'We staan online tegenover intelligente tegenstanders'

De Russische invasie in Oekraïne verstoorde ook de ransomwaremarkt: voorheen was er een markt van Russische en Oekraïense hackers, maar door de oorlog splitsten die groepen. Dat vertelt Chris Krebs, voormalig directeur van CISA, het cybersecurityagentschap van de Amerikaanse overheid. ‘Elke organisatie die is aangesloten op het internet, staat op het speelveld.’

Afpersing

‘Alle organisaties zijn onderdeel van de markt en de economie en kunnen een doelwit worden van cybercriminelen', zegt Krebs. 'Het maakt niet uit waar je je bevindt.’ Hij reageert op vragen van journalist Joe Menn van de Washington Post tijdens de Data Security Summit georganiseerd door datasecuritybedrijf Rubrik. Krebs vertelt dat ook de strategieën zijn veranderd. Hackers gebruiken met ransomware niet alleen versleuteling, maar ook afpersing: betaal ons of we geven de data vrij en zorgen voor reputatieschade.

Een belangrijke les van de afgelopen tijd is dat samenwerking moet niet meer ad hoc gebeuren, maar continu, vertelt Eric Goldstein, uitvoerend assistent-directeur van CISA. ‘In de praktijk betekent het dat organisaties, de overheid en de vitale infrastructuur voortdurend samenwerken en niet wachten op incidenten.’

Deze intense samenwerking werd voor het eerst geprobeerd toen de Log4Shell-kwetsbaarheid naar buiten kwam en werd opgeschaald toen Rusland Oekraïne binnenviel. Voortdurend wordt er samengewerkt om de belangrijkste risico’s en scenario’s in kaart te brengen. De belangrijkste innovatie hierbij, vertelt Goldstein, draait om samenwerking en de rol van de overheid.

Intelligente tegenstanders

Wordt het nou steeds erger met ransomware of is er verbetering, wil Menn weten. ‘Dat is een uitzonderlijk moeilijke vraag om te beantwoorden’, reageert Goldstein. Het aantal incidenten ligt namelijk hoger dan het aantal gerapporteerde incidenten – om die reden hebben de Verenigde Staten wetgeving aangenomen die eigenaren en exploitanten van vitale infrastructuur verplicht te rapporteren.

Alsnog doet hij een oproep aan alle slachtoffers om incidenten te rapporteren. ‘Anders werken we per definitie met onvolledige data.’ Ook benadrukt hij dat maatregelen zoals multifactorauthenticatie zeer effectief zijn in het reduceren van bepaalde soorten aanvallen.

‘We moeten blijven evolueren’, vertelt Krebs. ‘Oude trucs werken morgen misschien niet meer. We staan tegenover intelligente tegenstanders die elke dag ongelooflijke scores halen. Een schaker wordt geen grootmeester door een boek te lezen – hij moet oefenen. Dat is wat onze tegenstanders doen, ze oefenen. We moeten blijven handelen en blijven testen.’

Stigma

Verouderde systemen, de zogeheten legacy, zijn een last, stelt Craig Jones, directeur cybercrime bij Interpol. Het wordt ook niet altijd gezien als een probleem: er wordt een omweg gezocht omdat mensen gewoon aan de slag willen. Michael Mestrovich, CISO bij Rubrik, valt hem bij – hij zag hetzelfde toen hij werkte voor het Amerikaanse ministerie van Buitenlandse Zaken. ‘Veel ontwerpers en technici weten wat er nodig is. Maar de legacy zit in de weg.’

Het stigma is ook wat ongelukkig, vindt Mestrovich. ‘De cyberverdediging moet elke dag 100 procent effectief zijn. Zij zijn verantwoordelijk voor de acties van al hun medewerkers. Dat is een erg hoge standaard. Als een organisatie keer op keer geraakt wordt, valt er wat voor te zeggen, maar het zou mooi zijn als het stigma verdwijnt voor degenen die het voor de eerste keer overkomt. Het is hoe de wereld nu in elkaar zit. De tegenstanders worden ook steeds beter. Zo gaat het kat-en-muisspel.’

Het landschap

Jones verwacht dat de grootschalige samenwerking met politie en de private sector gaat leiden tot belangrijke resultaten – momenteel wordt er gewerkt aan het aanpakken van enkele big players. ‘Sommigen vragen me of die niet moeilijk te grijpen zijn. Maar we hebben een bereik van 195 landen.’ Hij noemt als voorbeeld een operatie in Nigeria, waar Interpol een man oppakte die vermoedelijk het hoofd was van een cybercrimesyndicaat.

‘Er is een lange geschiedenis van het delen van dreigingsinformatie’, vult Mestrovich aan. ‘We zagen dat dat in een hogere versnelling kwam in december met de dreiging en de uiteindelijke Russische invasie van Oekraïne.’ De kaders zijn er, zegt hij, en bedrijven en kleinere overheidsorganisaties zullen daar nog bekender mee moeten worden, alsook met de dreigingen, zodat ze weten hoe het landschap eruitziet. ‘Waarbij altijd rekening moet worden gehouden met kosten en efficiëntie – wat dat betreft is Chief Information Officer tegenwoordig de moeilijkste baan ter wereld.'