Cyber Central is de naam van een stichting waarin Cisco, DearBytes, KPN en McAfee samenwerken om cybersecurity uit de IT-sfeer te halen en het onderwerp begrijpelijk te maken voor iedereen. De oprichtende bedrijven roepen andere marktpartijen op om deel te nemen, zodat gevestigde IT- en securityleveranciers, maar ook startups gaan samenwerken op het gebied van securityplanning en het vaststellen van securityprioriteiten.

Politie en justitie klagen over de kwaliteit van de camerabeelden die bijvoorbeeld winkeliers hun leveren na inbraak in hun bedrijfspanden. Vervang de verouderde camera’s, luidt het advies. In de strijd tegen cybercriminelen moeten de ondernemers in kwestie wel controleren of die nieuwe, op internet gebaseerde apparatuur geen ruimte biedt aan hacken. Onlangs is een hack in een datacenter ontdekt. Uit de analyse hiervan bleek dat de infiltratie verliep via de IP-connectie van de camera’s in het gebouw. De toegangscodes waren wel heel gemakkelijk te achterhalen door de hackers.

Deze situatie maakt duidelijk dat enorme investeringen in techniek niet altijd leiden naar een veilige omgeving. Een kritische instelling, gezond verstand en argwaan zijn net zo belangrijk voor het treffen van preventieve maatregelen. Het inrichten van cybersecurityvoorzieningen gaat vooral over gedragsverandering bij de mensen die werken binnen de muren van een schijnbaar beveiligde organisatie.

Voorlichting

Cisco, DearBytes, KPN en McAfee gaan onder de vlag van Cyber Central veel aan voorlichting doen. Een uitgewerkt curriculum met workshops ligt op de plank. Het samenwerkingsverband kan putten uit de ervaring opgedaan bij een organisatie met dezelfde initiatiefnemers: IoT Academy. Die streeft naar het stimuleren van innovatie met behulp van IoT-oplossingen. Sinds de oprichting in 2016 zijn er 110 evenementen georganiseerd, waarin 183 bedrijven en 2.750 deelnemers hebben geparticipeerd.

Naast de initiatiefnemers heeft Cyber Central ook het onderkomen van het stichtingsbureau gemeen met IoT Academy: RDM Innovation Dock in Rotterdam. In de machinehal van de voormalige RDM-werf zit RDM Makerspace, een broedplaats voor creatieve en innovatieve bedrijven en startups. Deze collectieve aanpak staat ook Cyber Central voor ogen.

Informatiedeling

“Met de workshops van Cyber Central willen we bereiken dat bedrijven transparanter worden naar elkaar over hun cyberbeveiliging”, zegt Erik Remmelzwaal, directeur van DearBytes, een cybersecurityspecialist die sinds begin van dit jaar deel uitmaakt van de KPN-organisatie. “We worden er allemaal wijzer van wanneer we informatie gaan delen over hoe een hack heeft kunnen plaatsvinden en welke lessen er zijn geleerd. De wet- en regelgeving zou ook wat verder mogen gaan dan alleen de meldplicht van datalekken. Als je toch verplicht wordt in de openbaarheid te treden, laten we er dan ook allemaal iets van leren. Dus laat weten hoe je dergelijke incidenten voor de toekomst denkt uit te sluiten.”

Het Cyber Central-initiatief roept op te investeren in het bewustmaken van alle lagen binnen een organisatie. Nu bestaat er nog te veel onbegrip over wat te doen na een incident. Er gaat te veel tijd verloren tussen het waarnemen van de hack en het nemen van acties om de gevolgen op te vangen. De ondernemingsleiding moet het draaiboek daarvoor hebben klaarliggen.

Geen wake-upcall

In sommige sectoren, waaronder de zorg, zijn bestuurders hoofdelijk aansprakelijk bij schade door cybercriminaliteit en als zij niet kunnen aantonen maatregelen te hebben genomen om inbraak in hun informatiesystemen te voorkomen. Remmelzwaal gelooft niet direct dat een dergelijke boetedreiging directies bewuster maakt van cyberbedreigingen voor hun organisatie. Het voorkomen dat hun bedrijf volledig plat gaat, is volgens hem een veel grotere drijfveer.

Maar, zo erkent hij, dan zal men eerst wel zelf een hack of een poging daartoe moeten hebben meegemaakt. “Wij dachten dat WannaCry een wake-upcall zou zijn. Dat blijkt niet het geval. Directies horen weliswaar over de chaos bij de getroffen bedrijven. Maar omdat zij niet zijn gehackt, denken ze dat bij hen de beveiliging goed geregeld is.”

Volgens Remmelzwaal kennen in principe alle organisaties, groot en klein, zwakheden in de beveiliging van hun IT-voorzieningen. Maar bij grotere bedrijven is men met meer middelen en mensen vaak verder met het inrichten van escalatieprocessen en het toekennen van verantwoordelijkheden. Verdacht gedrag wordt vaak ook eerder gesignaleerd. Bij MKB-organisaties is die kennis meestal niet voorhanden. Soms hebben ze zelfs geen IT-beheerder in dienst; de werkzaamheden zijn uitbesteed aan een serviceprovider. Daardoor kan een bedrijf worden geïnfiltreerd zonder dat ze het zelf door hebben.

