Van militaire naar digitale dienstplicht.
Dat hij spijt had van de afschaffing van de militaire dienstplicht, verklaarde de 52-jarige Kamp-Waes-afvaller Jan Syryn in een interview met Humo. En dat het beeld van het leger met zijn imago van camaraderie en avontuur na zijn afstuderen altijd door zijn hoofd was blijven spoken.
‘Als ik in 1994 had geweten dat de special forces bestonden, dan was ik nu een van hen geweest’, dixit Jan, met een onmiskenbaar vleugje melancholie. Geen wonder dus, dat hij zich inschreef voor Kamp Waes, en dolenthousiast bleef over zijn selectie, ook al moest hij het programma na aflevering 5 verlaten. De regisseur was nog net zo tactvol om niet Turner’s ‘We don’t need another hero’ te draaien toen een ontgoochelde Jan in de laadbak van een Ford Ranger werd afgevoerd.
Over Syryns hunkering naar militair heldendom moeten we niet laatdunkend doen; in een wereld die ons altijd weer voor nieuwe uitdagingen en problemen stelt, hebben we nooit helden teveel. Alleen zijn de Rambo-allures waarmee die helden worden geportretteerd, minstens gedeeltelijk achterhaald. Want Jan Syryn mocht dan wel spijt hebben gevoeld over zijn gemiste carrière als SF-operator, met zijn huidige job als solution architect in de IT-sector, zijn de moderne loopgraven dichterbij dan gedacht.
Begon de oorlog in Oekraïne immers niet zowel op het fysieke terrein als in cyberspace? Op 23 februari 2022, daags voor de Russische invasie in Oekraïne, kondigden cyberwapens een algehele oorlog aan. In verschillende Oekraïense ministeries, overheidsorganisaties en banken waren computersystemen de doelwitten van zogenaamde DDoS-attacks, ofwel distributed-denial-of-service-aanvallen, soms gevolgd door ‘wiper attacks’, waarbij volledige harde schijven werden gewist. DDoS-aanvallen zijn pogingen om computernetwerken of diensten onbereikbaar te maken voor hun reguliere klanten. De doelwitten van dat soort aanvallen zijn dan ook vaak cruciale dienstverleners zoals banken, overheden, energieleveranciers of kredietkaartaanbieders. In tegenstelling tot een ‘gewone’ DoS-aanval, slaat het woord ‘distributed’ in een DDoS-aanval op het feit dat meerdere computers tegelijk worden gebruikt om de aanval op het doelwit uit te voeren. De opmerkzame lezer raadt het meteen goed: ook jouw persoonlijke computer of jouw bedrijfsnetwerk kan daar – zonder dat iemand zich ervan bewust is – voor worden ingezet als een hacker er op een bepaald moment toegang toe heeft gekregen, bijvoorbeeld door een phishingmail. Op die manier kan jij ongewild worden ingezet als een virtuele soldaat in een oorlogsvoering waar je helemaal niet achter staat.
Denk dus niet dat digitale oorlogsvoering alleen een zaak is van specialisten, zoals de white hat–hackers ofwel de ethische hackers die binnen de wettelijke kaders opereren, meestal in dienst van bedrijven of organisaties, om beveiligingslekken op te sporen.
Naast de oorlogsvoering ten velde, speelt digitale technologie een niet te onderschatten rol in het conflict tussen Rusland en Oekraïne. Naarmate het conflict op het fysieke terrein aanhield, nam ook het aantal cyberaanvallen en desinformatiestrategieën toe. Zo wordt de Russische bevolking bijvoorbeeld nog steeds geïndoctrineerd met fake news, waarbij de Europeanen worden afgeschilderd als een bataljon van nazi’s die Rusland ten gronde willen richten. Dat soort strategieën zijn minstens even effectief als bombardementen van steden en cyberaanvallen op computernetwerken. Als je bedenkt dat desinformatie vooral via online kanalen wordt verspreid, is meteen duidelijk dat de ‘digital warfare’ minstens aan de traditionele oorlogsscène is gewaagd.
