Nieuws
Vooraanstaande ict-beveiligers: ‘Ransomware gaat richting nationale crisis, overheid moet meer doen’
Drie directeuren van vooraanstaande Nederlandse ict-beveiligers zien het ene na het andere bedrijf getroffen worden door gijzelsoftware en doen een oproep aan de overheid. ‘Laten we deze crisis aangrijpen om echt een stap vooruit te zetten.’
Ze komen om in het werk. Drie cybersecuritybedrijven die tot de top van Nederland horen, kunnen de vraag bij lange na niet aan. Job Kuijpers, directeur en oprichter van Eye: ‘We hebben gemiddeld twee incidenten per week. We groeien als kool.’ Ronald Prins, oprichter van Hunt & Hackett: ‘Het aantal incidenten is vele malen groter dan we als bedrijven kunnen hebben.’ Pim Takkenberg, directeur cybersecurity bij Northwave: ‘We moeten met regelmaat zaken afzeggen omdat we er geen capaciteit voor hebben.’
De oorzaak: bedrijven die platliggen door gijzelsoftware. Hun aantal is zo snel gestegen dat er sprake is van een crisis, zeggen de drie. Takkenberg: ‘Je kunt niet anders concluderen dan dat de nationale veiligheid in gevaar is.’ Kuijpers: ‘Ransomware is inmiddels een bedreiging voor de welvaart van Nederland.’ Prins: ‘Dit gaat richting een nationale crisis.’
Soms komt zo’n hack in de publiciteit, zoals bij de gemeente Hof van Twente, de kaasleverancier van Albert Heijn, de Universiteit Maastricht en een ict-leverancier van 96 notariskantoren. Veel vaker gebeurt dat niet. Eye staat het midden- en kleinbedrijf (mkb) bij. Bedrijven met een omzet tot een paar honderd miljoen, waaronder belangrijke toeleveranciers van ASML en de Rotterdamse haven. Ze zijn slecht voorbereid op een hack en niet verzekerd. Kuijpers: ‘Ze nemen de basismaatregelen, maar dat is niet voldoende.’
Intellectueel eigendom
Als ze eenmaal getroffen door ransomware, waarbij de back-ups vaak worden vernietigd, is er weinig wat de specialisten van Eye kunnen doen. Piet Kerkhofs van Eye: ‘In 90 procent van de gevallen moeten ze betalen of alles opnieuw opbouwen. En voor die bedrijven is het herstellen van de ict een kostbare zaak. We zijn vaak twee à drie weken bezig.’ Kuijpers: ‘Het wordt aan de markt overgelaten hoe ze zich beschermen. De verliezen zijn fors, onlangs was er in België nog een klant die 2 miljoen euro per dag verloor. Als je dochter wordt gekidnapt. komt de politie, als hackers je bedrijf gijzelen, sta je er alleen voor.’
‘Als we komen, is het meestal te laat en is alles al versleuteld’, zegt Ronald Prins. Hij komt bij klanten met kostbaar intellectueel eigendom en bij vitale bedrijven. ‘Ze bellen als de systemen vastlopen, of als ze al geïnfecteerd zijn. De meeste moeten noodzakelijke investeringen in ict doen.’ Dat ziet ook Pim Takkenberg van Northwave. ‘In bijna alle gevallen hebben de bedrijven een van de volgende zaken vier niet op orde: geen goede back-upstrategie, geen meerstapsverificatie, niet op tijd updates uitvoeren of geen goede monitoring.’ Hij komt bij farmaciebedrijven, productiebedrijven, soms een overheid. Grote klanten met een omzet tot ver in de miljarden euro’s.
De criminele hackers werken professioneel. Takkenberg: ‘Het is een geoptimaliseerd en verfijnd businessmodel.’ Sommige groepen bieden de gijzelsoftware op het darkweb aan als een dienst – zij krijgen een commissie bij een succesvolle toepassing. Grote groepen kennen heuse afdelingen: de infanteristen die een gat vinden, de hackers die het systeem daarna gijzelen, de onderhandelaars en mensen van de klantenservice, degenen die het geld wegsluizen. Eerst vroegen ze 0,4 procent van de omzet, toen 2 procent, nu weer 1 – omdat de meeste bedrijven dat snel betalen. Ze versleutelen bestanden niet alleen, maar publiceren ook de gevoelige data van bedrijven om de druk op te voeren. Ze bellen bedrijven en werknemers om ze te intimideren.
