A secure democratic Net is a fundamental right

uit De Standaard 

"In 2007 nam piraterij of hacking toe met maar liefst 14 procent in vergelijkingmet 2006 (in 2006 had de federale politie 353 dossiers, in 2007was dat 403). Internet is niet meer weg te denken uit het dagelijks leven en net zo cruciaal geworden voor onze netwerkeconomie als basisvoorzieningen als water en elektriciteit.

Hoog tijd dus om onze verantwoordelijkheid te nemen inzake e-security. België kan niet achterblijven ten opzichte van de buurlanden, des te meer omdat België internationale instellingen huisvest als de EU en de NAVO.

Onlangs nog lag heel het computernetwerk van Georgië plat na een gezamenlijke actie van patriottische hackers vanuit Rusland. Hoorzittingen in de Kamerleverden een onthutsend rapport op: België is absoluut niet veilig op informaticavlak.

We kunnen daar best op reageren door van e-securityeen echt politiek werkpunt te maken. E-security gaatzowel over beveiliging tegen incidenten als hacking of virussen, als de fysieke beveiliging van gegevens op laptops en USB-sticks.

Bij hacking nemen criminelen de controle over van een pc of internetserver, bijna altijd zonder dat de eigenaar van de pc het zelf merkt. Willen we niet de draaischijf worden van internetpiraterij, is het hoog tijd voor gespecialiseerde cel internetpompiers: een Computer Emergency Response Team (CERT) in het jargon. Eencert kan aanvallen ‘blussen’ voor ze zich op grote schaal verspreiden. Bij grote internetproblemen coördineert een dergelijke cel ook de acties tussen de verschillende hostingbedrijven en operatoren, net zoals bij rampen een provinciegouverneur de coördinatie op zich neemt. Het CERT van de Navo en het CERT van researchnetwerk Belnet zijn op dit ogenblik het enige publieke CERT’s.

Het op te richten overheids-CERTdient de spil te zijn in een informeel netwerk van veiligheidsspecialisten bij de verschillende hostingbedrijven, operatoren en grote ondernemingen. Via dit informeel netwerk spoort het CERT de eigenaars van zowelopenbare als particuliere kritische systemen aan ompreventieve maatregelen te nemen.

Een cyberaanval op Estland in het voorjaar bewijst denood aan een CERT. In Finland slaagt het gouvernementele CERT erin om bij incidenten in zeer korte tijdactie te ondernemen. Zo kan een website met illegale inhoud binnen een tijdsbestek van 30 minuten worden afgesloten. In België is dit momenteel niet mogelijk.

Wel kan een gedupeerde wanneer hij de problemen zelf— en bijna altijd veel te laat — ontdekt een gerechtelijkeprocedure opstarten bij de politie (Federal ComputerCrime Unit). Als men weet dat bij een cyberaanvalde dader zich iedere 4 uur virtueel verplaatst naar eenandere machine, is het overduidelijk dat deze procedure niet geschikt is om aanvallen te counteren.

Ook omgaan met hardware moet in een overheidsstrategie vervat zitten. Diefstal van laptops in een frequent voorkomend risico, de recente inbraken in ministeriele kabinetten zijn daar een spijtige illustratie van. Meestal zijn de dieven erop uit de elektronica te gelde te maken, maar het risico op een informatielek en verlies van vertrouwelijke documenten is reëel.Laptops en USB-sticks vormen de achilleshiel van informatieveiligheid.Langs deze weg komen virussen en andere ‘malware’ het beveiligde netwerk binnengewandeld.

Nog belangrijker voor een organisatie is het mogelijke informatieverlies. Eigenlijk draait alles rond informatie.Het zijn niet de computers die belangrijk zijn, maar wel de informatie die ze behandelen. Versleuteling van gegevens op deze laptops en USB-sticks biedt soelaas, maar wordt zelden toegepast. Hoe minder informatie op een laptop staat, hoe beter. Daarom werken laptops beter server based. Dit wil zeggen dat alle informatie op een server staat en niet op de laptop en dat ze enkel die informatie opslaan die men absoluut nodig heeft om mee te werken.

Ook e-mail mag niet ontbreken in een e-securitybeleid.Virussen, cyberpesten, e-mailchantage,… maken dat een degelijk beleid dient uitgewerkt te worden mét respect voor de privacy van de werknemers. Kunnen aantonen dat een bepaald e-mail wél of net niet is verstuurd, wordt steeds belangrijker in onze netwerkeconomie.

De recente schandalen onderstrepen het belang van een sluitend e-mailarchief binnen de federale administraties en kabinetten.

Investeren in ICT-veiligheid is investeren in vertrouwen.

En dat de economie grotendeels op vertrouwen is gebaseerd, is — in het licht van de bankcrisissen — een evidentie."

Roel Deseyn is kamerlid en ICT-specialist van CD&V

Roel Deseyn is an important representative in the federal chamber for the party of the prime minister and has been lobbying for a more coherent Belgian ITC security policy for years. It is during these enduring battles that we have encountered him and since have known to respect him. I don't think he will give up soon, just as we never will. We are coming close, but it ain't done yet. We will continue to work for a CERT (or Coordination center or whatever the name) in Belgium with everybody that wants to realise it FAST. Rome wasn't built on one day and the CERT won't also. Luckily we are a small country so it is much easier to coordinate and get things done if people are willing.