Het zijn bijzonder productieve tijden voor ransomware in Nederland. Dit soort aanvallen zijn niet nieuw, die bestaan al jaren. Maar omdat steeds meer (soorten) organisaties zich aangevallen zien, zijn de gevolgen hiervan meer zichtbaar en voelbaar voor de maatschappij. Het is tijd om het tij te keren.
De schade die ransomware veroorzaakt is enorm en groeiend. De schattingen lopen uiteen van miljoenen tot miljarden, alleen al in Nederland. Kosten voor losgeld, imagoschade, productieverlies, inhuren van externe consultants, enzovoorts. De kosten zijn mede zo hoog omdat ransomware niet alleen is gericht op grote bedrijven, maar ook kleinere organisaties worden aan de lopende band getroffen. Bijna de helft van het mkb in Nederland geeft in recent onderzoek van het CSBN (Cybersecurity Beeld Nederland) aan ermee te maken te hebben gehad.
Nederland is een land waar, naast geld, ook veel kennis en waardevolle informatie te halen is. Denk aan de tech-campussen in Eindhoven en bij veel technische universiteiten. Dit maakt het nog belangrijker om het onderwerp hoog op de agenda te krijgen bij de juiste mensen. Het is namelijk belangrijk dat we ons zoveel mogelijk kunnen richten op positieve zaken, zoals het herstellen van de economie na de crisis.
De intentie van organisaties en van de overheid om meer te investeren in cybersecurity dit jaar is een flinke stap in de goede richting, als je het mij vraagt. Maar er is meer nodig om de strijd tegen ransomware echt te kunnen voeren. Het bedrag van 700.000 euro dat het NCSC (Nationaal Cyber Security Centrum) er dit jaar bij krijgt lijkt aardig wat, maar is uiteindelijk lang niet genoeg. Daarom is het goed om ook te kijken naar wat er anders moet om bedrijven minder kwetsbaar te maken voor een cyberaanval.
Een van de antwoorden op die vraag ligt bij de overheid. Ransomware is ook de politieke arena betreden en wordt door een groeiend aantal politici als prioriteit gezien. Ze kijken daarbij naar de manier waarop bedrijven nu wereldwijd rapporteren over cybercrime. Dat is gefragmenteerd en niet overal verplicht. Dat moet veranderen. Het verplicht rapporteren helpt bij het analyseren van en de strijd tegen cyberaanvallen. Maar veel organisaties staan hier niet per se om te springen en verwachten dat het rapporteren meer problemen oplevert dan dat het oplost. Hier een aantal redenen waarom rapporteren wel degelijk van belang is.
Kennisdeling
Het is een publiek geheim dat veel organisaties niet zo happig zijn om te delen dat ze slachtoffer zijn geworden van een ransomware-aanval. Dit is niet alleen zo in de VS, maar wereldwijd zien we dat minder dan de helft (43 procent) van de cybersecurity-leiders intern een melding maakt nadat ze zijn getroffen. Of dat nu komt omdat ze hun merk willen beschermen of dat ze de geldende regelgeving willen ontwijken, het nalaten van het rapporteren hiervan dwarsboomt anti-ransomware-inspanningen en draagt bij aan een scheef begrip over de frequentie, intensiteit en verfijning van dit soort cyberaanvallen.
Wanneer er verplicht gerapporteerd moet worden, komt ransomware nog meer top of mind te liggen, waardoor organisaties nog beter begrijpen dat dit een serieus probleem is dat niet alleen het bedrijf zelf, maar de gehele samenleving raakt. Het gevoel van urgentie zal omhoog gaan wanneer rapporteren over ransomware dezelfde prioriteit krijgt als financiële verslaglegging.
Maar het allerbelangrijkste is dat verplicht rapporteren een dialoog start over hoe het beste actie ondernomen kan worden. Zonder goede rapportage zijn we niet goed in staat om met betere manieren om onszelf tegen ransomware te beschermen op de proppen te komen, en om onszelf in een positie te manoeuvreren om te kunnen anticiperen op wat hierna komen gaat. Je kunt immers niet iets beschermen zonder dat je alle benodigde informatie daarvoor beschikbaar hebt. Organisaties moeten daarom transparantie boven reputatie gaan zetten omdat de ultieme oplossing voor ransomware het collectief delen van kennis en informatie is, waardoor wereldwijd de juiste beschermende maatregelen genomen kunnen worden.
We moeten ransomware niet beschouwen als een soort verlammende dreiging, maar iets waar we actief mee aan de slag kunnen. Bewustzijn is hierbij even belangrijk als actie.
Sterker front
Verplichte rapportageschema’s voor ransomware vergroten niet alleen de voordelen van het delen van informatie rond ransomware-aanvallen: wat er is gebeurd, wat er kapot is gegaan, hoe de dreiging is gemitigeerd en wat er daarna is veranderd – maar helpt ook om het volledige potentieel van overheidsinstanties en adviescommissies te benutten.
