Samenwerking essentieel voor verhogen weerbaarheid Nederland
Bedrijven zijn compleet afhankelijk geworden van software, netwerk en elkaar. Dat maakt ze kwetsbaar voor cyberaanvallen, zoals ransomware. Tijdens de derde editie van ESET Security Days, op donderdag 23 september, gingen verschillende partijen hierover in gesprek. “Het betalen van losgeld moet niet te eenvoudig zijn.”
Sander van der Maden, Advisor Team High Tech Crime bij de Nederlandse Politie, Job Kuijpers, CEO bij EYE Security, Michiel Zwinkels, hoofdofficier van Justitie bij het Openbaar Ministerie en Inge Bryan, managing director bij Fox-IT spraken over ransomware in combinatie met onze nationale veiligheid. De stelling die daarbij op tafel werd gelegd was dat het al dan niet betalen van losgeld een non-discussie is. Bryan is het daarmee eens: “Na betaling kun je immers nog steeds niet vertrouwen op de dataset die je terugkrijgt.” Ook Van der Maden ziet haken en ogen aan betaling: “Stel dat het lukt om de ransomware van je systemen te bannen, dan kunnen de cybercriminelen nog steeds in je netwerk zitten en daar andere zaken uitvoeren. Er is een levendige handel in Nederlandse bedrijfsnetwerken, in data die verhandeld wordt. Het probleem is groter dan alleen ransomware.”
Niet criminaliseren
Door betaling wordt het businessmodel van cybercriminelen in stand gehouden, terwijl je juist het slachtoffer van ransomware wilt steunen. Toch is het niet zo zwart-wit. “Als een bedrijf door ransomware wordt getroffen en ineens staan er vierhonderd vrachtwagens stil, kan het personeel niet werken of überhaupt worden uitbetaald, dan staat zo’n organisatie met zijn rug tegen de muur. Ik snap heel goed dat zo’n bedrijf dan zegt: ‘Ik wil betalen.’”, zegt Kuijpers. Een verzekeraar kan volgens Bryan wel bepaalde eisen op het gebied van cybersecurity opnemen in de polisvoorwaarden. Volgens haar zou dit ook leiden tot een hogere securitynorm in de maatschappij en dit zouden wij moeten omarmen. Kuijpers haakt hier op in door aan te geven dat de verzekeraars richting het MKB al diverse maatregelen eisen en dat het van belang is dat de verzekeraars zich bezig blijven houden met cybersecurityverzekeringen. Toch moet het betalen van losgeld ook niet te eenvoudig zijn, zegt Zwinkels. “Slachtoffers moet je niet criminaliseren door betalen te verbieden, maar het betalen van losgeld moet niet te makkelijk worden. We zien dat cybercriminelen precies de dekking van een verzekering vragen waardoor dekkingen en dus verdiensten hoger worden. Dit draagt op geen enkele wijze bij aan het oplossen van het probleem.”
Basis IT-hygiëne
Bryan pleit voor een centraal orgaan dat inzicht biedt. “Als het consequent wordt gemeld, kunnen we zien waar de oorzaken liggen en kan het eenvoudiger voorkomen worden. Het zicht op zaken kan als een soort dashboard worden gezien dat zou moeten leiden tot het treffen van maatregelen. Het gaat om het omhoog krijgen van de basis IT-hygiëne, aangezien dit de hoeksteen vormt van cyberveiligheid.” Volgens Sander van der Maden is er met verhogen van de weerbaarheid een enorme winst te behalen. Job Kuijpers vult aan: “Drie kwart van de ondernemers hebben geen tweefactorauthenticatie aan staan en hebben geen enkel zicht op wat er op hun netwerk gebeurt.” Nog te vaak gaan veiligheidsmaatregelen ten kosten van gebruiksgemak, maar de belangrijkste cybersecuritymaatregelen kan een bedrijf zélf regelen, stelt Kuijpers.
“We moeten meer doen dan ervoor zorgen dat iedereen hun deur op slot doet. Naast preventie moet er ook een goede bestrijding door politie en justitie komen, de pakkans moet omhoog,” vult Michiel Zwinkels nog aan. De middelen op technisch niveau en op het gebied van kennis en expertise zijn er, maar de operationele capaciteit is op het moment niet toereikend. “We kunnen cybercrime verstoren, maar we maken het business model op deze manier nog niet onaantrekkelijk.”
