ESET Security Days 2021 – editie 25 november
Naast Covid-19 is er dit jaar ook een ransomware-pandemie gaande, bleek tijdens de ESET Security Days, op woensdag 25 november. De live-uitzending had als thema 'Secure the Future'. De remedie tegen de ransomware-plaag is gerichte weerbaarheid in de samenleving en samen de schouders eronder blijven zetten. Dat was de belangrijkste boodschap van de aanwezige vertegenwoordigers van de cybersecuritysector, politici en wetenschappers.
Volgens Dave Maasland, CEO van ESET Nederland en co-host tijdens de ESET Security Days-uitzending naast presentator Art Rooijakkers, is er echt een crisis gaande. We hebben de afgelopen tijd veel digitale aanvallen gehad die het hart van de economie hard hebben geraakt. De ransomware gevallen die in de publiciteit kwamen, zoals bij Colonial Pipeline in het oosten van de VS, VDL, MediaMarkt, Kaseya en JBS Foods, veroorzaakten disruptie, chaos en soms paniek. Het bewustzijn ten aanzien van ransomware is nog altijd onvoldoende, zegt Maasland: "De impact van een ransomware-aanval kan een digitale hartstilstand van de organisatie betekenen. We willen het bewustzijn in alle geledingen van de samenleving vergroten, daarom organiseren we de ESET Security Days."
Ransomware pandemie?
Na een terugblik op het jaar 2021 in cybersecurity, waarin de net genoemde ransomware-incidenten de revue passeren, vraagt Rooijakkers zijn gasten of het overdreven is om van een ransomware-pandemie te spreken. In de ogen van Inge Bryan, CEO van cybersecuritybedrijf Fox-IT, is dat zeker niet overdreven: "De schaal van de aanvallen is enorm gegroeid, cybercriminaliteit is een effectieve en lucratieve business geworden en de kans om door de politie gepakt te worden is buitengewoon klein. Het bedrag dat cybercriminelen aan losgeld eisen is in het afgelopen kalenderjaar met 800 procent gegroeid."
Vincent Meijer, Chief Information Security Officer bij IT-dienstverlener Ordina, kan zich ook vinden in de parallel tussen ransomware en covid-19. "Je ziet in de samenleving dezelfde reactie en emotie. De run op de wc-rollen en wat er in de VS gebeurde na de aanval op de Colonial Pipeline, dat was paniek."
Ronald Prins is medeoprichter van cybersecuritybedrijf Hunt & Hackett en zit tijdens de uitzending thuis in quarantaine vanwege een besmetting met corona. Als Rooijakkers aan Prins vraagt welke pandemie hem het meest treft zegt hij: "Ik vind corona 100.000 keer erger dan alle ransomware bij elkaar, dus die twee zet ik niet zomaar naast elkaar. Maar het is wel een heel groot probleem. Als beveiligers helpen we bedrijven zich te beschermen en hun weerbaarheid te vergroten. Bij een aanval helpen we de schade zoveel mogelijk te beperken. Maar de overheid moet in mijn ogen meer tegen de bedreiging doen. De politie heeft wat successen gehad, maar dat blijkt een druppel op een gloeiende plaat. Het echte probleem ligt in Rusland, daar moet iets aan worden gedaan."
Preek voor eigen parochie?
Wetenschapper Bibi van den Berg, Hoogleraar Cybersecurity Governance aan de Universiteit Leiden, is voorzichtig met de term pandemie, maar ziet ook dat de ransomware aanvallen in aantal en omvang significant toenemen. "Het is een groot probleem en het wordt een groter probleem als we niks blijven doen." Van der Berg signaleert ook dat er onvoldoende harde cijfers zijn over de precieze omvang van het probleem: "Een kernprobleem in het vakgebied van cybersecurity is een gebrek aan overzicht door een tekort aan data. We weten het eigenlijk niet precies. De zaken die in de media komen, vormen het topje van de ijsberg en dat zal zo blijven. De data die er wel is, komt veelal van de cybersecuritysector en de consultancy. Die is bruikbaar, maar je moet er wel bij bedenken dat de sector wil dat het probleem wordt beschreven als een 'groot' probleem. Daarom zeg ik als wetenschapper niet meteen: ‘het is een pandemie’."
