Het verhaal - Binnen bij Belgacom, is binnen bij iedereen

Op het randje van de catastrofe

Onze veiligheidsdiensten zijn nog altijd ondersteboven van de hacking die Belgacom trof. De communicatie van bedrijven, overheden en honderden miljoenen mensen hangt samen met die van onze oude RTT. ‘Wie zo diep in het zenuwcentrum raakt om data te kopiëren kan de zaak even goed saboteren. De gevolgen hadden catastrofaal kunnen zijn. En men lijkt het niet te beseffen.’

Ping. Het is vrijdag de dertiende. Iets voor 11 uur ‘s ochtends komt er een bericht binnen bij de IT-consultants die Belgacom heeft gedetacheerd naar zijn allergrootste klanten binnen het bedrijfsleven en de overheid. Veel staat er niet in, alleen het dringende verzoek om alle afspraken van die voormiddag meteen te annuleren. Er komt een ‘emergency conference call’ in de plaats.

Het nieuws dat daar wordt verteld, doet de IT’ers naar adem happen. Er is een stuk kwaadaardige software aangetroffen op het netwerk van Bics. Zelfs voor de ingewijden valt het haast niet te vatten. De vertakkingen van de Belgacom-dochter gaan zo ver en diep dat het voor iedereen onmiddellijk duidelijk is dat het hier niet om een louter Belgisch probleem kan gaan. Dit is er één van minstens Europese proporties. Want wie Bics controleert, krijgt de macht over communicatie van een groot deel van de wereld. ‘Dit had 9/11 in het kwadraat kunnen zijn’, zegt een bron die de zaak van dichtbij gevolgd heeft. Zonder een greintje ironie in de woorden.

De druk op de teams van de Nederlandse cyberverdediger Fox-IT die afgelopen weekend samen met een leger medewerkers van Belgacom aan de schoonmaak begonnen, was dus enorm.

Het was de tweede keer dat ze ertegenaan gingen, bevestigen verschillende bronnen. Een eerste poging om de vileine software van de besmette computers bij Belgacom te halen, in het laatste weekend van augustus, werd afgeblazen. ‘Niet alle voorwaarden waren toen vervuld om het in één keer te verwijderen’, heette het. Sommige computers bleken op het alternatieve besturingssysteem Linux – bekend van het logo met de pinguïn – te draaien en niet op Microsoft.

‘Het risico was te groot dat we niet alles in keer konden verwijderen. Dan moet je eraf blijven. Anders weten ze aan de andere kant dat het virus is gevonden’, zegt een politiek betrokkene.

Strikte voorwaarden

Het onderzoek naar de hacking ging van start op 19 juli, toen Belgacom naar het gerecht stapte. Tijdens hun werk waren de speurders bij inlichtingendiensten, politie en gerecht enorm op hun hoede voor een lek over de hele operatie. Begin september brachten ze het kernkabinet onder strikte voorwaarden op de hoogte: de lijst van de aanwezigen op die vergadering werd nauwgezet bijgehouden. Als een politicus had willen scoren door dit nieuws te onthullen voordat de malware was aangepakt, dan dienden de speurders een klacht in wegens schending van het geheim van het onderzoek. ‘We konden niet riskeren dat alles in het water viel omdat iemand zijn mond voorbijpraatte’, klinkt het.

Belgacom was dan ook niet besmet met wat huis-tuin-en-keuken-virussen, maar met hyperprofessionele malware die handenvol geld gekost heeft om te ontwikkelen. ‘We hebben onszelf opnieuw moeten uitvinden om dit de baas te kunnen’, zegt een speurder. ‘Bij andere onderzoeken bestaat er een vast idee van waar je heen gaat, hier was het voortdurend opnieuw beginnen omdat het zo moeilijk was om vat te krijgen op de malware.’