Kwetsbaarheden
Kerkhofs: ‘Bij verrassend weinig bedrijven is phishing het startpunt van de hack. Vaker gaat het via het geautomatiseerd kraken van een wachtwoord of via kwetsbare software. We denken dat de grote groepen op sociale media naar bekende kwetsbaarheden zoeken voordat ze openbaar worden.’ Prins: ‘Ze kijken op dinsdag naar de updates van Microsoft, maken snel een exploit (software om een kwetsbaarheid uit te buiten), scannen het internet en slaan toe.’ Kerkhofs: ‘Bij een klant stond een drie jaar oude pc. Toen die weer online ging, werd-ie in no time geïnfecteerd.’
Machteloos blijven toekijken is geen optie, vinden de drie. Er moet iets gebeuren. Prins: ‘Laten we deze crisis aangrijpen om echt een stap vooruit te zetten.’ Ja, de getroffen bedrijven kunnen zelf meer doen. Maar wie verplicht ze daartoe? Of houdt toezicht? Waar is het Nationaal Cyber Security Centrum (NCSC) of de lokale overheid? Kuijpers: ‘Niemand voelt zich verantwoordelijk voor het mkb. Je zou denken dat het een taak is van Binnenlandse Zaken of de gemeenten, maar die zijn totaal afwezig. Het NCSC heeft geen mandaat en het Digital Trust Center van het ministerie van Economische Zaken is te vrijblijvend en heeft nauwelijks budget.’ De lokale overheid is nog altijd vooral bezig met fysieke veiligheid. Nog geen 5 procent van de mkb-bedrijven heeft een cyberverzekering, terwijl ze allemaal een brandverzekering hebben, zegt Kuijpers. ‘De kans op een brand is 1 op 8.000. De kans op een hack 1 op 8.’
De overheid moet zich realiseren dat het menens is en dat er elke dag slachtoffers zijn, zegt Takkenberg. ‘Als je zoals nu afwacht, kun je wachten op klappen.’ Hij begrijpt niets van de wettelijke bepaling dat het NCSC alleen vitale partijen bijstaat. Takkenberg: ‘Als je ziet hoe groot de dreiging is, wat het gevolg is, hoeveel geld ermee gemoeid is, kun je dat onderscheid tussen wel of niet vitaal niet meer volhouden. Het raakt de nationale veiligheid al.’ Prins: ‘Het NCSC is te vrijblijvend. Drie dagen nadat beveiligingsadviezen op internet zijn verschenen, komt het NCSC met hun advies. Dat is mosterd na de maaltijd.’ Kuijpers: ‘Er zijn genoeg praatclubjes, er moet nu echt wat gebeuren.’
NCSC
Over wat er zeker moet gebeuren, zijn ze eensgezind: meer centrale aansturing. Prins: ‘Laat het NCSC, net zoals in Groot-Brittannië, een normenkader afdwingen. Kritieke organisaties worden verplicht om geselecteerde cybersecuritypartijen in te huren voor verschillende diensten. Ook het doen van updates kun je verplichten.’ Kuijpers: ‘De les van Engeland is: je moet kennis en kunde bij elkaar zetten. Het NCSC moet een groter mandaat krijgen. Breng hun kennis samen met die van de inlichtingendiensten, het Defensie Cyber Command, Team High Tech Crime. Onder welke partij of minister, dat geloof ik wel.’ Takkenberg: ‘Laat het NCSC informatie tijdiger delen met andere partijen. Ze zien voorbodes van aanvallen, deel die, of haal aanvalsservers uit de lucht. Nu is het afwachten en wachten op klappen.’
Ook Kuijpers is voor een actievere opstelling. Hij wijst naar de FBI. Toen een Chinese hackgroep een lek in veelgebruikte software wilde benutten, ging de FBI kwetsbare Amerikaanse bedrijven preventief hacken en het lek dichten. Kuijpers: ‘In de trant van: de politie ziet dat een raam openstaat, gaat naar binnen en doet het dicht. Zo’n zwaar middel kun je inzetten als er een bedreiging is voor de nationale veiligheid.’ Prins: ‘Maak het businessmodel van de ransomwaregroepen stuk: elke keer als ze Nederland aanvallen, maak je hun infrastructuur kapot. Dat vinden ze irritant en vervolgens gaan ze ergens anders heen.’
Maar, zegt Takkenberg: ‘Laat ons ook naar onszelf kijken.’ Cybersecuritybedrijven vinden het nog altijd moeilijk om info over ransomwaregroepen met concurrenten te delen: bitcoin-, e-mail-, ip-adressen van de criminelen. Een begin is in het afgelopen jaar gemaakt. Takkenberg: ‘Dat is hoopvol, het besef dat het nu moet begint te komen.’
