Cybersecurity schreeuwt om samenwerking

Hackers houden zich niet aan wetten. Hun tegenstanders wel. Dat zet de laatsten op achterstand als het gaat om de middelen die ze kunnen inzetten. Wanneer ze dan ook nog slecht samenwerken, is cybersecurity vechten tegen de bierkaai.

Net toen de Wannacry ransomware op zijn hoogtepunt was, halverwege mei, kwam de Nederlandse computerveiligheidgemeenschap in Den Haag bijeen voor het jaarlijkse congres. Wannacry, dat zich in de dagen daarvoor razendsnel verspreid had en onder andere ziekenhuizen in het Verenigd Koninkrijk had platgelegd, werd aangevoerd als bewijs hoe groot de cyberdreiging dezer dagen is. De ontwikkelingen gaan razendsnel, we moeten iets doen!

De ontnuchterende woorden kwamen van Mikko Hypponen, de chief research officer van de Finse producent van beveiligingssoftware F-Secure: ‘Wannacry doet me denken aan de wormen die we rond 2002 zagen. Die verspreidden zich ook razendsnel zonder menselijke tussenkomst. Er is een reden waarom we dit zo lang niet gezien hebben: cybercriminelen hebben geen baat bij zo’n grote verspreiding, want dat trekt de aandacht. Tot nu toe hebben ze 78.000 dollar verdiend, blijkt uit hun bitcoin rekeningen. Ze hebben dus buitenproportioneel schade aangericht voor weinig geld.’

Het wijst erop dat achter Wannacry niet de meest professionele groep hackers zit. Die gaan subtieler en lucratiever te werk. Een geavanceerde aanval op de Centrale Bank van Bangladesh leverde computercriminelen vorig jaar 81 miljoen dollar op. De grootste dreiging gaat uit van hackers die zoveel mogelijk buiten beeld blijven, al wordt dat maatschappelijk niet altijd zo ervaren.

Vertrouwensbasis

Dat een ouderwetse overvaltactiek als die van Wannacry nog steeds systemen plat kan leggen, zegt iets over de staat de computerbeveiliging, zegt Greg Day, chief security officer van Palo Alto Networks, een leverancier van netwerkbeveiligingsproducten. ‘De gemiddelde toolkit kost 1387 dollar. Daarmee knipt en plakt de hacker een virus bij elkaar. Met een aanval verdient hij door de bank genomen 28.744 dollar. We hoeven het hackers maar een beetje lastiger te maken om hun business model te ondermijnen.’

Het grote probleem is gebrekkige samenwerking, meent Day. Professionals in het vakgebied bieden tegen elkaar op, waardoor veel werk dubbel wordt gedaan. Slachtoffers, met name als het grote organisaties zijn, houden zo’n vernederende hack liever stil dan dat ze hun ervaringen delen ter lering voor anderen. Voor zover er informatie gedeeld wordt, gebeurt dat vaak op vertrouwensbasis. Dat schaalt niet. Zodra er meer dan pakweg tien partners in een netwerk zitten, is het onmogelijk dat iedereen elkaar op hetzelfde niveau vertrouwt.

Day: ‘Organisaties denken vaak dat het alles of niets is bij het delen van informatie. Dat klopt niet. Je kunt kiezen wat je deelt en hoe. Of met wie. Ik hoor bijvoorbeeld vaak: onze informatie mag de Europese Unie niet verlaten. Dat kun je regelen. Je kunt ook je data zodanig abstraheren dat je kennis deelt zonder jezelf bekend te maken.’

In het Verenigd Koninkrijk is inmiddels een structuur opgezet om informatie real time op vertrouwelijke basis te delen, het Cyber Security Information Sharing Partnership. Het platform kreeg veel lof voor zijn rappe reactie op de Wannacry-crisis, waardoor erger werd voorkomen.

Day’s werkgever Palo Alto is met onder andere Intel en Symantec betrokken bij een ander initiatief, de Cyber Threat Alliance. Daarin werken bedrijven samen om bedreigingen te analyseren. Een van de grootste successen tot nu toe is de bestrijding van Cryptowall, ransomware waarvan de makers meer dan 300 miljoen dollar verdienden.

