Door de grootschalige Kaseya-aanval is ransomware met alle bijbehorende onderwerpen het gesprek van de dag. Experts buitelen over elkaar heen om het verbieden van ransomware-betalingen, de aanpak van ransomware-criminelen, het voorkomen van ransomware-aanvallen, en het afsluiten van ransomware-verzekeringen te duiden, conclusies te trekken en adviezen te geven. Dat is goed, want sommige gesprekken moeten nú gevoerd worden.
Het is niet vreemd dat (voornamelijk) security-experts ten strijde trekken om het ransomware-kwaad te bestrijden en het hoe en waarom daarvan nu (al dan niet via de media) met hun eigen klanten, het bedrijfsleven en de overheid te delen. De Kaseya-aanval heeft duidelijk gemaakt dat de cyberveiligheid wereldwijd nog lang niet op het gewenste niveau is en dat kan desastreuze gevolgen hebben.
De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) schetste in het jaarlijkse Cybersecuritybeeld-rapport een sombere toekomst waar het ransomware betreft. Volgens de NCTV vormt ransomware een aantoonbaar risico voor de nationale veiligheid, met alle gevolgen van dien. Door de opmars van ransomware-as-a-service, waarbij ransomware-ontwikkelaars hun producten beschikbaar maken voor cybercriminelen die minder technisch onderlegd zijn, worden ransomware-aanvallen op steeds grotere schaal uitgevoerd door een steeds grotere groep daders. In het buitenland worden dit soort grootschalige aanvallen steeds vaker uitgevoerd op de vitale infrastructuur, zoals energievoorzieningen, lokale overheden en ziekenhuizen. In Nederland hebben we dat soort aanvallen nog niet gezien, maar het NCTV waarschuwt dat het gevaar op de loer ligt.
Niet op orde
We moeten alert zijn. En dat is precies wat de experts over en weer proberen duidelijk te maken: de cyberveiligheid is niet op orde en dat brengt grote risico’s met zich mee. In dat gesprek worden diverse oplossingen aangedragen: het verbieden van het betalen van losgeld door een ransomware-slachtoffer, het verbieden van cyberverzekeringen, een nationale instantie die bedrijven verplicht hun cybersecurity op orde te hebben en zo mogelijk zelf kan ingrijpen, en zo verder.
Al deze oplossingen kijken naar de bron van het probleem (de slechte cyberveiligheid) en de veroorzakers (de criminelen, die we niet in stand willen houden door ze ook daadwerkelijk te betalen). Maar de échte bron van het probleem is niet de slechte cyberveiligheid – die wordt immers óók ergens door veroorzaakt. De échte bron van informatie zit bij de bedrijven zelf: hoe kon het gebeuren dat zijn hun achterdeur op lieten staan?
Bedrijven die te maken krijgen met een cyberaanval krijgen meteen een hoop verschillende zaken te verstouwen. Er moet gezocht worden naar een oplossing, it-systemen moeten worden bijgewerkt en aangepast, medewerkers moeten worden geïnstrueerd en eventueel bijgeschoold. Tegelijkertijd moet worden nagedacht over de communicatie, want een cyberaanval is pr-matig gezien een ramp. Wie geen langdurige imagoschade wil oplopen moet nadenken over een opgepoetst verhaal over de oorzaak, niet te veel details loslaten en snel en adequaat handelen om de bedrijfsvoering weer op te pakken.
Schandpaal
Daar gaat het mis. Slachtoffers van cyberaanvallen en in het bijzonder ransomware zouden hun verhaal niet moeten (hoeven) oppoetsen. Op dit moment doen we in de cybersecurity allemaal aan victim blaming: wie slachtoffer is geworden van cybercrime wordt aan de spreekwoordelijke schandpaal genageld. Naar buiten komen met informatie is lastig in een omgeving waarbij zelfs de minister van Justitie bedrijven die ten prooi vallen aan cybercrime of die moeite hebben met hun cybersecurity afschildert als ‘oliebol’. In zo’n onveilige omgeving maken bedrijven niet meer bekend tegen welke problemen zij aanlopen bij hun digitale beveiliging, waardoor andere bedrijven niet kunnen leren van hun ‘best practices’.
Bovendien verzandt regulering door de overheid naar alle waarschijnlijkheid in een lijst van eisen waar bedrijven aan moeten voldoen, terwijl ze het nu al moeilijk genoeg hebben om alles op orde te krijgen. En ja, wellicht hebben we met elkaar te lang gewacht op het nemen van bepaalde maatregelen, en er zijn bedrijven die er een potje van maken. Maar we moeten dit samen doen: het creëren van een veilige omgeving is cruciaal voor de weg vooruit.
