De eerste editie van Cybersec Nederland in de Utrechtse Jaarbeurs stond in het teken van de actualiteit. Hackersaanvallen en gijzelsoftware zijn dagelijkse kost. De strijdende partijen in Oekraïne en het Israëlisch-Palestijns conflict zetten op omvangrijke schaal het cyberwapen in. Fort Europa zet zich schrap; de EU verordonneert de lidstaten hun cyberspace voor oktober 2024 te beveiligen conform de NIS2-richtlijnen. Die urgentie was te voelen op de beursvloer en bij de presentaties op het hoofdpodium en in de diverse theaters.
Voor de aanwezigen bij de Mainstage-sessies in de ochtenduren van de eerste dag werd duidelijk dat alle strategieën, tactieken en instrumenten, ingezet op het cyberstrijdtoneel, straks terugkomen in onze ’veilige’ samenleving. De angst voor cognitieve oorlogsvoering zit er goed in. Hoe gemakkelijk laat een maatschappij zich ontregelen wanneer iemand in staat is om geraffineerd het brein van de burgers op grote schaal te beïnvloeden? Gegeven het feit dat mobiele telefoons worden gezien als het verlengstuk van de menselijke geest, is het een beangstigend vooruitzicht wanneer partijen in staat zijn om langs die weg toegang te krijgen tot de individuele mens. Gelijktijdig met het aftappen van diens chats, e-mailverkeer, foto’s en persoonlijke gegevens voorzien ze hem of haar van gekleurde berichtgeving. Verspreiding van desinformatie staat in de geschiedenis van de mensheid aan de basis van zinloos oproer en totale chaos.
Geavanceerd
Don Eijndhoven is wetenschapper, ondernemer en voorzitter van de Dutch Cyber Warfare Community. Eijndoven deelde tijdens Cybersec de bevindingen van een wetenschappelijk onderzoek naar de inzet van het cyberwapen in het Rusland-Oekraïne-conflict. Rusland stond al langer te boek als geavanceerd op het vlak van de digitale oorlogsvoering. Alle reden voor beveiligingsexperts om de militaire strategie van het land in samenhang met de effectiviteit van het digitale instrumentarium onder de loep te nemen. In zijn onderzoek komt Eijndhoven tot een aantal opmerkelijke conclusies.
Rusland heeft de capaciteit van Oekraïne op cybergebied onderschat. De cybertroepen van Rusland hebben waarschijnlijk hun kruit verschoten; ze lanceerden bijna hun hele arsenaal in de eerste fasen van de oorlog. De Russische operationele teams zijn waarschijnlijk uitgeput door het aanhoudende hoge tempo. Er is weinig bewijs van coördinatie of aansturing van doelgerichte cybertaken. Neemt niet weg dat de teleurstellende resultaten op het fysieke slagveld voornamelijk te wijten zijn aan de slechte coördinatie en bedrijfsvoering binnen de legerleiding plus de wijdverbreide corruptie. Aan de competentie van de Russische cyberspecialisten twijfelt Eijndhoven zeker niet. Volgens hem behoren ze nog steeds tot de beste ter wereld.
Reactiesnelheid
Aan de Oekraïense kant constateert het onderzoek een briljante strategie, zowel militair als geopolitiek. De effectiviteit van hun reactie en vooral hun reactiesnelheid wordt mede toegeschreven aan hun voorbereiding. Al in 2012, na het Russische ingrijpen in Georgië, zijn ze gaan nadenken over verdedigingsmaatregelen, terwijl ook na de annexatie van de Krim en de vijandigheden in de Donbas-regio de defensieve inspanningen zijn geïntensiveerd.
Hun benadering van partnerschappen en allianties in de fysieke wereld weerspiegelt zich in hun digitale aanpak. Ondanks de uitschakeling van de belangrijke communicatie-infrastructuur (uitschakeling satellietmodems via Viasat-hack) en de hack op een belangrijke energiecentrale bleken ze in staat de vitale infrastructuur in stand te houden. Met steun van de eigen gemeenschap van beveiligingsspecialisten en specialisten van bevriende naties, activistische hackersgroepen en zelfs criminele hackers etaleerde Oekraïne zijn cyberweerbaarheid.
