Ransomware vindt in toenemende mate zijn weg naar het Nederlandse bedrijfsleven, getuige de berichten in de media. Toch is de golf van aanvallen waarschijnlijk slechts het topje van de ijsberg, want veel bedrijven houden het zoveel mogelijk stil wanneer ze met ransomware te maken krijgen. Vaak uit schaamte of angst voor reputatieschade. Volgens Dave Maasland, CEO van ESET Nederland, moet dit anders. “We moeten een voorbeeld nemen aan de luchtvaartindustrie.”
Sinds een jaar of twaalf zijn er in de Verenigde Staten weinig tot geen dodelijke vliegtuigongelukken meer gebeurd. Wanneer een luchtvaartexpert dit midden jaren negentig als voorspelling had gehoord, had hij dat niet geloofd. Dat was de tijd dat de luchtvaart in de VS werd geplaagd door veelvuldige vliegtuigongelukken waarbij talloze mensen de dood vonden. Uiteindelijk werd dit tij gekeerd door een op het eerste oog controversieel idee. Er werd een meldingssysteem ingesteld waarin iedere betrokkene vrijwillig en straffeloos incidenten kon rapporteren. Sterker nog, mensen kregen een schouderklopje wanneer ze misstanden onthulden, maar wanneer het management die fouten vond en mensen hadden nagelaten die te melden, liepen ze het risico hun baan te verliezen. “Ik denk dat we op het vlak van ransomware ontzettend veel kunnen leren van een dergelijk systeem”, stelt Maasland.
Holistische aanpak
De ESET-CEO pleit voor een meldingssysteem dat vergelijkbaar is met die uit de Amerikaanse luchtvaart, hoewel hij op dit moment nog niet precies kan zeggen hoe zo’n systeem er in de praktijk uit moet zien. “Ik vind dat organisaties, publiek én privaat, de morele plicht hebben om ransomware-incidenten te melden. Minimaal anoniem. Tegelijkertijd moeten we proberen te komen tot een systeem waarbij mensen uit intrinsieke motivatie misstanden of bedreigingen kunnen melden, omdat ze op die manier kunnen en willen bijdragen aan een veiliger digitaal Nederland. Daarbij is het belangrijk dat álle betrokken partijen meldingen doen, dus niet alleen het slachtoffer, maar ook een securitybedrijf, de betrokken IT-partner, het management, de IT-afdeling enzovoort. Hoe holistischer dit wordt aangepakt, des te beter het beeld dat ontstaat.” Het delen van informatie is cruciaal om inzicht te krijgen in hoe aanvallers en aanvallen werken. Daarbij is het niet altijd van belang om details op technisch niveau te delen.
Meer kennis
Rutger Leukfeldt, directeur van het Center of Expertise Cybersecurity aan de Haagse Hogeschool, is het eens met Maasland. Hij is betrokken bij de opzet van een dergelijk systeem in het Verenigd Koninkrijk. “Dat systeem is gebaseerd op een unieke database die we in Nederland hebben op het gebied van georganiseerde misdaad: de Monitor Georganiseerde Criminaliteit. Deze monitor bestaat sinds de jaren negentig en maakt het mogelijk voor onderzoekers om systematisch grootschalige rechercheonderzoeken te analyseren. Onderzoek op basis van de monitor heeft ons de afgelopen jaren ontzettend veel geleerd en inzicht gegeven in hoe de georganiseerde misdaad werkt.” Een groot verschil met het Amerikaanse meldingssysteem is dat de informatie in de monitor geanonimiseerd wordt en dat het niet vrij toegankelijk is. “Hoewel ik een groot voorstander ben van openheid en het delen van informatie, denk ik dat een gesloten systeem waar alleen bepaalde stakeholders toegang tot hebben, ook kan werken. Het samenbrengen van informatie leidt in ieder geval tot meer kennis, een beter beeld en daarmee een betere aanpak.”
Systeem bestaat al
“Maar zo’n systeem hebben we toch al?” vraagt cybersecurity-expert en Chief Security and Privacy Operations bij het Ministerie van VWS, Brenno de Winter, zich af. “Dat hebben we ondergebracht bij de Autoriteit Persoonsgegevens. Daar moeten organisaties ieder datalek melden en die organisatie heeft dus inzicht en overzicht in de aanvallen.” De Winter stelt dat de AP op dit moment ook al de mogelijkheid heeft om preventief waarschuwingssignalen af te geven. “En dat doen ze ook, dat heb ik bij verschillende bedrijven zelf gezien.” De AP worstelt op dit moment enorm met tekorten aan budget en mankracht. Is het logisch om die druk te verhogen zodat er méér preventief kan worden gewaarschuwd naar aanleiding van patronen die in het systeem van AP worden ontdekt? “Wanneer je een volledig nieuw meldingssysteem optuigt, moet je daar ook een structuur voor bedenken. Daar zijn ook mensen en geld voor nodig. Waarom zou je het wiel opnieuw uitvinden wanneer we allang een basis hebben staan?”