In Australië bijvoorbeeld werd vorig jaar de Cyber Security Strategy Industry Advisory Committee opgericht om de implementatie van de nationale cyberbeveiligingsstrategie te begeleiden. In Zuidoost-Azië adviseert het Cyber Security Advisory Panel van de Monetary Authority of Singapore (MAS) over strategieën om de cyberweerbaarheid te vergroten en het vertrouwen in het financiële systeem van het land te behouden. En in Zuid-Korea kwam de National Intelligence Service, de belangrijkste inlichtingendienst van het land, met de ontdekking dat bedrijven en openbare instellingen zijn aangevallen door hun buurland.
Door een ransomware-aanval te melden, worden gegevens en inzichten toegevoegd aan dergelijke adviezen, waardoor kritieke informatie wordt verstrekt over beveiligingsproblemen, kwetsbaarheden en actieve cybercriminaliteit. Deze informatie is belangrijk voor de optimale bescherming waar deze adviezen op ingaan. Deze staan bijvoorbeeld aan de basis van openbaar beschikbare alerts die worden verspreid om te waarschuwen tegen aanvallen. Het stelt autoriteiten ook in staat om informatie te verzamelen over het losgeld van de crypto wallets waarmee vaak wordt betaald, informatie over de infrastructuur die door criminele groepen wordt gebruikt om bedrijven op de korrel te nemen, evenals de verschillende manieren waarop ze in netwerken binnenkomen.
Het verstrekken van waardevolle informatie over bedreigingen en bruikbare inzichten over ransomware-actoren zorgt voor een sterkere frontlinie en verdediging. Organisaties die de echte impact van ransomware verbergen, belemmeren de collectieve inspanningen op nationaal en regionaal niveau die er juist voor moeten zorgen dat bedrijven veilig zijn. En ze staan aan de basis van het algehele succes van een land bij het bestrijden van ransomware-aanvallen.
Er zijn goede redenen om verplichte ransomware-rapportage te implementeren om organisaties eerlijk te laten communiceren over hun inspanningen om aanvallen van cybercriminelen in Nederland (en daarbuiten!) te mitigeren. Het wordt dus tijd dat regeringen de urgentie hiervan inzien en daar serieus mee aan de slag gaan.
(Deze bijdrage kwam tot stand in samenwerking met Rick Vanover, senior director product strategy bij Veeam.)
Ik vind het altijd bezwaarlijk om buitenlandse voorbeelden te nemen door de soms aanzienlijke verschillen in wetgeving, Australië behoord tenslotte tot de ingewijden en wat betreft de verplichtingen ben ik dus huiverig voor een lobby. Natuurlijk is het wel goed om informatie te delen maar ook hier is enige terughoudendheid verstandig als het om de opsporing en vervolging gaat. Uiteraard geldt dat ook aangaande de impact want als statelijke actoren achter een aanval zitten dan neem ik aan dat de inlichtingsdiensten van beiden kanten er bovenop zitten. In het schaakspelletje van cyberwarfare is ransomware een strategische pion als daarmee (strategische) diensten tijdelijk uitgeschakeld of verstoord kunnen worden. Wat betreft kwetsbaarheid van onze strategische infrastructuur ben ik dan ook nog niet zo zeker over ons onvolprezen NCSC, ik voorzie bijvoorbeeld nog wat bestuurlijke ketenproblematiek als we kijken naar koppelingen in Europees verband maar hopelijk ben ik abuis.
Een verplichte ransomware-rapportage lijkt me een goede zaak. Voor niet-ransomware hacks geldt m.i. hetzelfde. De autoriteiten en hun partners krijgen dan meer inzicht in de actuele situatie. De rapportage hoeft niet publiekelijk, maar je moet als slachtoffer rekening houden dat de daders geslaagde ransomware hacks sowieso laten uitlekken om je verder onder druk te zetten. Een bedrijf of instelling die onderdeel is van een keten, kan bij de ketenpartners een hack niet echt geheim houden.
Aangezien de meeste ransomware hacks vanuit het buitenland komen, of van daaruit gefaciliteerd worden, is internationale samenwerking cruciaal. Van belang is dat er een wettelijke basis is voor normale juridische of buitengerechtelijke (tegen)maatregelen ongeacht of het om ransomware hacks van gewone criminelen gaat dan wel van criminelen die als statelijke actor werken (de kapers van het internet die voor en samen met overheden werken). De wetgeving van partners moeten vanwege de effectiviteit op elkaar aansluiten, al dan niet via verdragen, van informatie-uitwisseling tot en met bestraffing/sancties.
Ha jaap, als daar dan zo meteen mee klaar bent, los je dan ook nog ff de coronacrisis op ? en dan volgende week iets voor dat gedoe met de vluchtelingen.