De Covid-19-pandemie kerft diepe sporen in het it-landschap. Daar zitten slechte, maar óók goede kanten aan, zoals de oprichting nu een maand geleden van CTI League. Dat zegt oprichter Marc Rogers, in het dagelijkse leven veiligheidstopman bij het Amerikaanse identity & access managementbedrijf Okta. ‘Het is een gold rush.’
De metafoor is treffend. Via een videobelverbinding vanuit San Francisco – waar het hoofdkantoor van Okta is gevestigd en waar corona ook iedereen aan huis kluistert – legt Rogers uit dat cybercriminelen opereren als een roedel wolven. Ze zoeken naar de zwakste schakel, proberen die te isoleren en zetten vervolgens de aanval in. ‘De coronacrisis heeft de ideale omstandigheden voor hackers gecreëerd’, licht de executive director of cybersecurity toe. Een van de eerste slachtoffers in onrustige tijden is voorzichtigheid, doorgaans een van onze sterkste verdedigingssystemen. Met als resultaat dat we juist nu kwetsbaar zijn.
Immers, met bedrijven die verplicht zijn het grootste deel van het personeel thuis te laten werken in plaats van een centrale locaties tussen collega’s, verliezen werknemers een zekere mate van bescherming. Dit fenomeen vergelijkt Rogers met herd immunity, de immuniteit van de kudde. Wanneer een vreemde e-mail binnenkomt, is het gemakkelijk om met een collega te praten en de authenticiteit ervan te verifiëren. Maar bij het huidige thuiswerken, vaak geïsoleerd, wordt dat moeilijker. Wie niet snel een regelmatige communicatie en de juiste veiligheidshygiëne tot stand brengt, is een gemakkelijk doelwit. Volgens Rogers groeit in crisistijden de kans om ons om de tuin te leiden exponentieel. ‘De huidige Covid-19-pandemie is daarin geen uitzondering’, windt Rogers er geen doekjes om. ‘Dit allemaal, de situatie waarin we nu zitten, was te verwachten.’
Geweld
Hoewel Rogers in zijn professionele leven – hij loopt meer dan twintig jaar in het cybersecuritydomein rond – heel wat heeft gezien, moet hij bekennen dat de schaal waarop de aanvallen op dit moment plaatsvinden ongezien is. Hij waarschuwt dat alle aanvallen – veelal phishing en identity attacks – zich in zo goed als elke taal manifesteren, via alle sociale-media- en communicatieplatformen en dat elk land doelwit is. ‘In veel opzichten is dit de grootste reeks cybercampagnes die we ooit hebben gezien, het lijkt wel een cybercrime gold rush.’ Om er geruststellend aan toe te voegen dat het merendeel van de aanvallen niet meer is dan nieuwe wijn in oude zakken. Ofwel, bekende methodes voorzien van een nieuw vernisje (lees coronakleurtje).
Hoewel geruststellend? Veel aanvallen bestaan dan wel uit berichten boordevol spelfouten die de ontvanger naar een bestemmingspagina lokt die duidelijk nep is, er is ook slecht nieuws. Want tussen het geweld en lawaai door glippen ook gesofisticeerde hackers binnen die zich van meer geavanceerde middelen bedienen. Sommigen weten de gebruikersinteractie helemaal over te slaan en er een reeks malwarecodes door te drukken. Gevraagd om de ernst van dit cyberdreigingsniveau in een cijfer te vangen, komt Rogers bij een zeven of acht uit. En als je die oude zakken even vergeet – dan zijn driekwart van de aanvallen – zelfs een negen. Nee, de kwaliteit én kwantiteit van de laatste stroom hackpogingen is allerminst reden om meewarig te glimlachen.
Dat doet Rogers dan ook niet. Wat heet. ‘Wij formeren een leger’, zegt hij ferm. De naam lijkt ontleend aan een heldencollectief: de CTI League. Deze Cyber Threat Intelligence-organisatie verenigt een gemêleerd gezelschap van (cybersecurity)experts met als doel de dreigingen die gepaard gaan met de huidige pandemie, te neutraliseren. Rogers is medeoprichter en vormt met drie anderen het managementteam. De Okta-medewerkers legt uit dat de CTI League – dat nu 1.500 ledenvrijwilligers uit veertig landen telt, waaronder ook Nederland – een beperkt uitnodigingsbeleid hanteert en verder geen winstoogmerk heeft. Verder geeft het verbond prioriteit aan eerstelijns medische middelen en de kritieke infrastructuur.
FBI
De eerste successen zijn geboekt. Rogers claimt dat zijn strijders inmiddels meer dan honderden domeinen en campagnes hebben platgelegd. Ook zijn ‘behoorlijk aantal’ aanvallen op kritieke infrastructurele werken afgeslagen. De sleutel van dat succes? Hoe paradoxaal maar die ligt ook bij corona. Rogers: ‘Alle leden hebben een normale baan en zijn daarvoor overdag in de weer. Maar wat doen we ’s avonds? Niet meer naar de restaurants en cafés. We besteden onze avonduren aan security. En met zoveel leden verspreid over de wereld is er altijd wel eentje aan het werk voor de CTI League.’ De slagvaardigheid, zo legt Rogers uit, is bovendien te danken aan de tientallen politiefunctionarissen uit tal van organisaties (waaronder FBI, Europol en NCSC) die zijn aangesloten bij de CTI League.
Als voorbeeld noemt hij het saboteren van een phishingcampagne. ‘Als wij zo’n campagne hebben geïdentificeerd, de componenten ervan hebben aangewezen en het blijkt dat de basis ervan zich in het buitenland bevindt, dan volgen er doorgaans complexe procedures om er een eind aan te maken. Je moet eindeloos over en weer communiceren, hebt te maken met nationale wetgevingen… Nu zeggen we tegen iemand binnen onze groep met banden met het ‘gewraakte’ land: ‘Hier, dit is er aan de hand, dit is waarom het moet stoppen, alsjeblieft, good luck.’ Door nauw met elkaar samen te werken, zijn de barrières van de communicatie geslecht. Nu kan ik makkelijk mijn hand opsteken en iemand te spreken krijgen. We hebben als CTI League de power om dingen te laten verdwijnen.’ Rogers benadrukt dat zijn club niet buiten de wettelijke kaders opereert en dat het uit de lucht halen van malafide domeinen en illegale netwerken volgens het boekje gaat. ‘Wij een security dead squad? (Lacht) Ik noem het liever swift justice.’
Strekking
Slechte tijden haalt ook het beste in mensen naar boven, herhaal Rogers nog maar een keer. De verzoeken die hij ontvangt zijn net zo talloos als de strekking hetzelfde: hoe kan ik helpen? Het is niet alleen CTI League, volgens Rogers verrijzen dozijnen van vergelijkbare groepen die de pandemie en daaruit vloeiende cybersecuritygevaren het hoofd willen beiden. Meer, de groepen beconcurreren elkaar niet, maar werken samen. ‘Samen zijn we sterker. Dat is een goede kant van deze crisis. Om dat te zien, is geweldig.’
Marc Rogers en Okta
Marc Rogers is werkzaam als algemeen directeur cybersecurity bij Okta, een in San Francisco gevestigd bedrijf (met ook een kantoor in Amsterdam) dat zich focust op identiteits-, security-, en mobility-management. Rogers kan bogen op een carrière die meer dan twintig jaar beslaat. Hij hackt sinds de jaren tachtig en treedt nu op als een white-hat hacker. Vóór Okta was hij actief voor de Britse operator Vodafone en als chief information security officer in Zuid-Korea. Ook organiseert hij ’s werelds grootste hackconferentie Def Con.