‘Cryptowall 3.0 was er in duizenden varianten’, aldus Day. ‘De traditionele manier van een vingerafdruk maken van het virus en dat detecteren, werkt dan niet meer. We hebben geïnventariseerd wat de daders allemaal nodig hadden: besmette sites, de malware zelf, phishing mails, bitcoin accounts. Daaruit kwam een patroon van activiteiten voort dat onafhankelijk was van de malwarecode. Toen Cryptowall 4.0 uitkwam, kenden we het patroon en hadden we een bestrijdingstool klaar liggen.’

Wetgeving

Naast vrijwillige samenwerking speelt ook wetgeving een rol bij het delen van informatie. Op dit moment kent Nederland al een meldplicht bij datalekken. Met de Wet gegevensverwerking en meldplicht cybersecurity, die in de maak is, komt daar een beperkte meldplicht voor hacks bij. De wet geldt alleen voor bedrijven die belangrijk zijn voor de nationale infrastructuur (zoals water- en energieleveranciers) en dan alleen voor kraken die de continuïteit van de dienst bedreigen.

Op Europees niveau treedt in mei 2018 de General Data Protection Regulation (GDPR) in werking. Die wet regelt de privacyrechten van Europese burgers, maar daar horen ook fatsoenlijke bescherming tegen datalekken bij en een meldplicht voor als het toch fout gaat. Er kunnen boetes tot vier procent van de omzet worden opgelegd aan bedrijven die slordig met persoonsgegevens omgaan.

Dat kan lucratief worden voor hackers, waarschuwt Hypponen van F-Secure: ‘Hackers hebben vaak geen idee wat de data die ze gestolen hebben waard is. De ene keer vragen ze een paar honderd dollar, de andere keer miljoenen. De GDPR geeft ze een richtlijn. Reken erop dat de prijs van hacks omhoog gaat. Als je twee procent van je omzet moet afdragen om een boete van vier procent te voorkomen, wat doe je dan?’

Vorig jaar vaardigde de Europese Commissie ook al het Directive on Security of Network Information Systems uit, regelgeving die bedoeld is om de cybersecurityin alle Europese lidstaten op hetzelfde niveau te krijgen. Die harmonisatie is welkom, maar lost niet het fundamentele probleem op dat opsporing van criminelen een nationale zaak is. Ook op internet mogen politieagenten niet zomaar onderzoek over de grens doen.

‘Eigenlijk hebben we een verdrag nodig dat bepaalt onder welke omstandigheden cyberagenten iets mogen doen’, zegt de Leidse onderzoeker Jan-Jaap Oerlemans. ‘Dat zal echter lastig worden, want zelfs binnen de EU hebben landen totaal verschillende ideeën over de rechten van verdachten.’

Oerlemans wijst erop dat het eerste internationale verdrag om cybermisdaad tegen te gaan, de Budapest Convention on Cybercrime, nog altijd niet getekend is door grote landen als Rusland, China en Brazilië. Rusland is zelfs een actief tegenstander van de conventie en weigert structureel mee te werken aan onderzoeken. Het is dus een illusie om te denken dat overheden het op wereldniveau eens zullen worden over de bestrijding van cybercrime.

Ethiek

Dat legt de bal des te meer neer bij het bedrijfsleven. Om frustrerende machteloosheid aan te pakken, moet de ICT-industrie beter nadenken over haar ethische standaarden, stelt onderzoeker David Dittrich van de University of Washington: ‘De overheid kent op vele niveaus ethische standaarden om terug te slaan bij cyberaanvallen. Het strafrecht is anders dan het militaire recht, bijvoorbeeld. Beveiligingsbedrijven hebben echter helemaal geen standaarden. Hoogstens worden ze in hun handelen beperkt door het strafrecht.’