Gaandeweg werd duidelijk dat de hackers lang niet alleen geïnteresseerd waren in de communicatie in het Midden-Oosten, waar Bics via de Zuid-Afrikaanse minderheidsaandeelhouder MTN een stevige voet aan de grond heeft. ‘Ze hebben een beetje overal zitten rondkijken en gepakt wat ze konden’, zeggen bronnen die betrokken zijn bij het onderzoek. Over één ding zijn ze duidelijk: de aanval kwam uit de Verenigde Staten. ‘We zien dat aan de handtekening van de malware, maar vooral aan de plaats waar de sporen heen leiden. Die lopen deels via het Verenigd Koninkrijk. Amerika is volgens ons wel de belangrijkste bestemming. En de afgelopen weken voel je bij de Amerikaanse ambassade duidelijk wat gêne wanneer je om uitwisseling van informatie vraagt.’

Gisteren berichtte het Duitse weekblad Der Spiegel dat de Britse geheime dienst GCHQ (Government Communications Headquarters) achter de aanval zit. Het baseert zich daarvoor op slides die de klokkenluider Edward Snowden aan het blad heeft doorgespeeld. Het nieuws dat de Britse geheime dienst GCHQ mee achter de aanval bij Belgacom zit, is voor de diensten die bezig zijn met de affaire in elk geval een verrassing.

De malware kon alles

De malware bij Belgacom bestaat eigenlijk uit een complex systeem van complementaire virussen. Die staan allemaal met mekaar in verbinding. Als er een probleem dreigt of als ze ontdekt worden, kunnen ze mekaar waarschuwen. ‘Het is een beetje zoals een menselijk virus, dat muteert ook voortdurend’, zegt een betrokkene die de situatie voor zijn dienst opvolgt. ‘Een bepaald onderdeel staat bijvoorbeeld in voor het doorzoeken en stockeren van informatie, terwijl een ander voortdurend op zoek gaat naar open poorten naar het internet om de informatie langs te versturen. Andere stukken code zorgen er dan weer voor dat de firewalls omzeild worden of staan in voor de surveillance. Als iemand de hacking ontdekt of een deel ervan probeert te verwijderen, brengt het virus dat de wacht houdt meteen alle andere op de hoogte. Omdat je niet weet wat de malware allemaal kan, kan het bij die laatste stap allemaal gruwelijk misgaan.’

De kostprijs van de hele detectie- en opruimoperatie is navenant. Fox-IT, het Nederlandse cybersecurity en -defence bedrijf dat door Belgacom is aangesteld om de problemen eerst in kaart te brengen en daarna op te lossen, is een klinkende naam in het wereldje. ‘Voor de eerste twee weken hadden ze de kostprijs op 1 miljoen euro begroot’, zegt een goedgeplaatste bron. Om er daarna aan toe te voegen dat de hele operatie in totaal tien weken geduurd heeft. Bovendien had Fox-IT er niet op gerekend dat het op een bepaald moment al zijn mensen op deze zaak zou moeten zetten. Een prijskaartje van ruim vijf miljoen euro dus? ‘Dat zal er niet ver naast zijn.’

Maar wat was er dan zo schrikwekkend aan deze cyberaanval? En waarom die paniek dat er iets mis zou gaan? Telefoongegevens over gesprekken met landen als Afghanistan, Jemen en Syrië die verdwijnen, hoe kan dat zo’n impact hebben? Dat zijn toch ‘maar’ gestolen telefoongegevens, niet?

De betrokken expert die tegenover ons zit, kijkt doodernstig. Er zit drama in zijn stem, maar gezien de inhoud van wat hij zegt is dat niet onterecht. ‘Dit was zéér performante malware en hij zat in het zenuwcentrum van de communicatie. Alles wat de hoogst geplaatste netwerkbeheerder bij Belgacom kon, kon dit systeem ook. Daar moet ik geen tekeningetje bij maken zeker? Het had alle sleutels, alle paswoorden en de volledige controle. We moeten dit durven catalogiseren als een grote crisis. Dit had een catastrofe kunnen zijn. En men lijkt het hoegenaamd niet te beseffen.’

