De waarschuwing komt niet van zomaar iemand. Preneel is onderdeel van een onderzoeksgroep die een encryptiestandaard ontwikkelde die in de hele wereld wordt gebruikt. Van routers tot aan harde schijven en van smartphones tot laptops. Preneel staat te boek als één van de ontwikkelaars van de compressietechniek, bedoeld om de grootte van bestanden te verkleinen. Daarnaast werkte hij mee aan de techniek achter de corona-apps die veel Europese landen gebruiken. Regelmatig doen hij en zijn onderzoeksgroep aan de universiteit in Leuven onderzoeken naar de beveiliging van apparaten of machines. Welhaast legendarisch is de video (hieronder te bekijken) waarin de onderzoekers na maandenlang graven de sleutel van de Tesla model X weten te kraken en wegrijden met de elektrische auto. Tesla toonde zich een goede verliezer en bood, zoals het hoort, de onderzoeksgroep een bedrag van tienduizend euro. “Daar zijn we niet heel rijk van geworden”, zegt Preneel droogjes. “Maar Tesla heeft wel begrepen hoe het werkt. Zo’n beloning voor het aantonen van zwakheden in het systeem zou iedere organisatie moeten bieden. Het is een erg effectief instrument om je cyber security op orde te brengen.” 

Veel meer aandacht voor cyber security 

“Waar in de jaren tachtig en negentig alleen banken en overheidsinstanties hoefden na te denken over informatiebeveiliging, is dat nu veel breder geworden”, analyseert Preneel. “Alles is digitaal en in de laatste vijf jaar is die digitalisering enorm versneld. Waar ik vroeger in een niche zat met een aantal experts, is de aandacht voor cyber security enorm verbreed en meer en meer op de agenda’s van de boardrooms gekomen. Elke dag wordt er wel een hack gerapporteerd, waarbij grote bedrijven zoals VDL en Mediamarkt niet geschuwd worden. Dat komt omdat veel bedrijven hun systemen, in een jacht naar de digitale transformatie, wel aan het internet hebben gehangen, maar lang niet altijd goed hebben beveiligd. Die veiligheid gaat verder dan alleen technische oplossingen, bijvoorbeeld het scheiden van systemen om bij een hack niet alles open te hebben staan. Het gaat ook over het vooraf goed inschatten welke risico’s je loopt. Welke gegevens zijn mij het meeste waard en moet ik dus het beste beveiligen? En: Als ik word gehackt, hoe zorg ik voor een zo snel mogelijk herstel? Maak daar plannen voor. Compleet met een back-up-strategie. Oefen de maatregelen in de praktijk. Zoals je ook oefent voor een calamiteit als brand. En zorg voor barrières die maken dat een hacker jou niet als eerste pakt en een deur verder gaat.”  

Drempels opwerpen

Een hack uitsluiten is niet te doen, constateert Preneel er achteraan. “Zoals je een inbraak in je kantoorpand ook niet kan uitsluiten. Je kunt wel meer drempels opwerpen die het moeilijker maken om in te breken.” Gevaar nummer één is volgens Preneel gijzelsoftware die bedrijven compleet lam legt. Daarbij vragen hackers losgeld voor de versleutelde informatie. Of ze dreigen de gegevens te publiceren. “Met een laptopje op een zolderkamer kun je met tools die vrij beschikbaar zijn, bijvoorbeeld op het dark web, al een cyberaanval plaatsen. Cybercriminelen – want criminelen zijn het – scannen de ICT-omgevingen van bedrijven of er poorten openstaan. Om zo binnen te komen. Heb je zo’n poort openstaan, dan is het geen vraag meer of je gehackt wordt. Dan word je gehackt. Het is aan te raden om meerdere lagen van verdediging te hebben. Als één laag wordt doorbroken, dan beperk je zo de schade.” Een risicoanalyse zou door meerdere boardmembers gedaan moeten worden. “Als er maar één bestuurder bij is aangehaakt, heb je kans dat je onderdelen van je landschap en je organisatie mist. Cyber security is daarom multidisciplinair in de boardroom een aandachtpunt. Alleen zo kun je de hele organisatie meenemen in verdedigingsmaatregelen.”

Meerdere crypto-technieken 

Preneel is cryptograaf. “Toen ik in 1987 begon was cryptografie iets voor militairen, diplomaten, banken en overheden. Softwareoplossingen waren op maat gemaakt en waren toen heel duur. Denk aan tienduizenden euro’s. Sindsdien zijn de technieken voor het verbergen of versleutelen van te verzenden informatie meer gemeengoed en beter geworden. Cryptografie zit tegenwoordig overal in. Van je bankpas tot aan toegangskaartjes en smart watches. Het heeft miljarden toepassingen.” De blockchain, die begin jaren negentig al werd uitgevonden, bestaat uit meerdere technieken van cryptografie die zijn gebundeld. Preneel: “De techniek is waardevol, maar ook een beetje een hype. De blockchain is handig in situaties waar je transparant, openbaar binnen het netwerk en betrouwbaar gegevens wilt overbrengen, zonder dat er een tussenpersoon aan te pas komt. Daarbij was de verwachting dat we tussenpersonen zoals een notaris of een bank wel zouden kunnen uitschakelen. Maar dat is niet het geval. Als een notaris alleen de transactie van een koopovereenkomst van een huis van A naar B zou regelen, dan zou de technologie een rol kunnen spelen. Maar een notaris doet meer. Bijvoorbeeld helpen bij een ruzie over een erfenis waarbij een huis verdeeld moet worden. Kortom, de technologie is alleen transactioneel.”  

