Zolang een computernetwerk goed wordt onderhouden, is de kans op een hack of ransomware klein. Dat was een van de conclusies tijdens de donderdag gehouden Security Sessie van Jan van Toorn. Het thema was ditmaal cybersecurity. Een tak van sport die ook voor ‘fysieke beveiligers’ minder ‘ver van mijn bed’ is dan menigeen denkt.

Vaak wordt gedacht dat cybersecurity iets is voor de ICT-afdeling. Voor wat betreft de uitvoering klopt dat wel, maar er is ook nog zoiets als beleid en riskmanagement. En dat zijn zaken waarbij de traditionele beveiligingsafdeling om de hoek komt kijken. Een goede reden voor Jan van Toorn om eens drie deskundigen met verschillende achtergronden over cybersecurity te laten praten tijdens één van zijn inmiddels bekende en altijd goed bezochte Security Sessies in Ridderkerk.

Ransomware
Joost Gijzel van het Cyber Security Respons Team van DataExpert merkte op dat zijn naam goed paste bij het onderwerp: ransomware, ofwel gijzelsoftware. Alleen al dit jaar zijn er ruim 5000 geslaagde aanvallen bekend, waarbij de schade over het algemeen zeer groot is. Daders zijn wereldwijd zo’n veertig criminele netwerken, waarvan het merendeel uit Rusland komt. De beruchtste is Conti, omdat dit zich vooral toelegt op vitale organisaties, waarbij naast financiële ook veel maatschappelijke schade ontstaat. Over deze organisatie is veel bekend geworden, nadat een boze medewerker een schat aan gevoelige informatie openbaar had gemaakt. Dat gebeurde nadat Conti bekend had gemaakt dat het Rusland steunde in de oorlog tegen Oekraïne. Uit de gepubliceerde informatie bleek onder andere dat de cybercriminelen de afgelopen jaren zo’n 2,5 miljard euro aan losgeld hadden geïncasseerd. Van Gijzel vertelde dat aan zo’n aanval vaak een lange periode van voorbereiding vooraf gaat. Er wordt onderzocht of er kwetsbaarheden in de beveiliging zijn, dan wordt ingebroken en onderzocht hoe het hele systeem – inclusief back-ups – is te gijzelen. Ook wordt gekeken hoeveel de organisatie nog net kan betalen, zonder failliet te gaan. Steeds vaker wordt ook naar gevoelige gegevens gezocht. Als er niet betaald wordt, worden die gegevens openbaar gemaakt of aan een concurrent verkocht.

Achilleshiel
Gijzel adviseert klanten om geen losgeld te betalen, want dat houdt deze vorm van criminaliteit in stand. Maar hij begrijpt ook dat bedrijven er soms voor kiezen om wel te betalen. Dat is vaak goedkoper dan het hele systeem opnieuw laten opbouwen. Betalen geeft volgens de expert echter geen garanties dat het probleem is opgelost. De criminelen verschaffen vrijwel altijd wel de noodzakelijke encryptiesleutel, maar het is niet zeker of het netwerk daarmee weer volledig te herstellen is. Er hoeft maar een beetje data te ontbreken om een complete database onbruikbaar te maken. Betalen is ook niet eenvoudig, aldus Gijzel. Het moet in crypto en die heeft niet elke organisatie op voorraad. Het kan even duren voordat voldoende geld verzameld is en omgezet is in de gevraagde crypto, terwijl doorgaans binnen 48 uur betaald moet worden. Anders wordt het duurder of worden de gegevens definitief vernietigd. “Iedereen komt een keer aan de beurt”, waarschuwde de spreker. “Dus bereid je voor. Schets scenario’s en zorg ervoor dat die uitvoerbaar zijn. Maar zorg in de eerste plaats voor een systeem dat goed beveiligd en volledig geüpdatet is. En stel een Incident Respons Team samen, dat meteen in actie kan komen. ICT is niet meer iets facilitairs, maar de Achilleshiel van elke organisatie!”

