Honderden organisaties in Nederland zijn mogelijk vatbaar geweest voor de hack van SolarWinds. Ze maakten gebruik van een besmette versie van Orion-monitoringsoftware. De potentiële slachtoffers moeten maatregelen treffen om de risico's te minimaliseren. Nagenoeg alle getroffen bedrijven en instellingen laten dit na. Dit leert een rondvraag van Computable onder security-experts.
Aad van Boven, ceo van SecureMe2 (cyber-alarmsoftware) uit Ridderkerk, spreekt zijn grote zorg uit over het geringe aantal Nederlandse organisaties dat actie heeft ondernomen. Zijn software is diverse malen gestuit op SolarWinds-kwetsbaarheden en de gevolgen daarvan. Met terugwerkende kracht is te zien of klanten malware actief hebben en wanneer de infectie is opgelopen.
De SecureMe2-topman constateert dat veel Nederlandse organisaties hebben nagelaten zichzelf te beschermen. Zelfs maatregelen als het blokkeren van internetverkeer van gevaarlijke ip-adressen bleven uit. En dat terwijl dat geen lastige klus is omdat bijna alle aanvallen van slechts negen van deze adressen kwamen. Met zo’n stap valt veel onheil te voorkomen, merkt Van Boven op. Je gaat daarmee tegen dat kwetsbaarheden verder zijn uit te buiten. Ook werd veelal verzuimd servers te patchen.
Is er een probleem dan?
Van Boven stelt vast dat veel organisaties de securitybulletins niet bijhouden. Zelfs de hack van SolarWinds, die wereldwijd nu al ruim drie weken het securitynieuws beheerst, is bij sommige gebruikers nog niet doorgedrongen. ‘Is er een probleem dan?’, krijgt Van Boven meermalen te horen.
Hij verklaart het uitblijven van beschermende maatregelen uit onbekendheid met de problemen. Achterliggende oorzaak is een te grote werkdruk op de ict-afdeling. ‘Je hoort steeds dezelfde excuses: time-to-market gaat voor cybersecurity, we hebben te weinig mensen en er valt bij ons niets te halen.’ Volgens Van Boven denken veel betrokkenen ten onrechte voldoende te hebben aan antivirussoftware en een firewall.
Verder constateert de SecureMe2-topman dat er een taboe rust op het melden van datalekken. Het SAM Cyber Alarm/Next-Gen IDS constateert wekelijks veertig à vijftig datalekken. Hooguit vijf daarvan worden bij de Autoriteit Persoonsgegevens (AP) gemeld, terwijl dit verplicht is als persoonsgegevens in het geding zijn. Van Boven: ‘Bij drie van de vijf meldingen blijft de werkelijke oorzaak onvermeld. Dan hoor je dat het lek is ontstaan door het rondslingeren van een usb en niet door een probleem bij het netwerk. De Autoriteit Persoonsgegevens wordt bij de neus genomen waar ze bij staat’, aldus Van Boven.
Impactanalyse
Van Bovens oproep om toch vooral te onderzoeken of bedrijven zijn geraakt door de hack van SolarWinds, krijgt steun van Ronald Pool, cybersecurity-specialist bij CrowdStrike. Ook hij laat zich in dergelijke bewoordingen uit. Een impactanalyse is het minste dat je kan doen, zo meent hij.
Anders dan Van Boven constateert Frederik Mennes juist dat veel bedrijven zich zorgen maken en voorzorgsmaatregelen nemen, zoals het patchen van het Orion-platform of deze software zelfs volledig verwijderen. Mennes, director of product security bij OneSpan, wijst er verder op dat in Nederland en België honderden bedrijven een kwetsbare versie van het Orion-platform gebruikten. Banken, ziekenhuizen en wellicht ook overheidsinstanties zijn potentieel in gevaar. Dat betekent niet noodzakelijkerwijs dat de aanvallers in hun systemen hebben rondgesnuffeld of erger nog, data hebben gemanipuleerd.
Jordi Scharloo, securityonderzoeker bij Bitdefender, heeft er ook vertrouwen in dat de getroffen organisaties een impactanalyse doen. Hij bevestigt dat vooral grotere bedrijven en instellingen de monitoringsoftware van SolarWinds gebruiken. ‘Veel it’ers zijn in hun vakantie opgeroepen om spoedmaatregelen te nemen.’ Ook wordt veel externe expertise ingeschakeld om eventuele schade en gelopen risico’s te bepalen.