Transparantie
Volgens De Winter zijn er twee zaken belangrijk om preventief te kunnen waarschuwen: “Ten eerste heeft de AP een enorme hoeveelheid data uit de concrete gevallen van datalekken die zijn gemeld. Daar kunnen veel lessen uit worden getrokken. Daarnaast, en dat is wellicht het meest belangrijke, is transparantie cruciaal. Op dit moment is de informatie die wordt gedeeld door de AP te generiek, je krijgt als organisatie nooit informatie waardoor je je écht geholpen voelt. Het blijft hangen in een top tien van veelvoorkomende datalekken, maar als bedrijf en samenleving wil je méér weten. De enige kennis die we nu hebben, is van incidenten waarbij de getroffen organisatie zélf meer openheid gaf. Dat begon bij de gemeente Lochem en naar dat voorbeeld volgden de gemeente Hof van Twente en de Universiteit Maastricht.” Maar er kan wel geleerd worden van bijvoorbeeld de scheepvaart en de luchtvaart volgens De Winter. “In de scheep- en luchtvaart kan er geen ramp gebeuren zonder dat die uitgebreid wordt onderzocht. Dat is op dit moment nog niet het geval bij cyberincidenten. Dat is absurd, dat we gewoon zeggen: er heeft zich een cyberramp voltrokken, maar we gaan niet onderzoeken hoe dat kon gebeuren. Die cultuuromslag moet er echt nog wel komen in ons vakgebied.”
Openheid
Ook Petra Oldengarm, directeur van Cyberveilig Nederland is fervent voorstander van transparantie. “Gemeente Hof van Twente en de Universiteit Maastricht maakten een ongebruikelijke keuze door openheid van zaken te geven. Ik hoop dat dit voorbeeld vaker gevolgd wordt, want vaak houden organisaties een aanval stil uit angst voor reputatieschade. Hoewel dit een begrijpelijke keuze lijkt, zijn de consequenties daarvan dat andere organisaties niet kunnen leren van dit soort incidenten en dat het cybersecurityniveau van een sector of zelfs ons hele land daardoor achterblijft.” Voor Leukfeldt is het als cybersecurity-onderzoeker ook interessant om meer inzicht te krijgen in hoe cybercriminelen te werk gaan, maar daarvoor hoeft hij niet per se tot in detail te weten hoe een aanval is gebeurd. “Om relevante informatie te kunnen delen is het belangrijk om te weten hoe een aanval is gebeurd, welke schakels de criminelen hebben misbruikt om binnen te komen. Maar daarna is het vooral belangrijk hoe het is opgelost en welke zaken en processen een organisatie heeft aangepast. Wat zijn de lessen die we kunnen leren om de impact van een aanval te minimaliseren?”
Te weinig lessen uit datalekken
Lering trekken en kennis delen is cruciaal, dat zijn alle experts met elkaar eens. In opdracht van de Nederlandse Cyber Security Raad onderzocht een aantal wetenschappers in 2018 de effectiviteit van de meldplicht datalekken in Nederland. De conclusie van dat onderzoek staaft de uitspraken van De Winter. In Nederland trekken we te weinig lering uit de meldingen die worden gedaan. Deels doordat er te weinig (bruikbare) informatie wordt gedeeld door de Autoriteit Persoonsgegevens. “Informatiedeling begint met het geven van openheid over cyberincidenten, aanvalsmethodieken en kwetsbaarheden”, zegt Oldengarm. “Daarbij hebben verschillende organisaties een rol, zowel publiek als privaat.” Volgens de Nederlandse Cyber Security Agenda uit april 2018 is de Nederlandse overheid al geruime tijd bezig met het opzetten van een ‘landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden waarbinnen informatie over cybersecurity breder, efficiënter en effectiever wordt gedeeld tussen publieke en private partijen’. Sinds de komst van de Wet Beveiliging Netwerk- en Informatiesystemen is Cyberveilig Nederland aangewezen als knooppunt voor informatiedeling. “Daarmee is de weg vrijgemaakt om informatie uit te wisselen tussen de cybersecuritysector en het Nationaal Cybersecurity Centum (NCSC)”, stelt Oldengarm. “Dat brengt ons een stap dichter bij effectieve informatie-uitwisseling, maar we zijn er nog lang niet.”
Voorkom slachtoffers
De bal ligt nu op verschillende plekken. Oldengarm: “Enerzijds moeten we de informatiestroom vanuit het NCSC naar de cybersecuritysector op gang brengen, en anderzijds moeten we als sector zelf aan de slag. Wij beschikken ook over dreigingsinformatie die, waar mogelijk, gedeeld moet worden. We moeten gezamenlijk kijken welke kennis we kunnen delen met andere betrokkenen en we moeten met onze klanten in gesprek over het mogen delen van informatie over bijvoorbeeld ransomware-aanvallen die bij hen hebben plaatsgevonden.”
“Er moet inderdaad veel meer openheid en inzicht komen”, stelt De Winter. “Maar dat heeft verregaande gevolgen voor de huidige Nederlandse structuur. Die is allang niet meer houdbaar.”
Maasland: “Cybercriminaliteit dringt steeds verder en dieper in onze samenleving door en het is een kwestie van tijd tot dit daadwerkelijk op grotere schaal levens gaat kosten. We moeten nú kijken naar een manier om kennis en informatie te delen, zodat we slachtoffers kunnen voorkomen.”
Lees ook:
- ESET breidt haar consumentenaanbod uit met beheerplatform ESET HOME en LiveGuard
- Recordhoogte aanvallen op thuiswerksystemen: serieuze bedreiging voor MKB
