Waar elk securitybedrijf aan het einde van het jaar voorspellingen doet voor 2021, daar is het belangrijker het afgelopen jaar te analyseren. Welke grote cyberincidenten hebben er zoal plaatsgevonden? En wat leren wij daar als it- en securityprofessionals van?
Bent u ook altijd zo benieuwd naar wat security-vendoren in hun glazen bol zien? Vergeef me mijn cynisme. Natuurlijk is het belangrijk voorbereid te zijn op toekomstige bedreigingen. Maar de waarde van voorspellingen voor het nieuwe jaar is gering. Zoveel bewees 2020. Geen enkele vendor zag de coronapandemie aankomen, of de versnelde transitie naar thuiswerken.
Alle voorspellingen konden binnen een maand of twee de prullenbak in. Niemand weet hoe de toekomst eruitziet, terwijl het verleden vaststaat. En zo staat het vast dat 2020 een onvergetelijk jaar was. Ook vakinhoudelijk waren er interessante ontwikkelingen. Bijvoorbeeld een aantal cyberincidenten waar we nog wat van kunnen leren.
- Actief misbruik van Citrix-lek
Een groot beveiligingslek in de software van Citrix hield begin dit jaar de gemoederen bezig. Via de kwetsbaarheid konden kwaadwillenden op afstand code uitvoeren en zo bijvoorbeeld ransomware installeren. Omdat er niet direct een patch voorhanden was, adviseerde het Nationaal Cyber Security Centrum (NCSC) overheidsinstanties met klem de Citrix-software offline te halen. Hierdoor konden veel ambtenaren niet thuiswerken en ontstonden er zelfs Citrix-files richting Den Haag.
Een halfjaar later meldde de Volkskrant dat het lek actief wordt misbruikt. Hackers en spionagegroepen zouden bij zeker 25 Nederlandse organisaties toegang hebben tot het interne netwerk. Opvallend is dat beschikbare patches vaak te laat werden uitgerold. Dertig Nederlandse organisaties hadden het lek überhaupt nog niet gedicht.
De kwestie onderstreept de noodzaak van een strikt patchbeleid. Het tijdig installeren van beveiligingsupdates is een fundamentele securitymaatregel. Er zijn geen excuses meer om hier laks mee om te gaan. Verder moet er een plan B zijn voor digitale verstoringen. Hoe waarborgt u de bedrijfscontinuïteit als cruciale systemen niet beschikbaar of onveilig zijn?
- Ddos-aanval legt internet Zeeland plat
Nederland kreeg eind augustus te maken met een nieuwe golf ddos-aanvallen. Tal van internetproviders en de website Tweakers werden getroffen. In Zeeland veroorzaakte een zware ddos-aanval op internetprovider Delta flinke overlast. Inwoners hadden geen internet-, televisie- of telefoonverbinding meer. Ook werkten de pinautomaten in parkeergarages in Middelburg niet.
Het aantal ddos-aanvallen is dit jaar fors gestegen. Volgens Link11 ging het in april, mei en juni zelfs om een verdubbeling ten opzichte van 2019. Dit zou samenhangen met de pandemie. De vele thuiswerkers en bedrijven die zich waagden aan een versnelde uitbreiding van de digitale dienstverlening vergrootten het aanvalsoppervlak. Uit andere onderzoeken blijkt dat de intensiteit en het volume van ddos-aanvallen eveneens is toegenomen.
De belangrijkste conclusie? Ook in 2021 is geen securitystrategie compleet zonder gerichte maatregelen tegen ddos-aanvallen. Voor kleine bedragen bestel je online een zware aanval op bedrijven teneinde ze af te persen. Dit maakt ddos-aanvallen de meest laagdrempelige vorm van cybercriminaliteit, die ongetwijfeld ook in 2021 de kop op zal steken.
- Ziekenhuizen doelwit in coronatijd
Ransomwarebendes beloofden in coronatijd geen ziekenhuizen aan te vallen. In het geval van een onbedoelde besmetting zouden zij de bestanden zelfs gratis ontsleutelen. De groep achter de ransomware Ryuk liet niks van zich horen. Inmiddels weten we dat deze criminelen verantwoordelijk waren voor een aanval op de Amerikaanse ziekenhuisketen UHS. In de maanden daarop was de gezondheidszorg vaker doelwit van Ryuk.