Bryan van Fox-IT bestrijdt dat de cybersecuritysector er een belang bij heeft als het probleem groter wordt gemaakt dan het is. "Als sector willen wij over tien jaar niet meer bestaan, omdat de IT dan intrinsiek veilig is." Dat is ook de ambitie van Dave Maasland van ESET. "Net als een sportcoach zijn we bezig met preventie en gezond zijn. Dus daar gaan we de komende tien jaar op inzetten. Maar waar we nu in belanden met detectie en digitale brandweer, daar hebben we de mensen niet voor. En de mensen die we wel hebben, staan onder grote druk. Het gevaar van een burn-out ligt overal in de sector op de loer. Dat mag van mij binnen drie jaar al tot het verleden behoren."
Prins is het met Van den Berg eens dat er te weinig data beschikbaar is over de omvang van het ransomware-probleem. Maar het is in zijn ogen te makkelijk om te zeggen dat de cybersecuritysector er belang bij heeft om steeds te roepen dat het allemaal zo erg is. Er zijn volgens hem genoeg publieke signalen die aangeven hoe erg het is, bijvoorbeeld wanneer er dingen platliggen. "Over tien jaar moet het inderdaad wel klaar zijn. Als je kijkt naar wat alle bedrijven en organisaties allemaal aan het doen zijn om daar te komen, is dat hoopvol. Zie ons dan maar als de mannen in de witte jas, die continu bezig zijn om bedrijven te helpen. We hoeven het probleem echt niet groter te maken om nog meer handel te hebben."
Remedie tegen ransomware
Is er een remedie tegen de ransomware-plaag denkbaar? Ja, denkt Meijer van Ordina, in de vorm van groepsimmuniteit - om in de pandemie-metafoor te blijven. "Hopelijk zijn we over tien jaar met andere dingen bezig, al zullen er dan weer andere uitdagingen zijn. Maar ik geloof wel in integrale en intrinsieke borging van digitale veiligheid als antwoord op dit probleem."
Volgens Prins moet de overheid met een strategie komen en moet erna worden gedacht over hoe belangrijk dit is en wat het ons als land waard is. "De overheid zal de regie moeten voeren. Aan de weerbaarheidszijde zijn echt nog wel stappen te zetten, zeker als het vitaal is. Er moet gewoon geïnvesteerd worden en meer dan alleen geld." Ook Bryan van Fox-IT gelooft in het structureel verhogen van de intrinsieke weerbaarheid van de samenleving. "En als volgende stap de dreiging uit de lucht te blazen."
Prins zegt dat het voor criminelen minder interessant moet worden om deze aanvallen uit te voeren, en dat de manier waarop dat lukt, hem niet uitmaakt. "Als dat is omdat Poetin zijn diensten wel aan het werk zet en die jongens laat oppakken, of dat we de infrastructuur kapot weten te maken, zodat we barrières op kunnen werpen. Daar moeten we het gesprek over voeren."
Tegenaanval inzetten
In diplomatieke zin is Nederland volgens Bibi van den Berg een voortrekker om zogeheten statelijke actoren als Rusland aan te pakken. Van den Berg: "Het ministerie van Buitenlandse Zaken is al jarenlang bezig om te proberen een internationaal front te vormen, daar wil ik een lans voor breken. Het gaat tergend langzaam en er is versnelling nodig, maar er gebeurt wel iets." Prins noemt het opzienbarend dat het ministerie van BZ onlangs het ministerie van Justitie en Veiligheid verweet dat er geen visie en geen strategie is, terwijl Justitie de regie over het cyberlandschap in Nederland heeft. "BZ zegt dat ze niets kunnen doen zonder dat er een goed plan ligt."
Volgens Inge Bryan van Fox-IT moet er behalve diplomatiek ook in offensieve zin worden samengewerkt. "Er is een offensieve operationele capaciteit voorhanden in Nederland en andere landen en die moeten we bij elkaar brengen en gericht inzetten om klappen uit te delen. De AIVD, MIVD en NCSE hebben aangegeven dat ransomware een bedreiging van onze nationale veiligheid vormt… En toen bleef het stil! Ik dacht: nu gaan we, maar er gebeurde niets. We moeten gezamenlijk de infrastructuur die voor de aanvallen wordt gebruikt kapotmaken."
Digitale wapenwedloop
Volgens Van den Berg pakken de High Tech Crime Unit, Interpol en Europol deze vorm van criminaliteit al op een goede manier aan, zodanig dat het past binnen de 'rule of law'. Het laatste wat je wil is dat je als land allerlei acties onderneemt en in buitenlanden dingen stuk gaat maken, waarmee je een nieuw soort wapenwedloop genereert. Dit moet volgens mij binnen staatsrechtelijke grenzen gebeuren."