Zonder beleid geen veiligheid
Ook Fabian Prick van Tedas merkte op dat het niet meer de vraag is of je gehackt wordt, maar wanneer. Dat betekent dat je behalve goede beveiliging ook een plan B moet hebben, voor als het toch misgaat. “Zorg ervoor dat op een systeem de juiste rechten zijn ingesteld voor iedereen en dat ongebruikelijk verkeer wordt gedetecteerd. Houd er ook rekening mee dat de aanval via een minder goed beveiligde partner op het netwerk kan binnenkomen. Door het netwerk te compartimenteren zijn in dat geval de gevolgen beperkt te houden.” Veel organisaties weten niet dat zij gehackt zijn. Nadat hackers de beveiliging hebben gekraakt zijn zij gemiddeld 106 dagen bezig met onderzoek naar hoe zij zoveel mogelijk geld kunnen verdienen aan het slachtoffer. Dit is niet te stoppen door een gespecialiseerde dienstverlener een bepaald bedrag te betalen. Er is beleid nodig op basis van wat voor de organisatie cruciaal is. Mocht het netwerk niet aan de beleidsregels voldoen, dan is het volgens Prick beter om een nieuw netwerk te bouwen, dan om het oude aan te passen.

Vier principes van beveiliging
Prick noemde vier leidende principes bij het beveiligen van netwerken. Het eerste is het creëren van diepte, door zoveel mogelijk sluizen en deuren rond de kern van het systeem te implementeren. Het tweede is Zero Trust. Dat houdt in dat elk apparaat geconfigureerd moet worden alsof iedereen er zo bij zou kunnen. Principe 3 is segmentatie. Dat zorgt ervoor dat een aanvaller niet direct het hele netwerk onder controle krijgt. Vooral beheerdersaccounts vormen in die zin een groot risico. Principe 4 – tot slot – is monitoring en detectie van ongebruikelijk verkeer. Cybersecurity mag volgens Prick niet als kostenpost worden beschouwd. “Het is gewoon onderdeel van een goede bedrijfsvoering. De risico’s gaan omlaag en de bedrijfscontinuïteit wordt beter geborgd. Ook loop je minder kans op AVG-boetes, dalen de beheerkosten en ondervinden gebruikers minder vaak problemen.” De investering is volgens de expert snel terugverdiend. Een aanval met ransomware kost gemiddeld 6 ton, ofwel 2,3 procent van de jaaromzet en komt meestal binnen via een ‘vergeten’ server, die nog wel aangesloten is, maar niet meer wordt onderhouden.

Complexe besluitvorming
De laatste spreker was geen cybersecurity-expert, maar een beleidsadviseur van de Veiligheidsregio Rotterdam-Rijnmond. Maikel Lenssen besprak de transitie van gewone brandweer naar digitale brandweer. Het gewone werk met toeters en bellen is het meest zichtbaar voor de burger, maar er gebeurt minstens zoveel om gevaren vanuit ‘cyberspace’ te bezweren. En niet voor niets. Tijdens een cyberaanval op een containerterminal in de Rotterdamse haven een paar jaar geleden, liep het hele havengebied in de soep, door files van vrachtwagens die niet gelost en beladen konden worden. “Iedereen verkondigt dan zijn mening op sociale media en wij krijgen een geïrriteerde burgemeester aan de telefoon, omdat die nog niet door ons is geïnformeerd. Maar dat is logisch, omdat wij eerst de feiten willen verifiëren, voordat wij met een rapportage komen”, vertelde Lenssen. De veiligheidsdiensten krijgen meer en meer te maken met wat hij de Wet van pleuris noemt. Pleuris = Verwijtbaarheid x (Maatschappelijke Relevantie (sociale media x media-aandacht)³. De spreker gaf een beeld van de enorme omvang van zijn Veiligheidsregio en van de complexheid van het bestuur. “Dan heb je wel eens met twee bazen te maken, de burgemeester die het gezag heeft en de gebouwbeheerder. In zo’n geval zeggen wij dan: het is jouw gebouw, maar het is onze brand! Met onze bedoel ik dan de burgemeester als baas van de veiligheidsregio.” Lenssen benadrukte nog eens hoe belangrijk het is dat beleidsmakers, gebiedsbeheerders en hulpdiensten elkaar kennen en elkaars taal begrijpen, zodat incidenten integraal en met ondersteuning van alle betrokken partijen bestreden kunnen worden.

15 september vindt de volgende Security Sessie plaats. Aanmelden kan via de website van Jan van Toorn.