Bewustwording
Tegenwoordig functioneert alles als infrastructuur. Michiel Steltman, van de stichting DINL, haakt in vanuit het panel: “Bedrijven zijn compleet afhankelijk geworden van software, netwerk en elkaar en daardoor zijn ze kwetsbaar. Als er één schakel uitvalt, zoals een containerbedrijf of een ziekenhuis, dan hebben we daar als samenleving allemaal last van.” Zeker op het gebied van onze vitale infrastructuur moeten we ons als maatschappij afvragen wat digitale veiligheid ons eigenlijk waard is. “We moeten onze energie richten op preventie, zorgen dat bedrijven en infrastructuren niet geraakt worden. Pas daarna moeten er boeven gevangen worden”, stelt Steltman. Bryan is het daarmee eens: “We verbrassen onze samenleving door niet voor onze online veiligheid te zorgen.” Mensen moeten hun gezonde verstand gebruiken en cybercrime leren herkennen. Alleen door samen te werken en het bewustzijn te verhogen, kunnen we de veiligheid van onze samenleving en economie een boost geven. Die noodzaak is er, zeker nu we in anderhalf jaar tijd in rap tempo gedigitaliseerd zijn.
Nieuwe richtlijn cyberbeveiliging (NIS 2.0)
In de vorige editie van de ESET Security Days besprak Bart Groothuis van de VVD de wetswijziging waar hij als Europarlementariër mee bezig is, NIS 2.0. Een wet waardoor veel meer organisaties gezien gaan worden als vitaal en daardoor zowel beter beveiligd zijn, als ook betere ondersteuning krijgen. Inge Bryan van Fox-IT is enthousiast over deze wetgeving, maar stelt direct de vraag of de overheid ook klaar is om deze te handhaven. Michiel Zwinkels van het Openbaar Ministerie reageert: “Op dit moment niet, die constatering moeten we helaas samen maken.” Job Kuijpers geeft aan dat ook de definitie lastig te bepalen is: “Een ziekenhuis in de UK werd bijvoorbeeld pas na een aanval gezien als vitaal.” Volgens van der Maden maakt hierin de sector niet uit: “Ze kijken waar het meest te halen valt en zoeken de plek met de minste weerstand, dat is de ene dag het MKB en de andere dag weer een andere sector.” Dit onderscheid zouden we volgens panellid Fred Streefland van Hikvision binnen de beveiliging ook niet moeten maken: “Elke organisatie zou op dezelfde manier beveiligd moeten worden. Met commitment en samenwerking vanuit het bedrijfsleven en de overheid zouden we ransomware kunnen voorkomen.”
'Betere coördinatie'
Samenwerking is ook voor Europol essentieel, blijkt uit het interview dat Wilfred Genee aan de ESET-tafel voert met Philipp Amann, hoofd van de afdeling Expertise and Stakeholder Management bij Europol. “Het is voor ons essentieel om samen te werken met de industrie en informatie te delen. Niet alleen met het bedrijfsleven, maar ook met de wetenschappelijke instituten en de onderwijswereld.” Hij zou graag zien dat er een betere coördinatie komt tussen de organisaties die zich bezighouden met cyber.
Voortdurende race
Een goed voorbeeld van zo’n samenwerking is het no-more-ransom-initiatief van de Nederlandse Politie, McAfee, Europol en ESET. “Dat is inmiddels beschikbaar in 35 talen”, zegt Amann. “Er zijn 125 tools die door ransomware-slachtoffers gebruikt kunnen worden om hun data na een aanval te decrypten. Samen hebben we ondertussen zo’n 900 miljoen aan ransomware-betalingen voorkomen.” Cybersecurity is een voortdurende race, stelt de Europolman. “We moeten voor de curve zien te komen. Geld is daarbij niet van het grootste belang; we hebben mensen nodig, kennis en vaardigheden. We moeten de juiste mensen op de juiste plek krijgen.”
