De helft van de bedrijven in Nederland is jaarlijks te wordt ongeveer getroffen door ransomware. De golf aanvallen met gijzelsoftware is het puntje van een ijsberg, aangezien de meeste organisaties het zoveel mogelijk stil houden wanneer ze hiermee te maken krijgen. Vaak uit schaamte of angst voor reputatieschade. Dat moet anders. We kunnen daarin een voorbeeld nemen aan de luchtvaartindustrie.
Sinds ruim een decennium zijn er in de Verenigde Staten weinig tot geen dodelijke vliegtuigongelukken meer gebeurd. Had je dat midden jaren negentig aan een luchtvaartexpert voorspeld, dan had die je recht in je gezicht uitgelachen. Het was de tijd dat de luchtvaart in de VS werd geplaagd door veelvuldige vliegtuigongelukken waarbij talloze passagiers de dood vonden. Een controversieel idee was uiteindelijk het keerpunt naar een veiliger luchtvaart. Dat idee? Een meldingssysteem waarin iedere betrokkene vrijwillig en straffeloos incidenten kon rapporteren. Sterker, ‘klokkenluiders’ kregen een schouderklopje wanneer ze fouten onthulden. Wanneer het management die fouten vond en de betrokken werknemer had dit niet gemeld, dan liep hij of zij het risico de baan te verliezen. Wij kunnen op het vlak van ransomware veel leren van een dergelijk systeem.
Vertrouwelijke meldingen
Destijds zeiden experts dat ongelukken eigenlijk nooit helemaal te voorkomen zouden zijn. Dat roepen we nu als securitybranche ook. Je kunt je nog zo goed beschermen als organisatie, maar honderd procent veilig ben je nooit. Waarom niet leren van industrieën die al veel verder zijn? De aanpak in de Amerikaanse luchtvaartindustrie was in basis eenvoudig, maar buitengewoon moeilijk uit te voeren, omdat er een ongekend niveau van vertrouwen tussen de deelnemers nodig was. Alle betrokkenen, van vertegenwoordigers van luchtvaartmaatschappijen en piloten tot grondpersoneel en onderhoudsmonteurs kwamen, in eerste instantie met lichte tegenzin, overeen om informatie met elkaar en met de regering te delen over mogelijke gevaren en bijna-ongelukken. Die samenwerking was afhankelijk van de toezegging dat te goeder trouw gemaakte fouten en overtredingen van de procedures niet zouden worden bestraft. Iedere dode is er één te veel en de luchtvaartsector in de VS is zich ervan bewust dat er altijd werk te doen blijft. Het vertrouwen van het publiek komt immers te voet en gaat te paard. Daaruit blijkt dat wij op het gebied van cybersecurity een stuk ambitieuzer mogen zijn dan nu.
Vrijwillige rapportage
De kans op een vliegtuigongeluk is afgenomen van een op twee miljoen naar een op 120 miljoen, volgens een recent artikel in The Wall Street Journal. Dat komt doordat de technologie verbeterd is, er veel geautomatiseerd is in de cockpit, personeel steeds beter wordt getraind en de veiligheidsprocedures worden geoptimaliseerd. In landen buiten de VS nam de afgelopen jaren het aantal nieuwe-generatievliegtuigen ook toe, maar daar werd die vrijwillige rapportage niet omarmd. Opvallend is dan ook dat, hoewel de veiligheidscijfers in andere landen wel zijn verbeterd, die bij lange na niet zo goed zijn als in de VS. Dat meldingssysteem is de succesfactor. Overheidsinstanties kunnen door dat systeem samen met industrie-experts tienduizenden rapporten per jaar analyseren. Uiteindelijk worden deze analyses omgezet in veiligheidsverbeteringen gebaseerd op data en vrijwillig toegepast door de industrie. Juist dat vrijwillige karakter, en niet de overheid die regels en richtlijnen oplegt, is een interessant gegeven. Sommige verbeteringen waren simpel, bijvoorbeeld door crew-leden fysiek meters en instrumenten te laten aanwijzen, waarbij hardop de informatie werd uitgelezen om zeker te zijn dat de juiste informatie was ingevoerd. Dit soort laaghangend fruit ligt ook binnen de cybersecurityindustrie voor het oprapen.