Bryan: "Ontoegankelijk maken mag al, dus het wettelijk kader is er, maar wordt onvoldoende gebruikt. En die digitale wapenwedloop, daar zitten we al lang in." Van den Berg vraagt zich af of we het erger willen maken of willen houden zoals het nu is. Vincent Meijer denkt ook dat we al in een digitale wapenwedloop zitten. Als hij kijkt naar hoe er in terrorismebestrijding mee om wordt gegaan, dan ziet hij dat heel hard terugslaan daar niet het antwoord is. "Dan zie je dat je je moet verdiepen in de motivatie die erachter zit. Je kunt kijken naar hoe de business case minder interessant gemaakt kan worden of hoe je disruptief kunt werken aan de aanvallende kant, zodat je het kan verstoren, waardoor het steeds minder aantrekkelijk wordt."
Geen kaas vandaag
Het goede nieuws van het afgelopen jaar is dat iedere aanval en elk incident heeft geleid tot een grotere weerbaarheid, zegt Inge Bryan van Fox-IT. "Door de incidenten zijn we veel meer informatie met elkaar gaan delen en zijn we ons collectief bewuster van onze kwetsbaarheid geworden. En dat heeft de aanzet tot actie gegeven. Kijk maar naar de Citrix-affaire. Het is niet zo dat we allemaal hulpeloos achteroverleunen. Er gebeuren heel veel goede dingen, iedere dag weer."
Ook Van den Berg ziet het maatschappelijk besef van digitale kwetsbaarheid door de incidenten groeien. "Als er geen kaas meer in het schap van de supermarkt ligt, dan wordt die kwetsbaarheid ineens heel concreet. Dan ziet ook oma dat iemand in cyberspace iets kan verrommelen wat vervolgens een effect heeft in de echte wereld. En dan gaan mensen beseffen: 'als het allemaal zo aan elkaar hangt, moet ik misschien een beetje beter letten op mijn eigen wachtwoorden en mijn gedrag in cyberspace aanpassen."
Wetenschapper Van den Berg sluit af met de woorden dat er heel veel onderzoek is gedaan naar het effect van awareness-campagnes over digitale veiligheid. "De opbrengst van die campagnes is precies nul. Maar de incidenten helpen wel. Als er geen kaas is denken de mensen: nu gaat het echt ergens over."
Never waste a good crisis
Estland is de Europese koploper in digitale veiligheid. Via een beeldverbinding heeft Dave Maasland tijdens de ESET Security Days een interview met Anett Numa, die als strategisch adviseur e-Estonia een sleutelrol speelt in de digitale transformatie van het land. Estland werd in 2007 als een van de eerste landen zwaar getroffen door een cyberaanval. Als reactie daarop werd een militaire e-cyberafdeling opgericht, waarmee met hulp van betrokken burgers de digitale veiligheid wordt bewaakt en verbeterd.
Het motto van Anett Numa is niet voor niets: 'Never waste a good crisis'. De grootste uitdagingen zijn voor haar een prima aanleiding om grote veranderen door te voeren. “Een crisis is een wake-up call, je schrikt en je moet er iets mee. Dat hebben we in Estland ook gedaan en er is vanaf het fundament, een veilige digitale samenleving opgebouwd. De overheid heeft hier de echt de leiding gepakt in de digitale transformatie.”
Een goede samenwerking met de private-sector is in de ogen van Numa heel belangrijk, omdat de meeste innovaties daar ontstaan. 'Secure the Future' kan alleen als je in een goede samenwerking van die innovaties kunt profiteren. Zo verliep de plotselinge overstap naar het thuiswerken tijdens de lockdown door de covid-pandemie in Estland buitengewoon soepel, omdat de complete infrastructuur daarvoor al aanwezig was.
ASML: Security Circle of Trust
Piet Bel is manager external relations van chipmachinefabrikant ASML. Met een glimlach ontwijkt hij de vraag van Rooijakkers of hij straks als minister van Digitale Zaken in het nieuwe kabinet zit. In gesprek met Maasland vertelt hij over de aanpak van ASML in het realiseren van digitale veiligheid. De metafoor die Bel gebruikt is die van de fysieke beveiliging van een huis. "Iemand beveiligt zijn woning met extra sloten, een alarmsysteem en buitenlampen. Wat wij doen bij ASML is niet ons huis beveiligen, maar de hele straat weerbaar maken. We gaan met alle partners en leveranciers in ons ecosysteem in gesprek om het geheel veilig te maken. De aanpak leidt tot wat we een Security Circle of Trust noemen. Het gaat puur om het kweken van vertrouwen. We delen onze kennis met de partners en helpen ze ook als ze er zelf niet uitkomen. Als grote speler helpen we de kleineren en dat is heel erg effectief."