‘In cyberspace heeft de overheid bovendien helemaal geen middelen om te voorkomen dat een burger slachtoffer wordt van een misdrijf’, vervolgt Dittrich. ‘Dat is aan de bedrijven. Ook de mogelijkheden tot vervolging van daders is beperkt, mede omdat er een geringe aangiftebereidheid bestaat. Het is dus helemaal niet gek om van beveiligingsbedrijven te verwachten dat ze standaarden ontwikkelen over wat wel en niet mag. Ook is er een vorm van coördinatie nodig, om te voorkomen dat bedrijven elkaar dwars zitten.’

Bedrijven worstelen met de materie. Het neerzetten van een honeypot, een bewust kwetsbare computer om malware mee te lokken, is gemeengoed, al zou je het een vorm van uitlokking kunnen noemen. Gebruikers machtigen virusscanners om wijzigingen op hun pc aan te brengen, dus dat mag ook. Maar wat als een pc kwetsbare software bevat die je geen malware kunt noemen (want ook legitiem gebruik) maar die de pc wel in een spammende zombie verandert. Microsoft besloot in 2013 dat het dergelijke software mocht uitschakelen en haalde zo het Sefnit-botnet neer.

Dat was op zich geen slecht idee, maar het riep wel vragen op hoe ver Microsoft mag gaan. Het bedrijf kan in principe immers iedere pc volledig overnemen en dat brengt extra verantwoordelijkheden met zich mee. Het voelt beter als de maker van Windows dingen doet in samenspraak met anderen. Toen Microsoft in 2015 het Dorkbot-netwerk ontmantelde in samenwerking met FBI, Interpol, Europol en beveiligingsbedrijf Eset klonk er uitsluitend applaus. Samenwerking verhoogt niet alleen de effectiviteit maar ook de legitimiteit van acties.

Kortom, er bestaat wel degelijk een gedeeld besef dat samenwerking nodig is om cybercriminelen de voet dwars te zetten. Aan middelen ontbreekt het evenmin. Maar het uitlijnen van alle nationale en commerciële belangen is een heidens karwei. Hackers zijn de lachende derden.

Nederland in de subtop

Nederland heeft op geen enkele van de zeven factoren die volgens het Potomac Institute for Policy Studies essentieel zijn om klaar te zijn voor grote cyberdreigingen, zijn zaakjes helemaal op orde. Het instituut was door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) gevraagd zijn methode los te laten op Nederland. Het resulterende rapport werd gepresenteerd op een grote conferentie over cybersecurity die op 16 en 17 mei 2017 in Den Haag plaatsvond.

Echt slecht staat Nederland er ook niet voor, stelde onderzoekster Melissa Hathaway bij die gelegenheid. Slechts op één punt is de score echt onvoldoende, namelijk op het delen van informatie. Daardoor verspreidt kennis over cyberdreigingen zich niet optimaal. In het rapport stelt ze voor om de noodzakelijk versterking van de cybersecurity van Schiphol en de Rotterdamse haven gepaard te laten gaan met een betere infrastructuur voor kennisdeling over incidenten.

‘De resultaten zijn bemoedigend, maar nemen ons ook de maat’, sprak Patricia Zorko, die het rapport namens de NCTV in ontvangst nam, in een reactie. Ze verwees naar de Wet gegevensverwerking en meldplicht cybersecurity, die op dezelfde dag in de Eerste Kamer behandeld werd (en daar aangehouden in afwachting van een nadere toelichting). Die wet regelt dat bepaalde vitale bedrijven in onder meer de energie-, water- en telecomsector verplicht zijn incidenten te melden bij het Nationaal Cyber Security Centrum, een onderdeel van de NCTV.

Een ander punt dat versterking behoeft is de nationale strategie. Er zijn zeker tien overheidsinstanties op de een of andere manier betrokken bij cybersecurity en het toch al lage budget is daardoor des te meer versnipperd. Voor 2018 is een herziening van de strategie voorzien. Hathaway pleit voor meer fondsen en een helderder visie op de relatie tussen economische belangen en (inter)nationale cyberdreigingen.

×