Een ander groot voordeel van een vrijwillige meldingssysteem op basis van incidenten is dat het continu in ontwikkeling is. Ik heb altijd wat moeite met de term ‘best practices’. De ontwikkelingen in onze cyberwereld gaan zo hard, dat we beter kunnen spreken van ‘better practices’. Het is onze taak als industrie om continu te analyseren wat betere maatregelen zijn, waar verbeteringen en oplossingen mogelijk zijn en continu te blijven leren van wat er gebeurt in de echte wereld.
Morele plicht
Ik pleit dan ook voor vergelijkbare openheid op het gebied van ransomware-aanvallen en andere impactvolle cyberincidenten. Vooral gemeenten geven nu openheid van zaken, en eerder zagen we de Universiteit van Maastricht hetzelfde doen. Maar commerciële bedrijven zijn huiverig om toe te geven dat ze slachtoffer zijn geworden van ransomware. Daarmee houden ze de weg naar bescherming voor anderen gesloten. Organisaties, publiek én privaat, hebben de morele verplichting om incidenten te melden. Minimaal anoniem. En daarbij moeten we proberen om te komen tot een systeem waarbij betrokkenen uit intrinsieke motivatie misstanden of bedreigingen kunnen melden, omdat ze op die manier kunnen en willen bijdragen aan een veiliger digitaal Nederland.
Ik wil benadrukken dat we daarbij toe moeten naar een situatie waarbij álle betrokken partijen gaan melden. Niet alleen het slachtoffer zelf, maar ook het cybersecuritybedrijf dat het heeft opgelost, de it-partner, het management en de it-afdeling. Hoe meer holistisch dit aangepakt wordt, des te beter het beeld dat ontstaat.
Nadenken over model
De implicaties van een vliegtuigongeluk zijn wat dodelijke slachtoffers betreft, vele malen groter dan een ransomware-aanval. Toch viel vorig jaar het eerste dodelijke slachtoffer door cybercrime, in een Duits ziekenhuis, en zien verschillende ziekenhuizen in Ierland zich momenteel genoodzaakt om behandelingen van patiënten te annuleren door een ransomware-aanval. Een aantal weken geleden werden de Ierse ziekenhuizen gedwongen veel van hun computers uit te schakelen nadat hackers toegang hadden gekregen tot de systemen, de patiëntengegevens hadden gecodeerd zodat ze ontoegankelijk waren en betaling eisten om de bestanden te ontsluiten. Voor sommige ziekenhuizen was dit zo verlammend dat zij consulten van kankerpatiënten moesten annuleren en te maken hebben met ontregelde radiologie- en diagnosesystemen.
Cybercrime dringt steeds verder en dieper in onze samenleving door. Het is een kwestie van tijd tot het daadwerkelijk op grotere schaal levens gaat kosten. We moeten nú kijken naar een manier of model om vrijwillige meldingen mogelijk te maken, zodat andere organisaties daarmee geholpen zijn. Hoe dat model in elkaar zou moeten zitten, dat weet ik op dit moment ook niet, maar we moeten daar als branche, als bedrijfsleven, als Néderland over nadenken met elkaar.
Ik roep iedereen die met een mening hierover op om die te delen zodat we met elkaar in gesprek kunnen en kunnen werken aan zo’n vrijwillig meldingssysteem voor cyberincidenten.