In 2020 bleek ook dat een besmetting fatale gevolgen kan hebben. In september overleed een vrouw tijdens een ransomware-aanval op het universiteitsziekenhuis in Düsseldorf. Het ziekenhuis kon geen patiënten aannemen op de spoedeisende hulp en stuurde de vrouw naar een ander ziekenhuis. De medische hulp kwam te laat. De aanval was niet gericht op het ziekenhuis, maar de universiteit waar het ziekenhuis mee samenwerkt.
Bewust of onbewust, het maakt geen verschil. Deze personen brengen levens in gevaar voor financieel gewin. De incidenten leert dat we ransomware moeten uitbannen. Bijvoorbeeld door in te zetten op security-awareness. Een aanval begint meestal bij een phishingmail. Eigenlijk zouden we alle werknemers periodiek moeten trainen in gevaarherkenning.
- Privacylek bij Kenter Jeugdhulp
Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg, had zijn oude website niet beveiligd afgesloten. Daardoor kon iedereen de website en bijbehorende e-mailadressen overnemen. RTL Nieuws deed dit na een anonieme tip en kon zo honderden e-mails lezen die nog binnenkwamen. Daarin stonden bijvoorbeeld medische dossiers van kinderen met ernstige psychische aandoeningen en de inloggegevens voor online-systemen met gevoelige informatie.
Via het lek was het ook mogelijk een database in te zien met namen, adressen en burgerservicenummers van miljoenen Nederlanders, en informatie over hun zorgverzekeringen. Nog kwalijker was dat de privacy van zeer kwetsbare kinderen en hun omgeving in het geding was. Helemaal omdat RTL Nieuws in april van 2019 op exact dezelfde manier toegang kreeg tot duizenden dossiers van cliënten van Jeugdzorg Utrecht.
Z-Cert, het expertisecentrum voor cybersecurity in de zorg, sprak van een pijnlijke wake-upcall voor de sector. Het incident toont de impact van een menselijke fout, zoals het niet registreren van een verlopen domeinnaam. Maar het laat ook zien hoe belangrijk het is om verder te kijken dan de eigen organisatie. Leer van een cyberincident bij een branchegenoot en tref zelf direct maatregelen.
Overal gaan dingen fout
Hopelijk bent u 2020 zonder digitale kleerscheuren doorgekomen. Uw organisatie maakt bijvoorbeeld geen gebruik van Citrix, is niet getroffen door een ddos-aanval of ransomware en verwerkt nauwelijks privacygevoelige gegevens. Dat is mooi! Toch gaan er binnen elk bedrijf zaken mis op it- en securityvlak. Welke lessen kunt u daaruit trekken om herhaling te voorkomen?
Wellicht kwam u erachter dat niet alle thuiswerkers veilig gebruikmaken van it-middelen, bijvoorbeeld doordat ze geen updates installeren en dezelfde wachtwoorden gebruiken. Of een werknemer was zijn smartphone ‘even kwijt’ en u had geen toegang tot het apparaat. Kleine dingen die uiteindelijk niet tot problemen hebben geleid, maar dat biedt geen garantie voor de toekomst. Zo’n evaluatie is een prima manier om dit roerige jaar af te sluiten. Ik wens u allen een veilig en gezond 2021 toe.
Afsluitende alinea waarin het weten niet leidt tot handelen is zo kenmerkend voor de ‘handelsgeest’ in het securitybeleid. Zodra de maatregelen geld kosten moet er namelijk een business case komen waarin de mogelijke schade afgezet wordt tegen de kans van optreden. De voorspelbaarheid dat organisaties getroffen worden door een hack neemt namelijk toe als een exploit – zoals met Citrix – algemeen bekend is. Tenslotte baseert ook het NCSC haar adviezen op risico analyses maar worden deze nog weleens in de wind geslagen, niet zelden omdat bij eerdere uitbesteding van het beheer geen rekening is gehouden met de kosten van het patch management. Contractuele inertie zorgt ervoor dat het ‘vaccineren’ op basis van een project gedaan moet worden en dit zorgt ervoor dat de put pas gedempt wordt als het kalf al verdronken is.
Integendeel: Cybercrime is zeer voorspelbaar. Is er dan ook maar iets gebeurd in 2020 wat niet voorspeld was?