Onderzoek naar digitale euro

Toch ziet Preneel toekomst voor cryptomunten. “In landen als Venezuela is de bitcoin al stabieler dan de eigen munt, alhoewel er in cryptoland veel scams rondgaan. Ook de Europese Centrale Bank doet onderzoek naar een digitale euro, maar ik verwacht dat ze voorzichtig zijn met een introductie. Als je rechtstreeks je euro bij de ECB kunt stallen, waarom zou je dan nog banken als ABN AMRO nodig hebben? Daar tegenover staat: de ECB is wel goed in het interbancaire verkeer, maar niet in het bedienen van particulieren en bedrijven met financiële dienstverlening.”

Preneel: “Het is aan te raden om meerdere lagen van verdediging te hebben.”

Automatisch doorsturen

De KU Leuven deed ook onderzoek naar keyloggers. Daarbij bleek dat duizenden van de meest bezochte websites wereldwijd hun gegevens die bezoekers online invullen, automatisch doorsturen naar adverteerders. “Dat gebeurt zelfs als je daar geen toestemming voor geeft of die toestemming expliciet weigert, bleek uit ons onderzoek. Het was zelf nog erger: adverteerders, maar ook bedrijven als Facebook en TikTok, kunnen zelfs meelezen als je niet op verzenden drukt. De diensten van dergelijke sites zijn zogenaamd gratis, maar je betaalt dus met je data. En dat is gevaarlijk. Zo kun je met een datastofzuiger een heel profiel opbouwen van een persoon. Dat doen ze zonder te kijken naar welke gegevens wel of niet nuttig zijn. Ook beseffen ze niet dat het schadelijk is als die gegevens over personen lekken. Die data kunnen dus ook door hackers misbruikt worden om personen onder druk te zetten. Dat is niet denkbeeldig. Uit een combinatie van gegevens - denk aan GPS, gegevens over energieverbruik of gebruik van social media – kun je bijvoorbeeld seksuele geaardheid of religieuze achtergrond afleiden.”

Ethisch omgaan met data

Preneel roept bestuurders op ethisch met data om te gaan. “Dat gaat verder dan de Algemene verordening gegevensbescherming. Ontwikkel beleid. Welke gegevens van de klant heb ik beslist nodig voor mijn dienstverlening en welke niet? Gooi weg wat je niet echt nodig hebt. Nu worden alle omwegen die er maar zijn gebruikt om data te verzamelen. Bedrijven doen dat vaak in grote datalakes waarin ze van meerdere systemen de data bijeen brengen. Om te kijken wat dat eventueel kan opleveren. Dat is schieten met hagel. Het levert datavervuiling en het rondstrooien van data op. Ook is daarmee de schade bij een hack van dat datalake groter. Dataverzameling moet daarom al met al gerichter en beperkter.”  

“Je kunt denken dat je met AI veilig bent, maar dat ben je niet.”

AI makkelijk te foppen

Tot slot ziet Preneel dat kunstmatige intelligentie wordt ingezet in informatiebeveiliging. “Omdat er een tekort is aan cyber security-specialisten, wordt het scannen naar zwakheden in systemen en het reageren op cyberaanvallen steeds meer gedaan met kunstmatige intelligentie. Ook omdat de specialisten duur zijn en dit een goedkopere oplossing is. Dergelijke AI-systemen analyseren datagebruik en detecteren en controleren of gegevens niet ongeoorloofd worden gebruikt. Dat klinkt goed, maar mijn vraag is hoe ver je daarmee gaat. Het kan namelijk een oorlog tussen systemen van aanvallers en verdedigers op basis van kunstmatige intelligentie worden. Waarbij we als mensen ernaar staan te kijken en niet meer snappen wat er gebeurt. We staan dan buitenspel.”  

Het tweede bezwaar van Preneel: “Je kunt denken dat je met AI veilig bent, maar dat ben je niet. Kunstmatige intelligentie is makkelijk te foppen. Bijvoorbeeld door in een plaatje ruis toe te voegen die je als mens niet kunt waarnemen. Een aanvaller hoeft daarvoor maar een klein element toe te voegen om in te breken. Met AI bereik je zo schijnveiligheid. Een computer kan best complexe beslissingen nemen, maar die beslissingen kunnen ook fout zijn. Je kunt er niet blind op vertrouwen. Dat moeten bestuurders zeker beseffen. Waar ik meer toekomst in zie, is dat we onze ICT-systemen vanaf de grond af aan beveiligd opbouwen. Security by design. Dat naast planning voor verdediging van je data en recovery als je toch gehackt wordt. Daarmee moeten bestuurders vooral aan de slag.”