Gevoelige klanten

Misschien kan het geen kwaad om dat tekeningetje toch even te maken. Bics noemt zichzelf een ‘wholesale carrier’. Twee woorden, vier lettergrepen, maar daarachter zit een netwerk dat zich vertakt over de hele wereld en waarvan het hart klopt in onze hoofdstad. Bics zorgt voor de hardware waarlangs internetverkeer, telefoons, sms’en en mobiele data lopen van telecombedrijven en overheidsinstellingen. En hoe gevoeliger de klant, hoe sneller hij bij Bics terechtkomt. De Belgacomdochter verkoopt zichzelf met het argument dat ze nooit ofte nimmer kijkt wat er langs haar kabels loopt. ‘Wij leggen ze voor u klaar en u stuurt er langs wat u wilt’, daar komt het op neer.

Een blik op de lijst met klanten van BICS doet dan ook duizelen. Het financiële transactiecentrum Swift, Electrabel, bpost, Belgocontrol, allemaal zijn ze aangesloten op Bics. De Navo in Evere, de Europese Commissie en het Parlement, SHAPE, het Supreme Headquarters Allied Powers Europe, in Bergen: Bics, Bics, Bics. Zelfs het hoofdkwartier van de Allied Air Command van de Navo, in het Duitse Ramstein, van waar in 2011 de luchtaanvallen op Libië geleid werden, hangt af van Bics. In militaire kringen wordt erop gewezen dat er altijd nog een extra beveiligingslaag zit op militaire communicatie, maar dat wijzen gebeurt wel met een militair zeer ongebruikelijke nederigheid.

‘Ieder bedrijf, niet alleen de overheid, moet zich nu beginnen afvragen hoe afhankelijk het is van één enkele provider, van één enkel netwerk. En vooral hoe goed het zelf beveiligd is’, zegt iemand die op de eerste rij zat in de hele affaire. ‘Belgacom, dat is kritieke infrastructuur. Hoe kan België blijven draaien zonder? Dat zijn vragen die we ons nu moeten stellen. Want de organisatie die hier achter zit heeft wel degelijk de capaciteit om Belgacom en Bics volledig plat te leggen.’ Een andere bron bevestigt – met tegenzin – die doemscenario’s: ‘Je mag er niet aan denken. Dat zou 9/11 in het kwadraat geweest zijn. De vliegtuigen zouden zowat uit de lucht vallen.’ Bij wijze van spreken? ‘Mja.’

Levenslijn

Een bron in regeringskringen wijst op de gevolgen van zelfs maar een beperkte uitval van het telefoonverkeer en internet. ‘Als er een crisis is, wat is dan het eerste dat een mens doet? Naar zijn telefoon grijpen. Beeldt u zich eens in dat die levenslijn wegvalt. Niet alleen voor u en ik, maar ook voor de hulpdiensten, voor ziekenhuizen, de brandweer...’

En voor de politie? Op het eerste gezicht niet, omdat die gebruik kan maken van het Astrid-netwerk. Maar dat werkt alleen buiten Bics om als het over lokale communicatie gaat. Voor interzonale communicatie is het net zo afhankelijk van Bics als al de rest. Het is dus niet toevallig dat politiebaas Catherine De Bolle op die bewuste vrijdag de 13de, vlak voor de grote cleaning-operatie van start zou gaan, op zoek is gegaan naar een backup voor het communicatiesysteem van de federale politie. Hoe lang het zou duren eer Belgacom weer up and running zou zijn na een destructieve cyberaanval, is onduidelijk. ‘Maar het is duidelijk dat we niet klaar zijn om dit soort aanvallen nu op te vangen’, zegt een hooggeplaatste bron. ‘Dat besef moet eindelijk beginnen doordringen. Ik ben zeer beducht voor het gevoel van opluchting dat ik bij sommigen al zie opduiken. “Hehe, dat varkentje hebben we toch maar weer mooi gewassen. Passons.” Níet dus, hé. Wie deze week niet beseft heeft dat het dringend is, zal het nooit beseffen. Nu gaan minimaliseren is levensgevaarlijk.’

