Ben Krutzen, CIO van het Shell Alumni Network en voormalig deputy CISO bij Shell, windt er geen doekjes om als het over het actuele probleem van ransomware gaat: “De aanvallen worden complexer en de crimineler professioneler.” Volgens de security-expert leeft het probleem bij de meeste organisaties wel, maar is het blijkbaar lastig om in actie te komen. Niet veel bedrijven en instellingen hebben al een draaiboek voor ransomware-aanvallen klaarliggen.

Hoe serieus is het probleem van ransomware?
“Wie er ook onderzoek naar dit probleem doet – en dat zijn veel partijen tegenwoordig – komt tot de conclusie dat de frequentie van de aanvallen stijgt en dat de professionaliteit van de cybercriminelen toeneemt. De aanvallen worden ook complexer, waarbij de nieuwste ontwikkeling is het dreigement de data van een organisatie openbaar te maken. Wanneer bedrijven hierover nadenken, worden zo toch wat bang, want pottenkijkers in je datahuishouding en een conflict met de Autoriteit Persoonsgegevens wil niemand.”

Denk je bij het complexer worden van de aanvallen aan persistent attacks?
“Zeker, maar daarnaast zie je tegenwoordig een taakverdeling tussen criminele organisaties ontstaan. Er zijn partijen die goed zijn in lateral movement (een aanvaller krijgt controle over een asset in het netwerk en verplaatst zich dan naar andere assets, red), of opsporen en exfiltratie van waardevolle data. Dat maakt het lastig om te concluderen dat het uiteindelijk om een ramsomware-aanval gaat.”


Sessie

Op 3 juni tussen 10:00 en 11:30 zal Ben Krutzen spreken tijdens een online rondetafelsessie over ransomware, georganiseerd door CIO Magazine en SentinelOne.

Aanmelden

Realiseren bedrijven zich dat de professionalisering aan de ‘dark side’ toeneemt?
“Het is moeilijk daar een algemeen antwoord op te geven. Bedrijven die zich in het algemeen bewust zijn van het belang van cybersecurity zullen dit zeker in de gaten hebben. Je mag trouwens wel zeggen dat het bijna onmogelijk is om níet in de media te vernemen dat ransomware in opmars is. Desondanks is de motivatie om er iets aan te doen er niet altijd. Dat kan te maken heb met geld, tijd, kennis…”

Kan het ook te maken hebben met de FUD – fear, uncertainty and doubt – die door veel marktpartijen jarenlang over de markt is uitgestort? Het risico van FUD is immers dat de dreiging van cybercrime niet meer serieus wordt genomen.
“Veel security-bedrijven kunnen maar moeilijk begrijpen waarom er zo’n gat zit tussen bewustzijn en in actie komen. Hun antwoord is dan om nogmaals op de risico’s te wijzen. Dat helpt niet, want het bewustzijn is er al. FUD gaat mensen niet in beweging brengen, integendeel zelfs.”

Hoe groot is de stap van de CISO naar de directie in dit verband?
“De business vraagt terecht vaak naar de ROI. Als het antwoord dan is ‘Honderd procent security bestaat niet’ kan er bij de business een moeheid ontstaan, in de trant van ‘daar komen ze weer om geld vragen…’. Ik heb de indruk dat veel CISO’s het antwoord op de vraag van de business maar laten liggen, omdat het niet eenvoudig te geven is. De reactie van de board kan zijn om dan maar evenveel budget beschikbaar te stellen als vergelijkbare organisaties. Dan kun je achteraf altijd verdedigen, is de gedachte. Ook de CISO zie je weleens een nieuw product of een nieuwe dienst aanprijzen met als argument dat de concurrent het ook heeft. Ik vind wel dat er een opdracht ligt om de zaken wat grondiger aan te pakken en bijvoorbeeld een uitvoerige risicoanalyse te maken.”

