, waaronder Angela Merkel zelf, ontvingen toen een e-mail die van de van de Verenigde Naties leek te komen – het e-mailadres van de afzender eindigde op @un.org. De mail bevatte een link naar een pagina die oogde als een VN-communiqué over de economische situatie van Oekraïne. Twee weken later zou blijken dat iedereen die op de link geklikt had, schadelijke software had toegelaten in de systemen van de Duitse Bondsdag. Op dat moment begon in Duitsland een wekenlange digitale strijd om de malware uit de systemen van zijn parlement te verwijderen.
Van zodra een aanval de inzetbaarheid van onze eigen strijdkrachten in gevaar brengt, mogen wij ons ook offensief verdedigen.
Ursula von der Leyen, Duits minister van Defensie (CDU)
In het daarop volgende onderzoek werden overtuigende bewijzen gevonden die in de richting wezen van hackerscollectief APT28, ook bekend als Fancy Bear. Die hackersgroep was volgens onderzoekers ook betrokken bij de hack van de Amerikaanse Democratische Partij, cyberaanvallen op het Wereld Anti-doping Agentschap (WADA) en het partijbureau van de Duitse christendemocraten in 2016. Bovendien verbond de Amerikaanse cybersecurityfirma CrowdStrike het collectief in een recent onderzoek van met de Russische Overheid. Ook een rapport van Google uit 2014 stelde dat er tijdens een hack door Fancy Bear sporen achterbleven die in de richting van de GRU, de Russische militaire inlichtingendienst, wijzen.
Sinds die aanval hebben de Duitse autoriteiten nog meer dan zeventig cyberaanvallen vastgesteld die vermoedelijk door de GRU zijn uitgevoerd, schreef die Zeit in mei. Ook dit jaar vonden er nog verschillende plaats. Allemaal waren ze erop gericht data te onttrekken uit servers van regionale of nationale partijbureaus, persoonlijke servers van politici of de servers van het parlement.
Voorlopig werd er nog geen van de verzamelde informatie gelekt. Maar met de Bondsdagverkiezingen van september in het vooruitzicht, bereidt Duitsland zich erop voor dat de informatie op strategische momenten zal gelost worden om zo de uitslag van de verkiezingen te beïnvloeden. De kans is groot dat de lekken op gang komen, eens de verkiezingsstrijd eind augustus op volle toeren draait. Zo gebeurde dat eerder ook in de VS en Frankrijk.
Cybersoldaten
Duitsland neemt voorlopig nog geen leidersrol op zich als het over cyberveiligheid gaat, maar de aanvallen in de afgelopen twee jaar hebben het land wel wakker geschud . Het Duitse leger opende op 1 april van dit jaar de nieuwe cybersecurity-cel genaamd Kommando Cyber- und Informationsraum (CIR) in Bonn. Die nieuwe cel zou niet alleen verdedigen tegen aanvallen, maar ook indien nodig zelf in de aanval gaan, zei Defensieminister Ursula von der Leyen (CDU) bij de officiële voorstelling van het team. ‘Van zodra een aanval de inzetbaarheid van onze eigen strijdkrachten in gevaar brengt, mogen wij ons ook offensief verdedigen’, klonk het. Ze voegde er nog aan toe dat de concrete inzetbaarheid van het team en de grenzen daarvan door het parlement bepaald zouden worden, zoals ook bij het gewone leger het geval is
Von der Leyen had gehoopt tegen juli 13.500 cybersoldaten gevonden te hebben om de eenheid te versterken, maar de rekrutering verloopt voorlopig moeizaam. Daarom zet Duitsland nu volop in op het opleiden van IT-experts. Komend schooljaar start de militaire universiteit van München met een nieuwe internationale masteropleiding ‘Cyberveiligheid’. Die opleiding maakt deel uit van een groter project: de universiteit opende 23 juni een geheel nieuw onderzoekscentrum voor cyberveiligheid, dat het leger moet ondersteunen in zijn strijd tegen cybermisdaad. De hoop is dat volgend jaar al 70 studenten aan de opleiding beginnen. Ook andere Duitse universiteiten voegen een gelijkaardige studierichting aan hun aanbod toe.
Toch is er nog werk in Duitsland: in de GCI eindigt het land dit jaar op de 27ste plaats van de wereld – na India. Maar het land zet wel cruciale eerste stappen richting een digitaal afweersysteem dat in de komende jaren de democratie moet beschermen tegen cyberaanvallen.
Europa
Estland, Georgië en Duitsland zijn natuurlijk niet de enige Europese landen die inzetten op cybersecurity. Ook Frankrijk, Noorwegen, Groot-Brittannië en Nederland scoren bij de besten van de wereld.
Bovendien wordt binnen de hele Europese Unie, waarvan Estland nu voorzitter is, ijverig verder gesleuteld aan een gemeenschappelijk cyberbeleid. ‘In de EU is er een zeer sterk groeiend bewustzijn over cybersecurity. In oktober vindt de jaarlijkse European Cyber Security Month plaats, waar ook België aan deelneemt. Verder wordt er gewerkt aan een nieuwe Europese strategie rond cybersecurity en tegen eind mei moet de NIS Directive door alle lidstaten vertaald worden naar nationaal recht’, aldus Miguel De Bruycker, directeur van het Centrum voor Cybersecurity België (CCB). Die NIS Directive, een bundel van Europese richtlijnen, is de eerste wetgeving rond cyberveiligheid die in de hele EU geldt en is bedoeld om de cyberafweer van alle lidstaten te versterken.
De grote uitdaging voor de EU heeft met tempo te maken volgens De Bruycker: ‘Cybersecurity in Europa is een kwestie van snelheid. Er is veel werk door snelle evoluties in het domein, en dus is de vraag of Europa snel genoeg de consensus zal vinden die nodig is om krachtdadig op te treden.’
Dat dreiging vanuit Rusland een belangrijke rol in speelt bij de uitbouw van een eengemaakt Europees cyberbeleid, wil De Bruycker zeker niet gezegd hebben. ‘Met specifiek naar één land wijzen, is men in de Europese Unie terecht heel voorzichtig. Vingerwijzen is niet alleen heel moeilijk in cyberspace, maar ook gevaarlijk’, klinkt het.
Estland, daarentegen, steekt ook vandaag nog steeds niet onder stoelen of banken waar het zijn motivatie voor een goed beleid rond cyberveiligheid haalt. In het interne verslag over de Estse cyberbeveiliging van dit jaar krijgt Rusland opvallend veel plaats in het hoofdstuk over motieven en bedreigende actoren. Ook in het hoofdstuk over de uitdagingen voor 2017 komt Rusland terug: ‘Estland zal in de toekomst een doelwit blijven van Russische operaties om zijn invloed uit te breiden.’
Fout opgemerkt of meer nieuws? Meld het hier