Niet betalen
Amann beaamt de visie van Bryan, dat het met de basis IT-hygiëne nog niet overal goed gesteld is. “We moeten terug naar de basis. Niet alleen maar kijken naar alle nieuwe mogelijkheden en ontwikkelingen, maar eerst terug naar je eigen basis van security en veiligheid.” Ook Europol ziet de discussie over wel of niet betalen en de rol van verzekeraars daarin. “In verschillende landen is dit onderwerp van discussie. Het is goed om daar als organisatie ver voor een eventuele aanval al over na te denken. Het is belangrijk dat bedrijven zich realiseren dat ze betalen aan criminelen, dat er geen garantie bestaat dat je daadwerkelijk je bestanden terugkrijgt en ook moeten zij er rekening mee houden hoe lang het duurt voordat je iets krijgt en dat weer teruggezet hebt.” Hij wijst erop dat betalende organisaties stijgen op de lijst van interessante slachtoffers die cybercriminelen bijhouden. “Wij raden organisaties dus met klem af om te betalen”, zegt Amann. In de strijd tegen ransomware is het cruciaal om samen te werken met de wetshandhavers en zoveel mogelijk informatie te delen, stelt hij.
'Veilig als kraanwater'
Voor samenwerking om cybercrime het hoofd te bieden, is geld nodig. “Er moet élk jaar een miljard euro beschikbaar zijn voor de nationale cybersecurity strategie, dan kunnen we gezamenlijk stappen zetten”, zegt Hester Somsen, plaatsvervangend Coördinator bij de NCTV. Zij ging tijdens de uitzending samen met Hans de Vries, directeur van het NCSC, Job Kuijpers, CEO bij EYE Security en Bibi van den Berg, hoogleraar Cybersecurity Governance bij de Universiteit Leiden en lid van de Cyber Security Raad, in op de dreiging van statelijke actoren in Nederland. “Waar zijn alle tech-bedrijven?”, vraag Van den Berg zich af. “Ransomware kunnen we alleen voorkomen als we kijken naar systeemniveau. Het internet zou zo veilig moeten zijn als water uit de kraan.” Maar, geeft zij ook aan, de dreigingen zijn er en deze zijn zowel reëel als zeer impactvol als ze gebeuren, maar soms mag er ook gekeken worden naar wat er goed gaat. “We hebben het in Nederland al vrij goed geregeld.”
Maatschappelijke ontwrichting
Grootschalige cyberaanvallen zijn vrij lastig, daar moet veel expertise voor zijn. Het is gelukkig niet het geval dat een cybercrimineel met één druk op de knop op het darkweb geavanceerde technieken koopt en heel Nederland onder water zet. Doordat het systeem complex is, is het ook vrij complex om het gehele maatschappelijke systeem te ontwrichten. Tegelijkertijd zitten kwetsbaarheden op veel plekken dus we moeten blijven waken. “Het hoeft maar één keer goed mis te gaan en dan hebben we wel een heel groot probleem,” aldus Van den Berg.
Cybersercurity informatieplatform
Volgens Kuijpers valt er veel winst te behalen door cybersecurity-experts fysiek bij elkaar te zetten. “Beleidsmatig hebben we het al best goed in orde.” Somsen vult aan: “Volgens mij moet je kijken hoe je iets voor elkaar kunt krijgen bij het volgende kabinet. Dit is onderdeel van een langetermijnstrategie.” Het doel is om een soort cybersecurity informatieplatform op te zetten om gegevens uit te wisselen, waarin wordt samengewerkt tussen securitybedrijven en de overheid. “We gaan nu beginnen met een verkenning en in mei krijgen we daar de uitkomst van en gaan we daarmee verder.” Van den Berg benadrukt dat we cybersecurity niet als louter technisch probleem moeten zien. “Ook al wordt er security by design toegepast, consumenten gaan met producten aan de slag en komen bij gebruik bepaalde zaken tegen. Het gaat om de vraag wat we dóen met technologie. Hoe gebruiken we het en hoe kunnen we dat met z’n allen een beetje beter maken?” Het lastige is, volgens de hoogleraar, dat we aan het uitzoeken zijn welke wielen we moeten hebben, terwijl het voertuig al rijdt.
Niet polderen
Als Nederland kunnen we daarin leren van de landen om ons heen, stelt Kuijpers. “In Engeland hebben ze de bestuurlijke stap overgeslagen en niet gepolderd. Daar zijn bedrijfsleven en overheid direct bij elkaar gezet om stappen te zetten.” Als organisaties is het belangrijk om door te gaan met samenwerken, benadrukt hij. “Het mkb kan simpele maatregelen nemen die geen geld hoeven te kosten, maar wij als sector moeten hen uitleggen welke zaken ze moeten regelen.” De Vries geeft aan dat het NCSC eerder dit jaar de handreiking cybersecuritymaatregelen heeft gedeeld met het MKB. In deze handreiking worden 8 basis cybersecuritymaatregelen beschreven waarmee organisaties stappen kunnen zetten in hun digitale veiligheid. Fred Streefland, Director Cybersecurity bij Hikvision, breekt vanuit het panel in het gesprek in met de opmerking dat hij het onderwijs mist in de discussie. “Waarom zijn er naast wiskunde- en aardrijkskundelessen nog geen lessen met betrekking tot digitale veiligheid?”
