Het is geen verrassing meer: de meedogenloze afperstactieken van cybercriminelen treffen het bedrijfsleven steeds vaker. De media confronteren ons dagelijks met alarmerende berichten over succesvolle ransomware-aanvallen. Of je nu een doorgewinterde cybersecurity-expert bent die bekend is met lekken zoals Log4j, Kaseya en Hafnium, of een bestuursvoorzitter of ondernemer, de onveiligheid van het internet is een probleem met financiële en persoonlijke grote consequenties.
We moeten de nadruk leggen op preventie en samenwerking
Hackers hebben moeiteloos toegang tot de sleutels van honderdduizenden bedrijven, alsof ze onder de deurmat liggen. De dagen waarop alleen ervaren hackers binnendrongen zijn voorbij. Met de opkomst van ransomware-as-a-service is het ‘verhuren’ van kant-en-klare ransomware een bloeiende business geworden. Als je geld (of liever gezegd bitcoins) hebt, regelen hackers de rest.
Onveilig maar onmisbaar
“Het internet is vergelijkbaar met gas, licht en water,” zegt Peter van Burgel, CEO van AMS-IX, beheerder van een van de grootste internetknooppunten ter wereld.
Bij AMS-IX weten ze als geen ander dat het internet gebruik alleen maar stijgt. Het Amsterdamse internetknooppunt verwerkte vorig jaar dertig Exabyte internetverkeer, een hoeveelheid informatie die op geen enkele manier meer voorstelbaar is.
“In tegenstelling tot gas, licht en water, kun je er met het internet niet van uit gaan dat het vrijwel altijd veilig is, zegt Van Burgel. Het onvermijdelijke gebruik van het internet maakt het een onontkoombaar onderdeel van ons dagelijks leven. Deze alomtegenwoordigheid is volgens hem niet te stoppen. We moeten ermee leren omgaan dat we meer tijd, geld en aandacht aan cyberveiligheid moeten besteden dan we eigenlijk zouden willen.
Multimiljonair door een softwarelek
Dat het internet niet altijd veilig is weten we dus al langer. Wat veel minder bekend is: elke week ontdekken onderzoekers letterlijk honderden lekken in software die door hackers kunnen uitbuiten. Hackers die een ernstige fout in Whatsapp, je Apple iPhone of Microsoft 365 vinden, kunnen dit lek voor miljoenen dollars verkopen op de grijze markten. Deze zogenaamde Zero Days leveren hackers 1 tot 3 miljoen dollars op, met sommige gevallen die zelfs 20 miljoen opbrengen. De handel in die lekken is niet verboden, het illegale gebruik ervan wèl.
“Er zijn zoveel dreigingen dat het een is illusie dat je ze allemaal zelf kunt onderzoeken en behandelen, ook niet wanneer je net als wij over tientallen door de wol geverfde specialisten kunt beschikken”, zegt Lieuwe Jan Koning, mede-oprichter en Chief Technical Officer van ON2IT, één van Nederlands grootste cybersecurity dienstverleners.
De wapenwedloop met hackers gaan we nooit definitief winnen, zegt Koning Het is volgens hem veel belangrijker om de nadruk te leggen op preventie en samenwerking. “Informatie delen is van levensbelang,” zegt Koning. “Ook zijn wij afhankelijk van de samenwerking met andere specialisten. Gelukkig is de cyberindustrie wereldwijd goed in samenwerken.”
Threat Talks voor bestuurders en toezichthouders
Het delen van informatie was ook de start van de samenwerking tussen ON2IT en AMS-IX in eerste instantie is ontstaan. Deze samenwerking is inmiddels uit gegroeid tot de Threat Talks: een maandelijkse podcast waarin ON2IT en AMS-IX aan de hand van actuele bedreigingen in begrijpelijke taal uitleggen hoe hackers bepaalde kwetsbaarheiden kunnen gebruiken om binnen te dringen in jouw organisatie.
“Met deze podcast willen we onze kennis en ervaring op een toegankelijke manier delen,” zegt Van Burgel. “Iedereen weet wel dat cybersecurity belangrijk is. Maar bij veel mensen houdt daarmee de kennis op. Wij proberen mensen en organisaties een stapje verder te helpen, door uit te leggen wat fout gaat en wat je kunt doen. Dat vullen we aan met technische verdieping door IT- en cybersecurityspecialisten. Maar altijd goed te begrijpen voor iemand zonder specialistische kennis.”
De Threat-Talks zijn gericht op een breed publiek, dus niet alleen op de handvol supernerds die de ins and outs van kwetsbaarheden volkomen begrijpen. “Zulke mensen zitten op een heel ander niveau”, zegt Lieuwe Jan Koning, “we hopen dat ze meeluisteren, maar die ontmoeten we ook wel in andere online fora.”
Wat zijn de juiste vragen aan de directie?
Maar een willekeurig directielid of een toezichthouder moet tegenwoordig ook meer over cybersecurity weten – hoe weet je anders welke vragen je moet stellen aan e IT-afdeling of directie? Door de principes achter recente kwetsbaarheden en bedreigingen uit te leggen, helpen de Threat Talks je de juiste vragen te stellen, zeggen ON2IT en AMS-IX.
“Ook zonder de werking van een softwarefout in detail te kennen is het belangrijk om in grote lijn te weten hoe hackers zo’n fout kunnen gebruiken en wat je ertegen kunt doen,” zegt Koning. “We schuwen de diepte niet, maar we vinden vooral dat we begrijpelijk moeten zijn voor niet-specialisten voor wie cybersecurity steeds belangrijker wordt, zoals toezichthouders, CFO’s of meer business-gerichte IT-mensen.”
In elke aflevering van de Threat Talks (threat-talks.com) bespreken Van Burgel en Koning met een aantal cybersecurity professionals en externe gasten welke van de duizenden gepubliceerde kwetsbaarheden de meeste impact hebben, en welke lessen organisaties ervan kunnen leren.
Van kennis naar actie
Koning en Van Burgel hopen vooral dat de Threat Talks laten zien dat de strijd tegen de hacker niet hopeloos is, en dat organisaties met gezond verstand en betaalbare tegenmaatregelen vele malen weerbaarder kunnen zijn.
“Het is niet voor niets dat we blijven hameren op voor iedereen haalbare preventieve maatregelen”, zegt Koning. “Kijk, wanneer de Noord-Koreaanse of Russische overheid een team van vijftig tophackers richt op jouw organisaties, en ze nemen er de tijd voor, dan zullen ze ergens een ingang ontdekken. Organisaties met supergevoelige informatie moeten voorbereid zijn op zo’n geavanceerde aanval en de eventuele impact ervan zo klein mogelijk maken. Dat is ook voor ons een dagelijkse uitdaging die 24 uur doorgaat.”
Maar gelukkig zijn die buitenlandse overheden meestal niet zo geïnteresseerd in een Nederlandse schoenenfabriek, middelbare school of garnalengroothandel, besluit Koning. “Die kleinere ransomware-aanvallen zijn met goede preventie veel beter te voorkomen. Het is doorgaans niet zo dat de hackers zo slim zijn, maar dat ze gebruik maken van kwetsbaarheden die in 99,9 procent van de gevallen door iedereen te voorkomen zijn. Als we daarin kunnen bijdragen, dan zet dat echt zoden aan de dijk.”