Nadat De Standaard maandag het nieuws bracht van de grootschalige hacking bij Belgacom bleek dat ook Buitenlandse Zaken en het kabinet van de premier gekraakt waren. ‘En dit is nog maar het topje van de ijsberg’, zegt een bron die bij de Belgacom-problemen betrokken was. Want telecom is één zaak, maar er zijn nog tal van andere kritieke sectoren waarop een land draait. Vervoer bijvoorbeeld. Treinen, trams, bussen, weginfrastructuur, vliegtuigen, overal komen netwerken bij kijken en overal moet men beducht zijn voor cyberaanvallen. De energievoorziening is nog zo’n cruciale poot. En last but not least: het bankwezen van een land. Luxemburg heeft alvast zijn licht opgestoken bij de Belgische cyberdiensten om meer informatie te krijgen over de malware die Belgacom trof.

Bewustwording

Behalve budgetten en goedbetaalde IT’ers zal de remedie tegen de toenemende cyberdreiging grotendeels te vinden zijn in een betere bewustwording. ‘België wil inzetten op kennis en innovatie, maar als er nu één sector gevoelig is voor spionage, is het die wel. Net zoals op tal van computers bij het wereldwijde diplomatennetwerk van Buitenlandse Zaken gewoon een post-it plakt met de paswoorden, zo laten kleine bedrijven hun beveiliging slabakken’, zegt een cyberspecialist. ‘En als je durft vragen of ze hun Chinese stagiairs grondig gescreend hebben, kijken ze je aan alsof je van een andere planeet komt.’

Of de ernst van de situatie bij iedereen is doorgedrongen, lijkt twijfelachtig. In hun officiële communicatie zegt Belgacom dat het op dit moment geen aanwijzingen heeft dat er een impact is op de klanten of hun gegevens. Begrijpelijk dat het bedrijf geen hysterie uit wil lokken, maar dit klinkt toch sterk minimaliserend. ‘Wat moeten we dan schrijven?’, reageert woordvoerder Jan Margot. ‘De besmetting zat bij enkele tientallen computers in ons eigen systeem. Die zijn samen met het hele netwerk schoongemaakt.’

Ook Bics maakt er niet te veel woorden aan vuil: ‘Er zijn geen indicaties van een impact op het telecomnetwerk van Bics’, schrijft het in een eigen persbericht. ‘Een aantal van onze IT-systemen zijn geïntegreerd in de omgeving van Belgacom en zijn op die manier wel aangetast, maar dat bleef buiten het netwerk waarlangs de trafiek van de klanten loopt.’

‘Allemaal toch nogal eufemistisch’, vinden speurders die bezig zijn met het onderzoek. ‘Maar van liegen kun je ze niet beschuldigen. Er is heel duidelijk nagedacht over elke komma van die communicatie.’

Kneusje

Is België door de Belgacomhack nu het kneusje van het Europese vasteland? Inlichtingendiensten staan voortdurend in contact met mekaar en wisselen informatie uit. Voor het imago van ons land is de voorbije week allesbehalve deugddoend geweest, maar toch wordt benadrukt dat het bij zulke contacten vaak ook op persoonlijke relaties gaat tussen mensen. ‘Bovendien hebben alle landen problemen en probeert iedereen er bovenuit te komen.’

En ethisch gezien? Is het niet schizofreen dat ons land informatie over dreigingen krijgt die de VS of anderen bij ons hebben gestolen? ‘Dat is de eeuwige paradox’, zegt een ontvanger van dat soort informatie. Diplomatiek is dat het moeilijkste. Maar als je informatie krijgt over een serieuze dreiging zoals een terreuraanslag, dan kan je dat niet negeren. Op zo’n moment heb je wel andere dingen aan je hoofd.’

