Industrieconcern VDL Groep, met het hoofdkantoor in Eindhoven, is afgelopen nacht getroffen door een cyberaanval. Een groot deel van de bedrijfsvoering is geraakt. Bij VDL Nedcar in Born bijvoorbeeld is zo'n driekwart van de vierduizend werknemers thuisgebleven. In het West-Vlaamse Roeselare, waar VDL Bus elektrische bussen maakt, kan de productie blijven doorgaan.
Onder het concern vallen 105 bedrijven, ook in Azië en Amerika. VDL Groep zegt tegen de NOS dat alle bedrijven zijn geraakt, maar niet allemaal in dezelfde mate. Het is nog onbekend of het gaat om een ransomware-aanval, met gijzelsoftware.
Wel is duidelijk dat bij verschillende bedrijven niet of maar voor een deel kan worden geproduceerd. Bij VDL Nedcar, waar onder meer de BMW X1 en verschillende Mini-modellen worden geproduceerd, ligt het werk dus stil. Naast auto’s worden bij VDL onder meer bussen geproduceerd en halffabricaten ontwikkeld.
Bij VDL Groep werken wereldwijd meer dan 15.000 mensen. Het bedrijf had in 2020 een omzet van 4,7 miljard euro.
De niet-aflatende drang naar connectiviteit en digitalisering maakt het misschien niet verrassend dat aanvallers het gemunt hebben op een breder scala aan doelwitten dan ooit, waaronder energienetwerken, defensiesystemen en, zoals we hier zien, de productiesector. Speculaties over de vraag of het een gerichte aanval was of welke groep de aanval heeft uitgevoerd, zijn natuurlijk interessant vanuit het oogpunt van de media, maar voor beveiligingsteams is het van cruciaal belang zich niet te concentreren op de vraag wie de aanval heeft uitgevoerd, maar eerder op de vraag hoe de aanval is uitgevoerd; begrijpen hoe het aantal inbreuken en de impact ervan tot een minimum kunnen worden beperkt om de volgende keer beter voorbereid te zijn op het onvermijdelijke.
Want dat is het: succesvolle aanvallen zullen gebeuren. Het is een kwestie van hoe ernstig je ze laat zijn. De slimste aanpak is een ‘assume breached’-mentaliteit, waarbij kritieke gegevens en bedrijfsmiddelen worden geïdentificeerd en de verdediging wordt geconcentreerd op het bewaken en beschermen van het pad dat een aanval neemt om deze te bereiken, in plaats van te proberen alle aanvallen op elk deel van de infrastructuur te voorkomen. Dat is schier onmogelijk. In een ransomware-scenario zou dit maatregelen inhouden zoals het afdwingen van ‘least privilege’ binnen de infrastructuur; een aanpak die het vermogen van een aanval om zich te verspreiden vermindert door bijvoorbeeld laptops te vergrendelen zodat ze alleen toegang hebben tot wat nodig is.
Ik neem aan dat Bart pleit voor de features die hij verkoopt, ik verkoop pleisters en verband want genezen is soms makkelijker dan voorkomen. Een ‘least privilege’ klinkt goed maar welke beheerlast brengt dat met zich mee, is het vaccin misschien niet erger dan de kwaal?
De niet-aflatende drang naar connectiviteit en digitalisering maakt het inderdaad voor onuitgenodigde gasten wel eens te gemakkelijk. Als de totale keten van bestellingen door klanten tot aan de inkoop voor de productie, via systemen aan elkaar gekoppeld is, dan kan het goed misgaan. In de analoge tijd van telefonie zorgde men voor enige fysieke scheiding. Dit principe kan men in de digitale wereld ook gebruiken voor als het echt belangrijk is. Soms is een beetje onhandig moeten werken beter zijn dan op een gegeven moment geheel niet meer kunnen werken. Niet dat je op dit principe geheel op kan vertrouwen. Met de juiste kennis en aftappen is een inbreuk altijd mogelijk.
Het ‘least privilege’ is handig als het niet te fijnmazig wordt toegepast (of ‘zero trust’ afhankelijk van de risicoanalyse). Meestal moet je bij veel data ook het ‘need-to-know’ principe hanteren. Dezelfde principes en functiescheiding bij beheer is ook belangrijk; dat wordt wel eens vergeten. Dat kost veel extra ao- en technisch beheer. zoals Ewout aangeeft. Voorwaarde is een goede administratieve organisatie. En dat ontbreekt bij veel bedrijven en instellingen. En dan heb je ook nog eens te maken met de 1-10-60 minuten regel. Leuker kunnen we het niet maken. Maar als het misgaat, dan …….