Technologie kan een wapen zijn in de strijd tegen cybercrime. Denk je dat moderne tools een ransomware-aanval in principe kunnen tegenhouden?
“Echte targeted attacks zijn heel moeilijk te voorkomen. Als mensen echt binnen willen komen en daar veel moeite voor willen doen, is die honderd procent security niet haalbaar. In de praktijk ligt het anders en wordt een slachtoffer gekozen dat minder goed beveiligd is. Er is een bekend grapje dat je alleen maar harder hoeft te lopen dan de langzaamste in de groep, als je door een beer achterna wordt gezeten. Het komt er op neer dat je de kans dat je slachtoffer bent wel degelijk sterk kunt verlagen. Daarnaast kun je je vast voorbereiden op een aanval. Dat scheelt veel ellende, in de pers, met toezichthouders, met je eigen business…”

Het tekort aan deskundige cybersecurity-professionals is groot. Kan dat er toe leiden dat een CISO noodgedwongen te weinig stappen zet?
“Daar ben ik niet van overtuigd. Goede mensen zijn moeilijk te krijgen, maar dat geldt voor veel disciplines. Daar moet je moeite voor doen: een interessante werksfeer creëren, trainingen aanbieden en interessante klussen geven. Volgens mij is het dan nog steeds mogelijk interessante mensen aan te trekken en aan boord te houden. Bovendien moet je niet proberen alles zelf te doen. Je kunt een deel van het werk prima uitbesteden overigens.”

“Al met al zit veel werk ook aan de businesskant: hoe gaan we reageren op een aanval? Dat vraagt veel voorbereiding, maar kan veel vertraging en dure fouten voorkomen.”

Neemt in deze tijd het belang van security-architectuur toe? Je kunt daarbij bijvoorbeeld denken aan de in opkomst zijnde zero trust-principes.
“In het algemeen staat security-architectuur goed op de kaart, is mijn indruk. Wel hebben veel organisaties te maken met legacy. Daarbij is het vaak zo dat binnen de perimeter alles openstaat, soms tot en met de backups. En krijg je dan een ransomware-aanval…”

“Identity- en accesmanagement blijft een uitdagende klus voor deze bedrijven. Het is hard werken, maar helaas onvermijdelijk. Lateral movement is immers in traditionele omgeving een groot risico. Aanvallers zijn soms blij verrast met de resultaten die ze behalen!”

Je noemde net de verantwoordelijkheden van de business, als het om de voorbereiding op een groot incident gaat. Zie je dat de business zich op deze manier voorbereidt en bijvoorbeeld draaiboeken opstelt en oefent?
“Ik zie nog weinig of geen draaiboeken speciaal voor ransomware-aanvallen, wat ik wel jammer vind. Wel zie ik regelmatig dat IT-scenario’s worden meegenomen bij ‘rampenoefeningen’ van de business. Er wordt dan vaak samen met leveranciers geoefend. Vaak is dat een eye opener voor de business.”

“Het zou goed zijn als er tenminste wordt nagedacht over ransomware. De vraag is bijvoorbeeld of je wilt betalen en, zo ja, hoeveel dan maximaal. Die vraag kun je beter niet aan de orde stellen als het leed al geschied is.”

Tijdens de rondtafelsessie zal Ben Krutzen ingaan op lessons learned en oplossingsrichtingen in het kader van de voorbereiding op een ransomware-aanval en de strijd ertegen. Tijd: 10:00 – 11:30, online.

Aanmelden

 

Arnoud van Gemeren is hoofdredacteur van CIO Magazine, Boardroom IT en voormalig hoofdredacteur van TITM (Tijdschrift IT Management) en Outsource Magazine. Hij heeft een lange staat van dienst in de Nederlandse IT-mediawereld. Na een start bij een redactiebureau, was hij als hoofdredacteur van 1996 tot 2001 bij uitgeverij Array Publications verantwoordelijk voor diverse IT-vakbladen. In 2001 sloot hij zich aan bij een adviesbureau op het gebied van marketingcommunicatie, Beatrijs Media Group. Vanuit dit bureau bleef hij als hoofdredacteur actief, onder meer voor Sdu Uitgevers.

REAGEREN

Plaats je reactie
Je naam