Meer artikels Het verhaal

In 'Het Verhaal' zoomt De Standaard elke dag in op een actueel thema:

‘De kostprijs van de opruiming? Dat wordt toch snel vijf miljoen euro’

‘De malware had alle sleutels, alle paswoorden en de volledige controle. Dit had een catastrofe kunnen zijn. En men lijkt het hoegenaamd niet te beseffen’

‘We hebben onszelf opnieuw moeten uitvinden om deze malware aan te kunnen pakken’

Buitenland
  1. Acht politieagenten gedood in zuidwesten van Egypte
  2. Schietpartij op herdenkingsplechtigheid voor Martin Luther King
  3. Turkse media: ‘Schutter nachtclub Istanbul opgepakt’
  4. Laatste man op de maan overleden op 82-jarige leeftijd
  5. Springsteen-coverband haakt af voor Trump-feest
  6. Vrouw schutter Orlando alsnog opgepakt
  7. Vijf mensen doodgeschoten tijdens muziekfestival in Mexico
  8. Verplicht milieuvignet voor alle voertuigen in Parijs
  9. Trumps grootste feest ooit
  10. Duitsland bijt van zich af na uitspraken Trump
  11. Waarom Amazon deze teenslippers uit zijn gamma verwijderde
  12. Davos: China boven op hoogmis van de economische elite
  13. Link naar Anne Frank gevonden in vernietigingskamp
  14. Biden opvallend scherp voor Rusland tijdens laatste officiële bezoek aan Oekraïne
  15. Dieselwagens mogen tijdelijk Oslo niet meer binnen
  16. Trump: opvolger Obamacare wordt 'ziekteverzekering voor iedereen'
  17. Trump noemt vluchtelingenbeleid Merkel 'catastrofaal'
  18. Video Vliegtuig crasht in Kirgizisch dorp, tientallen doden
  19. Turks parlement keurt in eerste lezing controversiële grondwetshervorming goed die Erdogan nog meer macht geeft
  20. Airbus van Lufthansa maakt noodlanding door defect in cockpit
Sport
  1. Flipkens en Wickmayer uitgeschakeld in eerste ronde Australian Open
  2. Peter Weinberg volgt Dirk Demeersman op als coach van Belgische jumpingteam
  3. Oude bekende bezorgt Congo een driepunter tegen Marokko, Lukaku’s vieren mee
  4. Louis Van Gaal zet punt achter trainerscarrière
  5. Obama viert historische titel van Chicago Cubs, het favoriete baseballteam van Michelle
  6. Rory McIlroy mist door ribblessure Abu Dhabi Championship
  7. Los Angeles wil openings- en sluitingsceremonie Olympische spelen 2024 in verschillende stadions houden
  8. Alexis Sanchez geeft aan Spaans gerecht belastingfraude toe
  9. Titelverdediger Ivoorkust laat meteen punten liggen tegen Togo
  10. Wout van Aert sukkelt met knie en laat stage links liggen
  11. Dante Rigo (18) tekent tot 2019 bij PSV
  12. Genk kan in Oostende rekenen op Thomas Buffel
  13. McLaren F1 team presenteert nieuwe wagen op 24 februari
  14. Thiam prijkt in Forbes’ “30 onder 30”-lijst van Europese entertainers
  15. Op uur tijd 50.000 tickets verkocht voor Tottenham-Gent
  16. Aly Cissokho (Aston Villa) verhuist naar Olympiacos
  17. Sep Vanmarcke keert terug naar Omloop Het Nieuwsblad en Dwars door Vlaanderen
  18. Valtteri Bottas officieel bevestigd door het Mercedes F1 team
  19. Lokeren strikt Engelse spits: “Grootste sportieve uitdaging in mijn carrière”
  20. Felipe Massa maakt meteen na zijn afscheid een F1-comeback