Oekraïne sprak woensdag van de grootste hackaanval ooit tegen het land en vermoedt dat Rusland erachter zit. Met name het ministerie van Defensie en banken lagen digitaal onder vuur. Wat zijn de gevolgen van de hoogoplopende spanningen voor Nederland en België? Ronald Pool, cybersecurityspecialist bij CrowdStrike schetst de scenario's. Cybersecurity-expert Eddy Willems van G Data nuanceert.
Welke cyberaanvallen vinden plaats en hoe worden ze ingezet?
Pool: ‘We hebben meerdere ddos-aanvallen waargenomen op doelen in Oekraïne. Deze aanvallen zijn gericht op Oekraïense servers van overheden en financiële instellingen. De telemetrie ten tijde van de aanvallen laat een groot verkeersvolume zien. Het waargenomen verkeer is bijna drie keer meer dan het normaal waargenomen verkeer. Maar liefst 99 procent van het verkeer bestaat uit https-verzoeken: dit geeft aan dat de aanvallers Oekraïense servers probeerden te overmeesteren. We kunnen de aanvallen op dit moment niet toeschrijven één bepaalde partij.’
Eddy Willems brengt graag wat nuance aan over de herkomst van de aanval. Er wordt veel gezegd dat het gaat om hackers met banden met de Russische staat, maar dat weten we niet zeker. Ik vind dat securitybedrijven in het algemeen te snel die conclusie trekken. Er moet echt meer informatie beschikbaar zijn om te onderbouwen dat de aanvallen vanuit de Russische overheid komen.’ Willems wijst op een nieuw soort patriottisch activisme waarbij hackers aanhaken bij conflicten en aanvallen plegen zonder dat ze direct opdrachten krijgen vanuit de regering van een land. ‘Het kan dus ook gaan om ‘oorlogsachtig hacktivimse’ zonder dat daar een staat achter zit.’
Wat zijn de gevolgen voor Westerse landen?
Pool: ‘Op dit moment zijn er geen tekenen dat het Westen een doelwit is. Toch kan het Westen zeker neveneffecten van de aanvallen op Oekraïne ondervinden. Zo kunnen aanvallen invloed uitoefenen op organisaties die actief zijn in Oekraïne of zakendoen met Oekraïense organisaties. Ook organisaties met een supply-chainverbinding met Oekraïne kunnen effecten van ontwrichtende aanvallen ondervinden.’
Hij licht toe dat een handelspartner door ddos-aanvallen onbereikbaar kunnen zijn. ‘Maar ddos-aanvallen worden ook als afleiding ingezet. Dan vinden gelijktijdig met zo’n ddos-aanval ook veel gerichtere aanvallen plaats. Criminelen proberen om binnen te komen terwijl de securityteams hun aandacht op de ddos-aanvallen gevestigd hebben.’ Dat is een strategie die in het verleden vaker is gekozen. De impact van zo’n gerichte aanval kan enorm zijn als indringers toegang krijgen tot software, interne systemen, financiële transacties enzovoort, schetst Pool.
Willems, die geen namen kan noemen: ‘We krijgen berichten van bedrijven die last hebben van de aanvallen op bedrijven waar ze handel mee drijven in de Oekraïne en hun supplychains.’ Naast de genoemde aanvallen op overheden en financiële instellingen zijn er namelijk aanvallen bekend op bedrijven die bijvoorbeeld goederen leveren aan België en Nederland. Volgens Willems is de impact op de Lage Landen vooralsnog klein. Maar als het conflict en de aanvallen langer aanhouden voorziet hij wel problemen. Bijvoorbeeld door verstoring van de bedrijfsvoering en supplychains.
‘Dat heeft gevolgen voor de internationale handel met Oekraïne.’ Hij stelt dat de onrust op termijn zelfs gevolgen kan hebben voor de concurrentiepositie van bedrijven in dat gebied. ‘En daar is het de hackers ook om te doen.’ Als Oekraïense bedrijven een slechte reputatie krijgen door aanhoudende problemen met het nakomen van leveringen en afspraken gaan bedrijven in Nederland en België mogelijk nadenken over handel met bedrijven in andere landen. ‘De aanvallen zijn een manier om de economie en handelspositie van een land als geheel te beïnvloeden’, stelt hij. Willems: ‘Ik heb de indruk dat dit soort aanvallen worden ingezet om het hele land en de bedrijven die er gevestigd zijn in een kwaad daglicht te zetten. Bovendien hebben ze economische gevolgen.’