Juiste instelling
Somsen beaamt dat er over de gehele linie veel meer aandacht moet zijn voor bewustwording. “Niet alleen bij het mkb, maar bij iedereen. Er zijn nog wel wat silo’s te doorbreken.” “Ja”, zegt De Vries, “we moeten echt stappen vooruit gaan zetten. Er moet geld en ruimte komen om te acteren, maar ook de visie, het besef en de wil om aan de slag te gaan.” Daarin is een publieke en private samenwerking essentieel, vult hij aan. Van den Berg: “We moeten sneller zijn. De wereld is zo complex dat je ervanuit moet gaan dat je soms de Sjaak bent. Alleen met die instelling kun je ervoor zorgen dat je weer snel up and running bent. Dat betekent dat we niet alleen de basis op orde moeten hebben of gericht moeten zijn op preventie, maar ook moeten investeren in het scherper zijn op incidenten.”
'Enorme dreiging'
Waar het gaat om statelijke actoren kan de AIVD inzicht geven. De dreiging blijkt groot, zegt Bas Dunnebier, hoofd van het Nationaal Bureau Verbindingsbeveiliging bij de veiligheidsdienst. Hij ging in gesprek met Wilfred Genee, tijdens de uitzending. De wens om samen te werken is er ook vanuit de AIVD, juist het delen van de inlichtingen die zij verzamelen kan heel waardevol zijn. Wat is de dreiging die op ons af komt? Wat zijn de zaken die we moeten beschermen?
Hackers proberen onze kroonjuwelen te jatten
“Die dreiging is enorm en komt vanuit grote landen, zoals maar niet gelimiteerd tot Rusland, China, Noord-Korea maar ook Turkije. Het zijn allemaal landen die een offensief cyberprogramma hebben opgericht tegen Westerse belangen. Dit zijn de landen waar wij een focus op hebben.” Dunnebier geeft aan dat er dagelijkse aanvallen zijn vanuit statelijke actoren gericht on Nederlandse instanties. “De naïviteit van het valt wel mee, die mag er af.” Hoewel de dreiging enorm is, is dat geen reden om te somberen, volgens Dunnebier. “We worden getarget omdat we een gaaf land zijn: we hebben een goed draaiende economie, zijn ontzettend gedigitaliseerd en high-tech, en daarbij vallen veel digitale knooppunten op Nederlands grondgebied.” De AIVD en MIVD zijn top inlichtingendiensten, maar er zijn vast ook actoren en aanvallen die niet worden gezien.
Wel of niet terugslaan?
Offensief reageren op cyberaanvallen is niet zo simpel, zo is niet altijd duidelijk wie je voor je hebt terwijl dit wel van belang is. Is een hacker die typt in cyrillisch schrift direct een Rus? Dunnebier geeft aan dat de Wet op de inlichtingen- en veiligheidsdiensten, de WIV, meer ruimte moet gaan bieden zodat de AIVD nog meer kan gaan doen om te zorgen voor de veiligheid van Nederland. “We hebben nog weinig mandaat en mogen op het moment bijvoorbeeld nog niet meebewegen met een actor.” Die aangepaste wet wordt momenteel nog vorm gegeven.
Samen weerbaarheid verhogen
Dagelijks krijgt de AIVD te maken met nieuwe aanvallen. “Iedere dag zien we dingen gebeuren. Cybersecurity is net een marathon, we redden het niet met sprintjes.” Nu is Dunnebier zelf een hardloper, dus hij betrapt zichzelf soms op wat ongeduld, maar hij vindt dat we als land goed op weg zijn en dat het pessimisme binnen cybersecurity niet altijd volledig terecht is. “De weerbaarheid van ons land moet omhoog”, onderschrijft hij de mening van alle andere betrokkenen tijdens de Security Days. “Daarvoor is genoeg geld, genoeg energie en genoeg samenwerking. Het verbeteren van de weerbaarheid van Nederland: dat kúnnen we met elkaar.”