En daarbovenop kwam de steun van de Big Tech-ondernemingen. Het land vecht voor zijn overleving. Het opbouwen van een hechte cybergemeenschap en het consequent nemen van beveiligingsmaatregelen leidt naar voorwaartse koers. De maatregelen blijken te werken, want ondanks de vele oorlogsverschrikkingen functioneert de samenleving nog steeds.
Privacy
Voorafgaand aan het betoog van Eijndhoven hield Brenno de Winter, bekend ex-onderzoeksjournalist digitale beveiliging en privacy en tegenwoordig adviseur, een pleidooi over het nut van de NIS2-richtlijn van de Europese Unie, te weten de digitale kracht en de cyberweerbaarheid van de lidstaten vergroten. Het meeste werk, zo stelt hij ter geruststelling van een volle zaal met ciso’s en andere beveiligingsprofessionals, ligt bij onze overheid.
Die moeten rondetafelgesprekken organiseren over cybersecurity, de nationale samenwerking tussen experts organiseren, internationaal overleggen met andere landen en daarover rapporteren, verslagen maken van de aanpak bij gelijksoortige bedrijven en de rapportage van incidenten faciliteren. Dat is veel werk, waarvan de kosten niet voor rekening komen van het bedrijfsleven, maar van de gezamenlijke belastingbetalers.
De EU-richtlijn geldt alleen voor de als belangrijk gekwalificeerde bedrijven die meer dan tien miljoen euro omzet draaien met meer dan vijftig werknemers. Voor als essentieel aangemerkte bedrijven geld een omzetgrens vanaf vijftig miljoen euro en een minimumaantal personeelsleden vanaf 250. Overigens moeten die richtlijnen binnen de diverse EU-lidstaten nog worden omgezet naar nationale wetgeving.
Verstandig
Het kan dus ook zo zijn dat je als bedrijf niks behoeft te doen. Het is maar de vraag of dat verstandig is. Want anders dan bij agile it-projecten hanteren aanvallers binnen cyberspace geen beperking in reikwijdte en hanteren ze ook geen aanpak volgens het tijdslotprincipe. Dus adviseert De Winter elke bedrijf ongeacht de omvang om niet langer na te denken over het nemen van cyberbeveiligingsmaatregelen, maar aan de slag te gaan.
En dan liggen er nogal wat taken, zoals het vaststellen van beleid op basis van risicoanalyses in samenhang met de beveiliging van informatiesystemen: hoe incidenten af te handelen; op welke manier het bedrijf gaande te houden na een hack met behulp van back-ups; het herstellen van de schade en het beheren van een crisis; beleid om de effectiviteit van alle procedures en maatregelen te meten. Niemand kan meer zeggen dat acceptatie en implementatie van de richtlijnen een vorm van schijnveiligheid is.
In Oekraïne bewijzen ze zich. En daar hebben ze misschien het wiel wel moeten uitvinden, terwijl dat volgens De Winter hier zeker niet het geval is. Er zijn normen opgesteld zoals ISO2700X, NEN7510 en BIO voor uiteenlopende sectoren, waaraan organisaties hun beveiligingsniveau kunnen toetsen. Is de status niet in lijn met de norm, zijn er geen pentesten uitgevoerd en ben je bereid onbekende risico’s te accepteren, dan zijn volgens NIS2 bij een ‘audit’ de directieleden persoonlijk aansprakelijk en kunnen ze financiële boetes opgelegd krijgen. Die stok achter de deur is volgens Brenno de Winter nodig om de cyberveiligheid in ons land op een niveau te brengen waardoor we cyberaanvallen zoals in de Oekraïne kunnen afslaan of op zijn minst kunnen overleven.
Hijzelf is inmiddels betrokken bij het ontwikkelen van modules voor OpenKAT (Kwetsbaarheden Analyse Tool) voor de zorgsector. Het initiatief omvat een reeks van projecten, gericht op de bouw van een ’business rule engine’; een api-infrastructuur; een opslag voor forensische documenten, een ’scheduler’ faciliteit, een grafische database; een normaliseertool; gereedschap voor netwerkmonitoring; Siem-functionaliteiten (security information & incident management) en een voorziening voor veilige accordering.
De met behulp van overheidsfinanciering tot stand gekomen gereedschapskist komt uiteraard ter beschikking van elk Nederlandse organisatie, die zich wil indekken tegen de negatieve facetten van de gedigitaliseerde samenleving, ongeacht of de vijand van binnen of van buiten komt.