Bel zegt dat de toeleveranciers van ASML vaak mkb-bedrijven zijn, met een beperkte staf voor securityzaken. “Het is vanuit beveiligingsoogpunt verstandig om je netwerk op te delen in gescheiden zones. Als onze leveranciers daar graag ondersteuning bij willen hebben, verzorgen wij een workshop over het onderwerp.”
Krachten bundelen tegen cybercriminelen
Dan is het woord aan twee leden van de recent begonnen commissie voor Digitale Zaken van de Tweede Kamer, Lisa van Ginneken (D66) en Queeny Rajkowski (VVD). Ook Petra Oldengarm, directeur van brancheorganisatie Cyberveilig Nederland, schuift aan om te praten over hoe de toekomst veiliger gemaakt moet worden. Volgens Van Ginneken is er voor dat vraagstuk geen simpel pasklaar antwoord. "We zullen het met elkaar moeten doen. Het besef en de bereidheid om het samen te doen, die is er, ook bij de overheid."
Rooijakkers werpt tegen dat er in de miljoenennota slechts één alinea in de 84 pagina's over het onderwerp cybersecurity gaat. "Het is misschien niet veel, maar in eerdere miljoenennota's kwam het woord cybersecurity helemaal niet voor, dus dit is een eerste stap", zegt Oldengarm. "Het geeft wel aan dat we misschien meer moeite moeten doen om dit over het voetlicht te brengen." Rajkowski neemt het op voor het kabinet. "Het is maar één alinea", zegt ze, "maar er is de afgelopen periode echt wel iets bereikt door deze regering als het om cybersecurity gaat. Zo wordt er veel meer informatie gedeeld. Het DTC [Dutch Trust Center, red.] mag sinds de zomer ook dreigingsinformatie delen met niet-vitale bedrijven, dat mocht eerst niet."
Oldengarm: "We hebben iemand nodig die met mandaat en budget aan de slag gaat om de cybersecurity-initiatieven binnen de overheid bij elkaar te brengen en de regie terug te pakken. Maar een ministerie voor Digitale Zaken moet de decentrale activiteiten niet onderuithalen, we moeten de kracht van de polder niet verliezen." Dave Maasland oppert dat cybersecurity als 'chefsache' op het bordje van de demissionaire minister president Rutte moet liggen. "Als cybercriminaliteit nu wordt bestempeld als één van de grootste risico's voor de nationale veiligheid - ik weet overigens niet of dat waar is - dan moet er ook de aandacht voor komen die nodig is."
Voor Oldengarm is de les van afgelopen jaar dat het heel erg helpt als je met verschillende partijen écht samen gaat werken. "De NCSE, de politie en cybersecuritybedrijven hebben samen een white paper geschreven over ransomeware om samen de complexiteit van die dreiging in kaart te brengen. Dat is een manier van krachten bundelen waar we verder mee komen."
CISO’s uit de frontlinie
Het afsluitende onderdeel van de ESET Security Days 2021 is een gesprek met vier Chief Information Security Officers (CISO's), mannen uit de frontlinie in de strijd tegen cybercriminelen: Oscar Koeroo van het ministerie van VWS, Piet Bel van ASML, Vincent Meijer van Ordina en via beeldverbinding Rik Driessen van de Tweede Kamer. Koeroo stapte midden in de Covid-pandemie over van KPN naar het ministerie van VWS en beleefde daar een roerig jaar. De andere heren hebben een goed jaar achter de rug, zonder grote incidenten.
In het geval van Rik Driessen komt dat mede door de inzet van het Security Expert Team, een aanpak die hij aanraadt. Het team bestaat uit interne en externe mensen van vijf securitybedrijven, die 24/7 klaarstaan om de organisatie van de Tweede Kamer in security-gerelateerde kwesties bij te staan. Driessen: "Als CISO's zijn wij op aarde om de business door te laten draaien. Weerbaarheid is cruciaal." Het verbinden van leveranciers op deze manier die samenwerken om klanten te beschermen noemt Maasland uniek, en iets wat meer organisaties zouden moeten overwegen.
Maasland zegt dat wendbaar zijn in deze tijd voor een organisatie ook heel belangrijk is. Hij sluit de ESET Security Days 2021 af met een verwijzing naar het boek Factfulness, dat gaat over het belang van de beschikking hebben over de correcte feiten. "We moeten ervoor zorgen dat we de juiste kennis en niet oude kennis gebruiken. In het veld van IT-security willen we met de ESET Security Days een bijdrage aan de juiste kennis leveren en IT-securityprofessionals een hart onder de riem steken."