Rusland blijft dan ook een enorme cyberdreiging vertegenwoordigen, aangezien de spionage-, beïnvloedings- en aanvalstechnieken constant worden geoptimaliseerd en er daarbij wordt gefocust op het treffen van kritieke infrastructuren, zoals onderzeese en ondergrondse olie- en gasleidingen, industriële controlesystemen en financiële platformen. Sinds januari 2022 hebben Russische cyberactoren het reeds meermaals gemunt op kritieke infrastructuurentiteiten in heel wat NATO-landen. In april 2022 verspreidde een hackinggroep malware via een phishingcampagne die van een Russisch agentschap leek te komen, en gericht was op Oost-Europese landen. Midden mei werden aanvallen gericht op Duitse internetgebruikers die interesse hadden voor de Oekraïnecrisis, door hen via een valse informatiewebsite schadelijke bestanden te laten downloaden, waardoor de toestellen van deze gebruikers geïnfecteerd raakten met software die data stal. Dat zijn maar enkele voorbeelden van manieren waarop cyberaanvallen de nationale veiligheid hebben gecompromitteerd en zullen blijven compromitteren. Dat dit in de toekomst tot ernstige escalaties kan leiden – naast Rusland zijn er zoals iedereen weet nog andere te vrezen mogendheden – hoeft geen verder betoog.
Bij het lezen over de bedreiging van kritieke infrastructuurnetwerken zijn burgers vaak geneigd om de verantwoordelijkheid integraal naar de bedrijven door te schuiven. Zondebokreacties bij de zoveelste gehackte stad of vuilniszakkenophaaldienst laten daarbij weinig aan de verbeelding over. Niet geheel onterecht natuurlijk, want bedrijven en overheden moeten weldegelijk hun verantwoordelijkheid nemen en zitten daar niet altijd op te wachten. Het implementeren van cyberveiligheidsprocessen kost immers geld en moeite, en de ‘winst’ ervan lijkt zich vooral te situeren op het vlak van professionele deontologie en compliancy, lees: omdat het binnenkort nu eenmaal verplicht wordt. Een last die weinig tastbare winst lijkt op te leveren dus. Tot het fout dreigt te gaan. Want als digitale gevaren het potentieel van onze hele economie ondergraven, dan kan plots elk bedrijf en elke burger in een gedupeerde veranderen. Die mogelijkheid vermijden, kan bezwaarlijk als weinig winstgevend worden beschouwd.
Daarom moeten zowel bedrijven als andere organisaties én burgers zichzelf als cyberreservisten beschouwen.
De militaire dienstplicht mag dan wel zijn afgeschaft, vandaag komt de digitale dienstplicht in de plaats.
‘Maar hoe dan precies?’ horen we je al denken.
Er is veel wat je kan doen, en zelfs al doe je maar één ding, dan maak je een verschil.
Hier alvast vijf tips om jouw digitale dienstplicht goed te starten:
- Gebruik overal waar het kan multifactorauthenticatie, zoals bijvoorbeeld met Itsme, Microsoft Authenticator, enzovoort.
- Installeer op je toestellen altijd updates zodra die beschikbaar zijn, want ze bevatten cruciale patches om gedetecteerde veiligheidslekken mee te dichten. Laat jouw toestel dus niet die open deur zijn, die een hacker automatisch weet te vinden en als toegangspoort gebruikt om zijn snode plannen te realiseren.
- Let op met de informatie die je over jezelf prijs geeft op het internet, in het bijzonder op sociale media. Tijdens de Tweede Wereldoorlog zou je tijdens de bombardementen toch ook niet de verduisteringsmaatregelen in de wind hebben geslagen en jezelf in het nachtelijke duister in de spotlights hebben geplaatst?
- Laat je hoofd niet hacken en wees alert voor fake news-strategieën. Neem niet zomaar alles aan wat de media schrijven, en denk voor jezelf.
- Rapporteer cyberincidenten altijd. Ook al ben je beschaamd. Ook al ben je een bedrijf dat vreest de zondebok van de volgende krantenvoorpagina te worden. Het Centrum voor Cybersecurity is afhankelijk van incidentmeldingen om te kunnen optreden tegen de steeds evoluerende technieken.
Because we do need other heroes. En iedereen er vandaag één kan zijn.
Bronnen:
https://www.cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/russia
https://www.cisa.gov/topics/cyber-threats-and-advisories/advanced-persistent-threats/russia