Hoe kun je voorkomen dat het conflict impact heeft?
Pool: ‘Mochten er aanvallen vanuit vertrouwde organisaties uit voortvloeien richting Nederlandse of Belgische bedrijven, dan is het belangrijk om ook dergelijke verkeersstromen en activiteiten te monitoren. Een zero-trust-architectuur is hier een mooi voorbeeld van, omdat je in principe geen enkele actie vertrouwt tenzij het een actie is van een geverifieerde gebruiker die binnen de normale activiteiten past. Mocht een gebruikersaccount bijvoorbeeld iets anders doen dan normaal of ineens inloggen vanaf een heel andere locatie of op een heel ander tijdstip, dan wil je op dat moment verifiëren dat die gebruiker ook daadwerkelijk die gebruiker is, via multifactor-authenticatie bijvoorbeeld.’
Veel systemen van bedrijven en organisaties zijn nog niet zo ingericht. Wie eenmaal binnenkomt als vertrouwde gebruiker, heeft erg veel mogelijkheden. Daardoor zijn die systemen en organisaties kwetsbaar voor een aanval via zo’n vertrouwd pad, stelt Pool.
Eddy Willems ietwat cynisch: ‘Ik denk dat vooral een stabiele situatie een einde aan het conflict en de cyberaanvallen moet brengen.’ Hij kan de zero-trust-gedachte van collega Pool goed volgen, maar waarschuwt dat dit slechts één element is in een brede aanpak. ‘Onze klanten vragen ook of we extra hulp kunnen bieden om hen te beschermen tegen de gevolgen van de cyberaanvallen in de Oekraïne.’ Hij ziet zero trust als een belangrijke stap, maar het ontbreekt volgens Willems aan een duidelijke definitie. ‘Iedereen heeft net een ander beeld bij dat begrip. Onderdelen van zero trust zoals netwerksegmentatie en multifactor-authenticatie zouden standaard in een moderne beveiligingsaanpak moeten zitten, vindt hij. ‘Het securitymodel van een bedrijf als burcht met een firewall eromheen wordt losgelaten. Wie zijn beveiliging op orde heeft, zorgt dat er meer handelingen nodig zijn om bij belangrijke data te komen. Ook door het vele thuiswerken en de gevaren die daarbij komen kijken, zijn de meeste bedrijven daar inmiddels wel van overtuigd’, stelt Willems vast.
Is het verstandig om vanuit die zero trust-gedachte al het internetverkeer uit een bepaald geografische gebied te weren?
Pool: ‘Zero trust draait niet per se om het afschermen van communicatie met gebieden, regio’ of landen. Je kunt uiteraard op basis van geo-ip bijvoorbeeld op je firewall alle communicatie vanaf een bepaald land tegengaan en daarmee je aanvalsoppervlak verkleinen. Maar deze aanvallen gaan vaak via andere landen, proxies, tor-netwerken, enzovoort. Dus het is geen waterdicht systeem.’
Hij vervolgt: ‘Dit nog los van het feit dat je als bedrijf wellicht juist wel zaken doet met bedrijven in een regio en daarmee dus niet zomaar die hele regio af kunt sluiten. Het is daarom juist zo van belang om ook in principe vertrouwd verkeer niet honderd procent te vertrouwen en wel te monitoren, vandaar het zero trust-model.’
Denkend vanuit de aanvaller zie ik weinig toegevoegde waarde in MFA als aanval om het ‘ vastpinnen’ van de verbinding gaat middels een DDoS-aanval. Hetzelfde geldt voor toegang via laten we zeggen een service account om via de tactiek van commando’s sabotage te plegen. En met sabotage bedoel ik een opzettelijke actie tot belemmering, verstoring en/of vernietiging om zodoende chaos in de orde te brengen welke tot een strategische schade leidt die een vijand belemmert. Eerste les in het spel is namelijk dat er geen spelregels zijn en wat betreft de asymmetrische oorlogsvoering van digitale guerrilla is de omtrekkende beweging van een gekaapt IP zoiets als de manipulatie van een poll bij Computable, onderling wantrouwen is wat dat betreft al een vorm van sabotage en hoe makkelijk zet je dit spel op de wagen?