Bij het onderzoek naar de gegevens in de dataset van het Pobelka-botnet heeft een combinatie van de AIVD, MIVD, politie, Openbaar Ministerie en het Nationaal Cyber Security Centrum (NCSC) geen informatie aangetroffen die een acuut risico vormt voor de continuïteit van getroffen organisaties of de nationale veiligheid. Daarbij was het Pobelka-botnet primair gericht op het manipuleren van financiële transacties bij internetbankieren. Het is daarmee een botnet dat vergelijkbaar is met andere Citadel-botnets die hetzelfde doel nastreven.
De aard van de buitgemaakte informatie is echter wel dusdanig dat de gegevens een mogelijke springplank zouden kunnen vormen voor toekomstige aanvallen of gericht handelen. Dat zijn de hoofdconclusies van het aanvullend onderzoek naar het Pobelka-botnet door een aantal betrokken partijen die op initiatief van de NCTV bij elkaar waren gebracht. AIVD, MIVD, Politie, OM en NCSC hebben op grond van de eigen taken en bevoegdheden de dataset nader geanalyseerd. Doel van het onderzoek was om de dataset in een bredere context te analyseren om de potentiële impact van de gegevens in de dataset op de nationale veiligheid in te schatten.
Uit de analyse blijkt dat de geïnfecteerde computers zich bij een grote diversiteit aan entiteiten (waaronder particulieren en bedrijven) in diverse sectoren bevinden, ook in sectoren die door de overheid als ‘vitaal’ zijn aangemerkt en bij de overheid zelf.
Bredere botnetproblematiek
Op basis van organisatienamen, domeinnamen die gebruikt worden door organisaties en veel gebruikte trefwoorden die in de dataset gevonden zijn, worden partijen binnen de doelgroep van rijksoverheid en vitale sectoren actief geïnformeerd door het NCSC. Daarbovenop vergt het informeren van eigenaren van overige mogelijk getroffen informatiesystemen een aanzienlijke tijdsinspanning van circa zes weken door het NCSC en zijn partner- en schakelorganisaties, zoals de internet service providers. Ook hiermee is reeds een begin gemaakt.
De bredere botnetproblematiek is één van de negatieve kanten van het internet, die onlosmakelijk verbonden blijven met het gebruik van internet. Ondanks dat er in deze casus geen acuut risico voor de nationale veiligheid is gebleken, is de bredere botnetproblematiek aanleiding om zowel op de korte als de lange termijn maatregelen te treffen, mede met het oog op de potentiële vervolgschade die door botnets kan worden geleden.
Kwetsbare systemen
De Pobelka-casus toont de kwetsbaarheid aan van de toenemende verwevenheid van het privé en zakelijk gebruik van informatietechnologie. Hierbij zijn bijvoorbeeld zakelijke gegevens terug te vinden op privécomputers van gebruikers. Naast bankgegevens bestaat de bijvangst van het Pobelka-botnet uit allerlei persoonlijke informatie die privacygevoelig is. Daarbij zijn bijvoorbeeld ook wachtwoorden van privéaccounts, maar ook informatie over netwerkomgevingen en informatie over software gekopieerd, die een springplank zouden kunnen vormen voor het plannen van een gerichte aanval op kwetsbare systemen. De gegevens binnen de huidige dataset zijn wel inmiddels behoorlijk verouderd.
Daar waar het gaat om inloggegevens van bedrijfsnetwerken zullen veel inloggegevens reeds gewijzigd zijn. In het algemeen is het van groot belang om een sterk wachtwoord te kiezen en dit regelmatig te wijzigen.
Aanpak botnets beter afstemmen
Voor de bredere botnetproblematiek worden op korte termijn alle bij botnetbestrijding betrokken partijen bij elkaar geroepen door het ministerie van Veiligheid en Justitie. Het doel is activiteiten op het gebied van botnetbestrijding in Nederland beter op elkaar af te stemmen, waardoor de effectiviteit van de aanpak toeneemt. De bestrijding van botnets is een gedeelde verantwoordelijkheid van publieke en private partijen. Op dit vlak zijn al aanzienlijke stappen gezet door partijen die een directe vertrouwensrelatie met hun klanten hebben. Een goed voorbeeld hiervan is het initiatief Abuse Information Exchange van de internet service providers.
De voortdurende technologische ontwikkeling in het digitale domein vergt een passend antwoord van publieke en private partijen. Daarom, wordt aan een nationaal detectie- en responsenetwerk gebouwd, vindt er nauwe samenwerking met vitale sectoren plaats om gebruikte IP-ranges te monitoren, wordt ook een juridische verkenning uitgevoerd over de vraag hoe het NCSC op een zorgvuldige wijze kan omgaan met de informatie die hem vanuit de ict-community bereikt en wordt na de zomer de Nationale Cyber Security Strategie geactualiseerd.
Aanpak toekomstige botnets
De ervaringen met de aanpak van Pobelka onderstrepen het belang van de samenwerking bij het inschatten van risico’s die uitgaan van botnets. Samenwerking vormt de basis voor snel en adequaat optreden. Ieder vanuit het eigen perspectief en op grond van respectievelijke taken en bevoegdheden. Na formele verkrijging van de gegevens kan het NCSC een initiërende en coördinerende rol gaan spelen om een eerste triage uit te voeren. Zo kan vervolgens gehandeld worden door de, voor dat geval, meest geschikte partij. Bij de aanpak van toekomstige botnets wordt deze werkwijze opnieuw ingezet.