Auteur: Dave Maasland, directeur Eset Nederland
(Citaat uit het artikel:) “De kans op een vliegtuigongeluk is afgenomen van een op twee miljoen naar een op 120 miljoen, volgens een recent artikel in The Wall Street Journal. Dat komt doordat de technologie verbeterd is, er veel geautomatiseerd is in de cockpit, personeel steeds beter wordt getraind en de veiligheidsprocedures worden geoptimaliseerd.” (einde citaat)
Ook hier dus: “Mens, Proces en Techniek”. De drie belangrijke onderwerpen waar je maatregelen op moet nemen als je risico’s wilt verlagen. Alledrie even belangrijk. En dit sluit aan op mijn mening over de stelling over het melden van incidenten: Ik ben het er wel mee eens, maar dan zou ik ook graag zien dat er gekeken wordt naar wat de getroffen bedrijven vóórdat het cyber-incident plaatsvond daadwerkelijk hadden gedaan om die incidenten te voorkomen. Welke maatregelen hadden ze genomen? Hadden ze inzicht in hun risico’s? “Mens, Proces, Techniek”? Anders kijken we straks met z’n allen naar een rapport waaruit blijkt dat XX% van de Nederlandse bedrijven is getroffen door cybercriminaliteit en gaan al die getroffen bedrijven in de slachtoffer-rol zitten, ook als ze hun zaakjes gewoon niet voor elkaar hadden. We weten allemaal dat er genoeg bedrijven zijn met “security-maatregelen” die vér onder de maat zijn. Groet, Rob Koch
@Dave, in de eerste zin: “is jaarlijks te wordt ongeveer getroffen”. Wat betekent dit?
Helaas moet ik toch ook inhoudelijk een correctie maken. “Sinds ruim een decennium zijn er in de Verenigde Staten weinig tot geen dodelijke vliegtuigongelukken meer gebeurd.”. Dit is niet correct. In de laatste 10 jaar zijn er in de USA meerdere ongelukken geweest met dodelijke afloop. In 2013 op San Francisco Asiana Flight 214, 3 doden (ook te zien in Aircrash Investigation). In Connecticut, ook 2013, een Commander 690B met 4 doden. In 2017 in Mississippi, 16 doden. Toegeven, gezien de hoeveelheid vluchten in Amerika is het aantal ongelukken zeer laag (zo snel gezien 6 ongelukken met dodelijke afloop in 10 jaar) maar het kan nog steeds gebeuren.
Inderdaad is de wijze van onderzoek en meldingen een belangrijke stap geweest in de verbetering van de veiligheid. Ook jammer dat niet ieder land het op dezelfde wijze doet. Bijvoorbeeld in Italie heeft justitie altijd voorrang in het onderzoek naar de oorzaak. Waardoor betrokkenen dus altijd zich moeten indekken voor eventuele juridische gevolgen. Soms wordt een betrokkene zelfs veroordeeld voordat de oorzaak bekend is. Ook in Frankrijk is justitie vaak onderdeel in het onderzoek. Dit is voor de onderzoeksraad frustrerend omdat ze niet in vrijheid de betrokkenen (piloten, verkeersleiders etc) kunnen ondervragen. Het is dan eigenlijk verbazingwekkend dat juist in “claimland” Amerika, waar je op zo ongeveer elke scheet afgerekend kan worden, ze het voor elkaar hebben gekregen om een dergelijk systeem op te zetten.
Ik denk dat het in IT een stuk lastiger is om soortgelijke processen in te regelen. Enerzijds vanwege de impact, een vliegtuig crash is vaak dodelijk, een PC crash of cyber aanval is vooral vervelend. Al wordt de impact tegenwoordig wel veel groter. Anderszijds door de omgeving als zodanig. “Iedereen” weet precies wat een computer kan doen, we zijn “allemaal” specialisten. En voor functionaliteiten zijn we vaak ongeduldig, het moet vooral gisteren beschikbaar zijn.
Een update op een vliegtuig is al vervelend maar dat wordt vaak nog wel geaccepteerd ivm veiligheid. Een update op IT wordt nog te vaak uitgesteld. Of andersom, een update of nieuwe functionaliteit moet zo snel mogelijk worden ingevoerd, soms zonder de juiste testen. En dat laatste zien we nu ook soms terugkomen in de vliegtuigindustrie. Zie de Boeing 737 MAX.
Laten we wel wezen, wie kent het begrip “Testen in Productie”? Functioneel zal een test nog wel zijn gedaan, maar testen op fouten, laat staan testen op security, is al een stuk minder. Al was het maar omdat dat de oplevertijd kan vertragen.