Er is nergens zoveel geld te verdienen als met het hacken van organisaties. Nergens in het criminele circuit zijn de risico’s zo laag en de opbrengsten potentieel onbeperkt. Waarbij het voorbeeld van de hack op de centrale bank van Bangladesh slechts een van de voorbeelden is. De politiek is vooral bezig met een verouderd juridisch theoretisch kader dat vooral de vrijheden van de eigen burgers inperkt. Er van uitgaande dat iedereen zich aan de wet houdt en dat de wet wereldwijd te handhaven valt. Een behoorlijk naïeve houding waarmee politici en bestuurders vooral kunnen laten zien dat ze ook iets doen met “cyber”…
Om een simpel voorbeeld te noemen zijn cyberwapens eenvoudig en anoniem te koop op het internet. Er is geen douane, geen grens en geen politieagent die je mogelijk hiervoor zou kunnen oppakken.
Bedrijven en instellingen die anno 2017 nog steeds naar het domein cyber security kijken als soort van hype, het overkomt ons toch niet en ach de gevolgen zijn beperkt, want….
In de afgelopen weken zijn computers van de Tweede Kamer gegijzeld wat een goede voorbode voor de toekomst bleek te zijn achteraf gezien. Los daarvan is het voor een hacktivist een prima doelwit. Zo leg je een deel van het werk plat en weet je zeker dat het nieuwswaardig is.
Het was echter niet genoeg en overkwam British Airways hetzelfde en vrijwel direct ging niet alleen Maersk plat, die grof weg 10% van de Deense economie is, maar ook een aantal andere aantal bedrijven ook plat waaronder TNT en MSD.
Als klap op de vuurpijl werd de politie zelf ook getroffen… Wie bel je dan?
Nou heeft onze overheid een NCTV, NCSC, AIVD en het Cyber Commando en zelfs een NATO NCI in Den Haag staan. En wat blijkt… Zelfs zij zijn niet opgewassen om dit soort aanvallen snel te herkennen en onschadelijk te maken om zo de economische schade te beperken. Een, in mijn ogen, kinderlijke aanval met ransomware dat alleen kan werken door slim gebruik te maken van kwetsbaarheden van het systeem van een slachtoffer.
het laatste nieuws is dat de ransomware die werd gebruikt al maanden geleden vanuit de NSA is gelekt. Tja… Zoals hierboven, het is makkelijker om een “tooltje te jatten” dan een nuclear- of biologisch wapen.
Het zijn uiteindelijk commerciële instellingen die potentieel de meest gevaarlijke tools ontwikkelen. Compleet buiten het (toe)zicht van overheden waarbij het maximaliseren van de winst het primaire doel is. Zie hiervoor bijvoorbeeld de casus van Fox-IT. Een bedrijf dat zich bij elke overheidsinstantie naar binnen heeft weten te praten. Onderdeel uitmaakt van tal van nationale beveiligingsorganisaties en vervolgens wordt verkocht aan, in essentie, een buitenlandse hostingprovider. Waar de MIVD en NCTV het volgende melden aan het FD: “dat zij reserves hadden bij de overname en zich voor een voldongen feit gesteld zagen” Suprise, suprise, dit is nog steeds niet geregeld.
Iets wat ik met je wil delen is: Het modernste vliegdekschip van de UK dat nog Microsoft Windows XP gebruikt. Dat zal bij onze Defensie natuurlijk niet voorkomen…. of…
De voorlopige conclusie die we kunnen trekken is dat:
- er onvoldoende echte kennis is bij de diensten om effectief te kunnen optreden, zowel preventief, tijdens en na een aanval.
Preventie is vooral het kunnen denken als een potentiële crimineel en daar ontbreekt het echt aan. Er zou meer geinvesteerd moeten worden in verbindingsofficieren die op de internetknooppunten en bij providers zitten met voldoende mandaat om in te grijpen. Voor organisaties die een bepaald nationaal of economisch belang vertegenwoordigen een plan ligt dat direct in actie kan worden gesteld om weer verder te kunnen.
- er geen toezicht is noch vereisten zijn om een eigen cyber security bedrijf te beginnen en wapens te ontwikkelen
Dit is een politiek probleem dat zsm moet worden aangepakt. Men is vooral bezig op dit moment met, ook niet onbelangrijk, 20ste eeuw terrorisme in een setting van de 21ste eeuw. - Het risico voor bedrijven, instellingen en onze samenleving niet wordt overzien
Ook dit is een politiek probleem en er zou zsm een breed onderzoek uitgevoerd moeten worden hoe er na een dergelijke aanval wordt gehandeld
Bottomline: De fundamentele vraag die we ons zouden moeten stellen is: Stel dat een professionele, terroristische organisatie of een vijandige staat het heeft gemunt op ons. Dat er meer dan voldoende geld en middelen beschikbaar zijn om onze samenleving maximaal te schaden. Wat is dan de schade? En is dit vergelijkbaar of erger dan een terroristische aanval?
Extra info:
Nu veel organisaties nog de overstap willen of gaan maken naar Micorsoft Windows 10 zou het toch beter zijn deze stap even goed te overdenken. Ik denk zelf dat men de 32TB aan gegevens beschikbaar heeft gesteld om geïnteresseerden duidelijk te maken dat een groep toegang heeft tot de bedrijfsgeheimen van Microsoft. Dit komt alleen de prijs ten goede en voorlopig heeft niemand de “fame” geclaimd waardoor deze hack waarschijnlijk niets anders dan commercieel doel dient.