Voorbeeldfunctie

Ransomware blijft voorlopig de grootste bedreiging vormen, meent de DearBytes-directeur. Het is echter niet zo dat de aanvallen altijd puur op een individueel bedrijf of persoon zijn gericht. Het grootste gedeelte van de aanvallen is breed van opzet. Het is puur toeval dat iemand binnen een bedrijf een verkeerd linkje aanvinkt. De gevolgen zijn echter snel binnen de gehele organisatie merkbaar. Volgens sommigen is het onbegonnen werk om je ertegen te wapenen. Daar denken de partijen binnen Cyber Central toch anders over.

“We worden er allemaal wijzer van wanneer we informatie gaan delen”

Remmelzwaal: “Leidinggevenden hebben een voorbeeldfunctie bij het zorgvuldig omgaan met IT-hulpmiddelen. Bijvoorbeeld als het gaat om het schoonhouden van de werkplek of het consequent afsluiten van een systeem, het scheiden van privé- en zakelijk gebruik van IT-voorzieningen en het maken van de juiste afwegingen bij het opslaan en verzenden van vertrouwelijke bedrijfsdata via publieke clouddiensten als Dropbox. Ik begrijp dat veel mensen wachtwoorden en het telkens wijzigen daarvan lastig vinden. Tenzij organisaties op grote schaal met tokens gaan werken, zijn wachtwoorden wel noodzakelijk. Wij adviseren om in plaats van letters en tekens, zinnen te gebruiken. De lengte van een toegangscode bepaalt de sterkte.”

CEO-fraude is wel gericht op één persoon binnen een vooraf zorgvuldig geselecteerde organisatie. “Vanuit de Verenigde Staten weten we hoe dat in zijn werk gaat”, aldus Remmelzwaal. “Hier horen we er minder over, maar het kan zijn dat bedrijven daar ook liever niet over praten vanwege de angst voor reputatieschade.”

Kwetsbaarheid

Met één druk op de verkeerde knop veel schade aanrichten lijkt gemakkelijker te realiseren binnen het industriële domein. Daar leefden IT en OT (operationele technologie) lange tijd gescheiden van elkaar. Het internet overbrugt de kloof. Met de massale uitrol van IoT-projecten is de kwetsbaarheid toegenomen. Netwerksegmentatie verkleint de kans op een snelle verspreiding van de infectie.
“Het ergste is dat je in de OT-omgeving nauwelijks grip hebt op de IT-componenten”, constateert Remmelzwaal.

“Veel systemen voor de aansturing van een productieproces zijn gebaseerd op een bepaalde Windows-versie. In feite zou de leverancier van het systeem moeten zorgen voor regelmatige updates. Dat doen ze niet of pas veel later, want er is een kans dat hun applicatiesoftware dan niet meer werkt. Die zullen ze na het aanbrengen van een patch of update opnieuw moeten testen.”

“Ook bij zorginstellingen zien we dit verschijnsel. Artsen activeren van achter hun bureau een apparaat voor beelddiagnostiek die zich in een heel andere ruimte bevindt en hebben geen zekerheid of de verbinding en het apparaat veilig zijn. Fabrikanten van IoT-apparaten leggen de prioriteit al helemaal niet bij afdoende beveiliging. Zij streven naar een omvangrijke afzet binnen korte tijd.” Als voorbeeld noemt hij een onderzoek van DearBytes-hackers die recentelijk een kritiek lek vonden in populaire domoticasoftware.


De ethiek van het hacken

Hackers zijn er in diverse soorten en maten.

  • Cybersecurityspecialisten zijn in dienst om de zwakheden in de systemen van hun opdrachtgevers op te sporen. Deze ethische of whitehat-hackers leren ons meer over het gedrag en de doelstellingen van hun criminele collega’s.

  • Scriptkiddies misdragen zich op het internet, maar bedienen zich van de technieken van meer bedreven hackers.

  • Information-securityhackers gaan alleen na of geautomatiseerde informatiesystemen zwakheden bevatten. Ze neuzen rond in het gekraakte domein en laten een melding van hun aanwezigheid achter.
  • Blackhat-hackers zijn absolute plaaggeesten van het web. Ze hacken uit kwaadaardige motieven of doen het ter verhoging van hun status binnen een bepaalde hackersgemeenschap.
  • Hacktivists opereren vanuit een activistisch doel, bijvoorbeeld de openbaring van geheime informatie van overheden of bedrijven die ze op de korrel hebben.
  • State-sponsored hackers gaan in opdracht van een land inbreken in de systemen van een ander land om ofwel geheimen te ontfutselen of valse informatie te verspreiden.

Cyberaanvallen voltrekken zich volgens vaste patronen die zijn te rangschikken in drie stadia:

  1. Acties gericht op het vergaren van bijvoorbeeld e-mailadressen, het inventariseren van zwakke plekken in systemen of het verzamelen van persoonlijke gegevens (social engineering). Malware, phishing en een geïnfecteerde website zijn in het begin veel voorkomende instrumenten.
  2. De dreiging wordt echt serieus met de activering van trojans, het aanbrengen van boosaardige achterdeurtjes in veelgebruikte software (bijvoorbeeld CCleaner) of het manipuleren van programmacode.
  3. De controle bij het cyberslachtoffer wordt volledig overgenomen. Tussen het eerste en het laatste stadium kan enige tijd verlopen. Wie dus vroegtijdig een inbraakpoging detecteert, heeft de tijd om op te schalen naar een hoger beveiligingsniveau of kan maatregelen treffen om de gevolgen te minimaliseren.