Inti De Ceukelaire (Chief Hacker Officer): “Er is altijd een zwakke schakel”

Hacken zit Inti De Ceuckelaire van jongs af in het bloed, maar hij deed dit nooit om iemand een loer te draaien of zichzelf te verrijken. Toen hij als student de code kraakte van zijn hogeschool en toegang kreeg tot de examens, meldde hij dit netjes bij de directie. In ruil kreeg hij een kratje bier. Nu is Inti Chief Hacker Officer bij Intigriti en pleit hij voor de shocktherapie als het gaat om cyberbeveiliging. “Leg uit hoe je een phishingmail herkent, maar vooral wat er kan gebeuren als je hem niet herkent.”

U werkt als Chief Hacker Officer bij Intigriti. Wat doet dit bedrijf?

Inti De Ceukelaire: “Intigriti is een internationaal platform van ruim honderdduizend freelance hackers uit 150 landen. Ze hebben toestemming om binnen bepaalde regels onze klanten 24/7 te hacken. Vinden ze een kwetsbaarheid, dan stoppen ze de hacking en brengen ze ons op de hoogte. Vervolgens werkt Intigriti met de klant samen om het lek te dichten. Zo voorkomen onze klanten veiligheidslekken die hen anders veel meer zouden kosten. Ethisch hacken draait om het bestuderen en vinden van kwetsbaarheden. Datadiefstal en online vandalisme zijn crimineel, maar hacken om software te beveiligen is essentieel. Je moet software nu eenmaal aanvallen, om te weten hoe je het moet beveiligen.”

“Ik was als student al gefascineerd door hacking, maar het enige pad om dit toen te doen was het slechte pad. In de hogeschool hackte ik het examensysteem en meldde dit. Ze namen het serieus en ik kreeg een kratje bier als dank. Dat gaf me het gevoel serieus genomen te worden. Net daarom vind ik het uitstekend dat steeds meer overheden zoals gemeentebesturen nu samenwerken met hogescholen om cyberveilig te worden. Studenten mogen doelbewust op zoek naar datalekken binnen het softwaresysteem van de gemeenten.”

Enkele maanden geleden was u in het nieuws toen u vervallen domeinnamen voor een habbekrats had gekocht. Wat was er aan de hand?

Inti De Ceukelaire: "Als bedrijven domeinnamen huren, doen ze dat voor een jaar of enkele jaren. Maar domeinnamen kunnen ook vervallen door faillissementen, splitsingen of fusies. Als er niet langer voor wordt betaald, belanden ze op de markt. Ik wilde weten hoe makkelijk criminelen aan persoonlijke data konden komen via deze domeinnamen. Voor 8 euro per stuk kon ik zomaar domeinnamen van gemeenten, politiezones en ziekenhuizen kopen. Ik kreeg toegang tot honderden professionele mailadressen en zeer gevoelige informatie. Ik gaf de info door aan het Centrum voor Cybersecurity en schreef er een artikel over. Dat veroorzaakte commotie en leidde tot nieuwe richtlijnen. Bedrijven en overheden gaan nu bewuster met hun domeinnamen om. Soms moeten we als ethisch hacker heel tastbaar de gegevens tonen die we hebben kunnen bemachtigen om iets in gang te zetten.”

“Hacken om software te beveiligen is essentieel.”

Hoe staat het met de cyberveiligheid bij onze kmo’s? Is er voldoende awareness om te beveiligen?

Inti De Ceukelaire: “Er is een inhaalbeweging. Dankzij de Vlaamse overheid kunnen kmo’s sinds 2021 een beroep doen op de subsidie ‘cybersecurity verbetertrajecten’ (zie verder). Deze testen zijn een eerste stap om bewust te worden en slimmer te worden. De keerzijde is dat veel kmo’s denken dat ze veilig zijn, eens ze een test hebben gedaan. Dat onderscheid moeten we maken: cybersecurity is niet hetzelfde als compliance (het in regel zijn). Je kan volledig compliant zijn, maar je kan nooit volledig cyberveilig zijn. Er is altijd een zwakke schakel. Dergelijke tests zijn een momentopname. Ik adviseer bedrijven om elk kwartaal hun cyberveiligheid te testen, in plaats van jaarlijks.”

Wat zijn de meest voorkomende cyberbedreigingen?