Podium
In de vervolggesprekken die we nu over ransomware gaan hebben, moeten we als experts zéker onze kennis en achtergrond blijven delen, maar we moeten het podium niet domineren. Het wordt tijd dat we de microfoon doorgeven aan de slachtoffers, om van hen te kunnen leren waar het daadwerkelijk mis ging en waarom het ook in 2021 nog steeds zo lastig om je cybersecurity op orde te krijgen. Zij moeten hun verhaal vertellen. Zo waarschuwen we andere ondernemers en bestuurders. Juist daar vinden we de waardevolle inzichten die ons helpen ons land een stuk veiliger te maken.
Dave, ik ben het met je eens; geen blaming van het slachtoffer. Zo geef je de daders alleen maar een excuus. De daders zijn de schuldigen en niemand anders. Iedereen kan fouten maken, doet dat ook, maar heeft bijna altijd het geluk dat het niet tot (grote) problemen leidt. Het gaat meestal niet zomaar mis bij een ransomware-slachtoffer. Het komt door een gebrek aan kennis van hacking en malware technieken, onvoldoende inzicht in wie wat behoort te doen (vooral bij offshoring), het vinkje dat in de haast verkeerd is gezet en vooral door een gebrek aan inzicht bij de top in wat de impact van hacking en malware kan zijn.
Hoeveel bazen hebben regelmatig scenario’s van de impact van hacking en malware laten maken? Dit is de verantwoordelijkheid van de top en niet van de ict-afdeling. De top moet er voor zorgen de ict-afdeling voldoende mankracht, kennis en middelen heeft. Rampen ontstaan zelden door een enkele fout. Een zwak wachtwoord kan cruciaal zijn, maar is op zich niet voldoende voor een ramp. Er moet meer aan de hand zijn. Het zelfde geldt voor CEO-fraude of grote nevenschade na een brand of een overstroming.
Het delen van de foefjes van de criminelen, maar ook hoe de problemen zijn opgepakt, is heel waardevol. Je mag dankbaar zijn als ervaringsdeskundigen dat op de ene of andere wijze met ons willen delen.
Goed, we geven de microfoon aan de slachtoffers maar krijgen we het eerlijke of het opgepoetste verhaal want was het een gevalletje van ‘Te goed van vertrouwen’ of uiteindelijk toch weer een keus voor de makkelijkste weg?
Het temmen van papieren tijgers is nu eenmaal makkelijker dan het plakken van de pleisters – niet in de laatste plaats omdat zoals Jaap aangeeft we personele tekorten hebben – en minister van Veiligheid & Justitie (of was het andersom?) die roept dat bedrijven die adviezen van NCSC om te patchen negeren oliedom zijn heeft een punt maar gelijkertijd ook kilo’s boter op zijn hoofd. Zo maakte het rijk exclusieve afspraken met Microsoft om een bij ontwerp onveilig en end-of-life platform te kunnen blijven gebruiken. Het open laten staan van de achterdeuren en ramen is dan ook vaak een bestuurlijke keus en achteraf met een opgepoetst verhaal komen dat je slachtoffer van je eigen zuinigheid bent is niet geloofwaardig meer.
De blame game is dus vaak terecht want het slachtoffer van een datalek is veelal de klant, tactiek van de verschroeide aarde is veelal een exit strategie nadat met C&C server het netwerk is onderzocht. Het advies om netwerk niet alleen horizontaal te segmenteren maar ook vertikaal zodat alle silo’s effectief van elkaar (privacy-by-design?) gescheiden zijn om zodoende het domino-effect van een digitale epidemie te voorkomen kent iedereen maar toch negeren velen nog altijd het advies. Dat we wantrouwender zijn in fysieke toegangsbeleid door een virus dan in het logische toegangsbeleid zegt dan ook wel iets over hoe hoog cybersecurity op de agenda staat bij bestuurders.
Ben je ‘Te goed van vertrouwen’ als je in de realiteitsbubbel zit van de dashboards die niet aangesloten zijn op de sensors of hou jezelf voor de gek? Persoonlijk denk ik het laatste als het om het negeren van signalen vanuit de werkvloer gaat als we achteraf naar de logs kijken, het loggen zonder kijken is namelijk niet ongebruikelijk.
@oud lid: +10 !
Een blame game is niet te vermijden, zeker niet met al die it-stuurlui aan de wal. Als het blamen wordt opgepakt door juristen, dan wordt het een blame game met halve waarheden. Dan komt de ervaring vooral terecht bij onze specialistische collega’s die bij hacks en malware aanvallen te hulp worden geroepen. A waste of a good crisis, maar wel gunstig voor de security tak van onze industrie.
Misschien zit het probleem wel in al die IT-stuurlui aan de wal, het ‘seen that, been there and done it’ van ervaring staat vaak als vlottende activa op de balans. Te goed van vertrouwen gaat tenslotte om het verwachtingsmanagement waardoor de wal het schip keert omdat er uiteindelijk teveel kapiteins zijn en te weinig stuurlui. Regeren is vooruitzien, reageren de koe in de kont kijken hoewel dat vaak nog moeilijk is als je geen logging hebt.