Terwijl de wereld toekijkt naar de ontwikkelingen in Oekraïne, slapen cybersecurityprofessionals met één oog open. Want vanaf het moment dat Rusland troepen verzamelde aan de Oekraïense grens, intensiveerden de Russische cyberaanvallen op het land.
Zo vond er medio januari een defacement plaats van Oekraïense overheidswebsites, in combinatie met een wisseraanval die de securityindustrie later Whispergate heeft genoemd. En halverwege februari werden Oekraïense bank- en overheidswebsites het doelwit van een grootschalige ddos-aanval van de Russische militaire inlichtingendienst.
Kortom, sinds het begin van de oorlog zijn talloze incidenten vastgesteld, waardoor organisaties zich moeten voorbereiden op de mogelijkheid van Russische aanvallen op andere landen, zoals Nederland. Hoe bereid je je hier – zo goed en zo kwaad als dat kan – op voor?
Niet nieuw
De Russische cyberdreiging is niet nieuw. Rusland heeft een lange geschiedenis van cyberoperaties tegen Oekraïne. Deze begonnen in navolging van de Euromaidan-protesten eind 2013. De cyberantagonist Voodoo Bear, oftewel Unit 74455 van de Russische militaire inlichtingenoperatie, was een belangrijke aanjager van deze aanvallen. Met als doel om het vertrouwen van Oekraïners in de overheid en industriesectoren te verminderen. Uiteindelijk was Voodoo Bear verantwoordelijk voor verstoringen in de kritische infrastructuur van Oekraïne, die zowel in december 2015 als 2016 voor stroomuitval zorgden. Activiteiten van de groep zorgden bovendien voor grote internationale bezorgdheid toen een op Oekraïne gerichte supplychainaanval resulteerde in de verspreiding van NotPetya–malware. NotPetya veroorzaakte naar schatting tien miljard dollar aan schade en had gevolgen voor bedrijven en openbare diensten over de hele wereld.
E-crime-groepen
Ook bij de huidige oorlog is het criminele ecosysteem van cyberdreigingen betrokken. Direct na de Russische invasie begonnen e-crime-groepen, die normaal gezien focussen op financieel gewin, op de oorlog te reageren. Sommigen leken de Russische staatsbelangen direct te ondersteunen, zoals Wizard Spider, een tegenstander die in 2016 opdook met hun Trickbot-malware en meer recentelijk in verband is gebracht met ransomewareoperaties. De groep kondigde zijn volledige steun aan voor de Russische regering met de bereidheid om wraak te nemen op vijanden.
Vier punten
Het mag duidelijk zijn dat de oorlog in Oekraïne niet alleen fysiek plaatsvindt en dat de cyberaanvallen zich niet uitsluitend beperken tot Oekraïne. Zelfs met voldoende bewustzijn, nieuwe middelen en ondersteuning moet je continu op zoek blijven naar de best practices voor cybersecurity. Dit is een ‘last mile-probleem’ dat niet alleen door beleidsinitiatieven is op te lossen. Daarom doe je er als cybersecurityprofessional goed aan om in jouw organisatie in ieder geval te zorgen voor de volgende vier punten:
- Bouw relaties op met wetshandhavings- of binnenlands veiligheidspersoneel die kunnen helpen in het geval er een incident plaatsvindt. Denk bijvoorbeeld aan een samenwerking met het Nationaal Cyber Security Centrum (NCSC) door je aan te sluiten bij het Landelijk Dekkend Stelsel (LDS);
- Investeer in kennis en gespecialiseerde medewerkers op het gebied van cybersecurity. Zorg dat er een plan klaarligt voor incidentenrespons. Heb je deze kennis niet in huis? Werk dan samen met gekwalificeerde incidentresponsleveranciers;
- Zorg ervoor dat je de basismaatregelen die het NCSC heeft opgesteld om weerbaar te zijn tegen cyberaanvallen hebt doorgevoerd. Dit omvat het gebruik van moderne IT-beveiligingstools en -concepten zoals multifactorauthenticatie en Endpoint Detection and Response (EDR), voldoende logging van informatie vanuit applicaties en systemen, het segmenteren van netwerken, opslagmedia met gevoelige bedrijfsinformatie versleutelen, regelmatig backups maken en proactief zoeken naar bedreigingen binnen je netwerken;
- Maak waar mogelijk en van toepassing gebruik van gespecialiseerde tools en mogelijkheden die nodig zijn voor operational technology (ot)-beveiliging.
Alert blijven
Buiten Oekraïne was de Russische cyberactiviteit tot nu toe bescheiden in vergelijking met wat we aanvankelijk voorzagen. Dit kan echter op elk moment veranderen. Er zijn aanwijzingen dat Rusland agressiever zou kunnen worden als vergelding voor de buitenlandse steun aan Oekraïne en de sancties tegen Rusland. Als operator moet je dus alert blijven en op ieder moment voorbereid zijn op een aanval die jou deze keer treft.
(Auteur Adam Meyers is svp intelligence bij CrowdStrike.)
De bewering dat genoemde aanvallen uit rusland komen trek ik in twijfel.
In het artikel vindt ik alleeen beweringen maar geen bewijzen, dat is namelijk nauwelijks mogelijk.
Daarbij komt dat: CrowdStrike Holdings, Inc. is an American cybersecurity technology company.
De vraag is of we hier van informatie of van propaganda spreken.
Volgens mij is het altijd nog zo dat de verdachtige onschuldig is totdat het tegendeel bewezen is, althans in een rechtsstaat.
Dus, vertrouw weinig, kontroleer alles en denk zelf.
“Met als doel om het vertrouwen van Oekraïners in de overheid en industriesectoren te verminderen.” Denk dat dit niet veel moeite kostte omdat er al een diep wantrouwen was doordat de overheid corrupt is en veel industriesectoren in handen van de oligarchen. Russische invloed lijkt me in ruime mate overschat zoals dat ook geldt voor Nederland waar het vertrouwen in de overheid en bepaalde industriesectoren ook verdwenen is door een gevoerd beleid.
Iets wat al wankelt heeft maar een klein zetje nodig om te vallen zoals bepaalde krachten in Washington weten. En provocatie is al ruim 30 jaar een beproefde strategie om zo toegang tot gewilde resources als olie te verkrijgen. De voortzetting van een beleid met andere middelen is economische niet nadelig is voor het Amerikaanse militair-industrieel complex. Wat betreft de provocatie denk ik dat Adam Meyers de spijker op de kop slaat door te stellen dat de kans op vergelding groeit naar mate we de beer blijven pesten.