Scharloo: ‘Van de Fortune-500 bedrijven zijn er naar schatting vierhonderd die mogelijk kwetsbaar waren. Velen van deze organisaties zijn in Nederland actief. Daarnaast zijn er veel Nederlandse organisaties getroffen, die via software- of dienstenleveranciers gebruik maken van het SolarWinds Orion-pakket.’
Ruud Kerssens, security expert Secura, wijst in dit verband op een ketenuitdaging met meerdere ‘geschakelde’ ict-serviceproviders. ‘Bij de uiteindelijke afnemer is niet altijd bekend welke partijen dit betreft.’ Hij raadt betrokken klanten aan hun provider daar vragen over te stellen.
Lepel van de kok
Ronald Pool (CrowdStrike) noemt de SolarWinds hack een typisch voorbeeld van een supplychain-aanval waarbij organisaties indirect via hun softwareleveranciers worden aangevallen. Mark Deiss, security-expert bij Newitera, legt uit: ‘Het is te moeilijk en ook te omzichtig om een target direct aan te vallen. Dit gebeurt dus via een bekende van het slachtoffer. De hacker past hierbij de software aan die het slachtoffer gebruikt. Of in alledaagse bewoordingen: als je iemand wilt aanvallen van wie bekend is dat deze bij een restaurant gaat eten, vergiftig je de lepel van de kok.’ Via SolarWinds konden in één klap zo’n 16.000 bedrijven worden aangevallen.
Scharloo: ‘Het pakket is populair omdat het voor de gehele it-infrastructuur is in te zetten en goed schaalbaar is. Je ziet daarom dat dit een interessante keuze is voor met name grotere organisaties. Er zijn verschillende dienstverleners actief in Nederland die Orion verkopen aan Nederlandse klanten. Exacte cijfers zijn er niet, maar de schatting is de honderden organisaties in ons land gebruikmaakten van een kwetsbare versie van Orion. Veelal zijn deze organisaties maandenlang kwetsbaar geweest.’
Volgens Scharloo zijn veel gebruikers zich een hoedje geschrokken. Aanvankelijk zag het ernaar uit dat alleen bedrijven die interessant zijn voor spionagedoeleinden, van de hack te duchten hadden. In de VS bestonden medio december weinig twijfels over de herkomst en motivatie van de hackers. De Russische geheime dienst SVR, die banden heeft met de hackersgroep Cozy Bear, zou achter de aanval zitten.
Hardnekkiger wordt het vermoeden dat er nog een tweede groep aanvallers actief is die andere doeleinden heeft dan spionage. Naast de Sunburst-kwetsbaarheid die via het update-mechanisme van SolarWinds Orion binnenkwam, is recent nog een tweede kwetsbaarheid ontdekt. Scharloo wijst op de SuperNova-malware die een zero day misbruikt en een Trojan installeert. De onderzoeker van Bitdefender spreekt van een geniepig stukje software die lastig valt te ontdekken. Het opduiken van een tweede groep aanvallers met onduidelijke motieven geeft extra onzekerheid.
Volgens Maikel Roolvink, manager security operations bij DTX, mag de gemiddelde Nederlandse ondernemer er terecht van uitgaan dat deze voor de eerste groep statelijke actoren niet interessant is. Dat geldt zeker voor bedrijven die niet actief zijn in de vitale sector. Maar voor de tweede groep aanvallers die duidelijk een ander gedrag vertonen en mogelijk in een later stadium met ransomware of andere techniek losgeld proberen te eisen, ligt dat anders.
Roolvink stelt dat je daarom als ondernemers niet achterover kunt leunen. Hij wijst op het gevaar dat andere groepen van het lek misbruik weten te maken. Nu de kwetsbaarheid in SolarWinds bekend is, kunnen ook cybercriminelen die alleen maar geld willen verdienen, bedrijven aanvallen. Roolvink: ‘Zorg daarom dat het bij jou beter voor elkaar is dan bij je digitale buren. Want deze cybercriminelen kiezen doorgaans voor de gemakkelijkste weg.’