Inti De Ceukelaire: “Hackers zoeken een sweet spot. Ze maken de afweging van hoeveel tijd ze nodig hebben om hoeveel geld eruit te kunnen halen. Daarom zijn grote bedrijven interessanter. Maar corona heeft veel thuiswerk meegebracht en, zeker bij grote bedrijven, nieuwe online poorten gecreëerd zoals online helpdesks en chats. Ze zijn dus vatbaarder voor oplichters. Veelvoorkomende bedreigingen zijn phishing en het hacken op sociale media via valse profielen. Samengevat, de grote bedrijven hebben meer toegangspoorten, kmo’s hebben hun poorten zien uitgebreid door het thuiswerk en de digitalisering. Grote bedrijven hebben wel meer beveiligingsmaatregelen dan kmo’s.”

Wat als er zich een cyberaanval voordoet?

Inti De Ceukelaire: “Dat hangt natuurlijk van het soort van incident af. Probeer bij een aanval zeker de schade te beperken bijvoorbeeld door je e-mail offline te halen, zodat medewerkers geen besmette mails versturen. Verdoezel het incident zeker niet, want dat kan zware boetes opleveren en je moet je klanten informeren. Bepaal ook snel of je melding moet maken en aan wie, zoals de GBA of het CERT. Vanaf een incident begint er immers een klokje te lopen, dus juist en tijdig rapporteren is cruciaal om boetes te vermijden. Bij ransomware is vaak de vraag of je moet betalen of niet. De meningen zijn verdeeld. Ik begrijp bedrijven die alles kwijt zijn en betalen, maar ik raad het vanuit ethisch oogpunt af omdat je een criminele organisatie steunt. Maak liever een kosten-batenanalyse en overweeg om je getroffen klanten alternatieven aan te bieden zoals bescherming tegen identiteitsfraude of een cyberverzekering.”

Hoe belangrijk is de bewustwording en kennis rond cyberveiligheid bij werknemers?

Inti De Ceukelaire: “Bewustwording is belangrijker dan ooit, vooral door AI en de vele phishingmails. LinkedIn bijvoorbeeld is een interessante databron voor hackers. Mensen die net van baan wisselen, melden dit vaak op LinkedIn, maar zijn kwetsbaar omdat ze de procedures van hun nieuwe bedrijf nog niet kennen.

Bewustwording is goed, maar moet ook omgezet worden in actie. Geen woorden maar daden. Daarom verkies ik de shocktherapie, door te vertellen wat de gevolgen van laksheid kunnen zijn. Leg uit hoe je phishing herkent, maar vooral wat er kan gebeuren als je een phishingmail niet herkent. Geef mensen een gevoel van verantwoordelijkheid en een detectiemechanisme.”

Wie is Inti de Ceukelaire?

Inti De Ceukelaire is een ethische hacker en cybercrime-onderzoeker. Hij werkt als Chief Hacker Officer bij Intigriti en is een van de oprichters van de Hacker Policy Council. Zijn expertise wordt erkend in internationale publicaties zoals BBC, Wired, CNET, Mashable en New York Magazine. Hij haalde de krantenkoppen door de website van het Vaticaan te manipuleren en nepnieuws op het Twitter-account van Donald Trump te plaatsen. Inti entertaint op ook bedrijfs- en publieke evenementen. Zijn nieuwste show heet Toverhacks/Magic Hacks (info: https://inti.io/p/info-and-booking).

De essentie

Inti De Ceukelaire benadrukt het belang van ethisch hacken en cyberbewustzijn voor bedrijven. Hij pleit voor shocktherapie om de gevaren van cyberdreigingen te illustreren, en adviseert regelmatige cybersecuritytests om bedrijfsgegevens te beschermen in een steeds digitalere wereld.

Subsidie voor verbetertrajecten

De cybersecurity verbetertrajecten van VLAIO (Agentschap Innoveren & Ondernemen) ondersteunen kmo’s in Vlaanderen. Tijdens een individueel begeleidingstraject helpt een erkende dienstverlener de cyberbeveiliging van uw onderneming te versterken en uw weerbaarheid tegen cyberaanvallen te verhogen. VLAIO subsidieert bij kmo's en maatwerkbedrijven 50% van de kosten voor het inkopen van deze externe begeleiding. Meer info op www.vlaio.be.