Eind 2018 toont de Nederlandse inlichtingendienst, de MIVD, een foto van vier blanke mannen van middelbare leeftijd die door de luchthaven van Schiphol wandelen. De heren zouden leden zijn van de beruchte GRU, de Russische inlichtingendienst, en zouden eerder al het dopingagentschap WADA in Zwitserland hebben gehackt. Ze waren, zo zegt de politie, naar Den Haag afgereisd om het OPWC te hacken, de internationale organisatie die toeziet op het gebruik van chemische wapens. De heren werden het land weer uitgezet.
...

Eind 2018 toont de Nederlandse inlichtingendienst, de MIVD, een foto van vier blanke mannen van middelbare leeftijd die door de luchthaven van Schiphol wandelen. De heren zouden leden zijn van de beruchte GRU, de Russische inlichtingendienst, en zouden eerder al het dopingagentschap WADA in Zwitserland hebben gehackt. Ze waren, zo zegt de politie, naar Den Haag afgereisd om het OPWC te hacken, de internationale organisatie die toeziet op het gebruik van chemische wapens. De heren werden het land weer uitgezet. Eind januari brengt Reuters dan weer het verhaal van Lori Stroud, een ex-werknemer van de NSA, de Amerikaanse geheime dienst, die jarenlang voor de Arabische Emiraten gewerkt zou hebben als cyberspionne. 'Project Raven', zo gaat het verhaal, bestond voor de helft uit ex-NSA-medewerkers, die onder meer IS-leden en mensenrechtenactivisten hackten. Stroud verliet het programma toen ze doorkreeg dat er ook Amerikanen bij de internationale doelwitten zaten. Lijkt het zo, of zijn er nu echt meer cyberaanvallen en pogingen tot spionage vanuit landen? "Dat is wel iets dat opkomt", zegt Eward Driehuis, chief research officer bij Securelink. Het securitybedrijf monitort onder meer bedrijfsnetwerken. "Voor 2018 hadden we zo 250.000 beveiligingsdatapunten, en daar vonden we 20.000 veiligheidsincidenten waarbij er iets gebeurt wat terug te leiden is tot hacken of social engineering. Je merkt dat er sowieso meer op hoger niveau gehackt wordt, maar dat ook een aantal van die hacks waren toe te wijzen aan spionage." Driehuis merkt daarbij op dat het best lastig is uit te vissen wat er net aan de hand is. "De ervaren criminelen en spionnen gebruiken eenzelfde soort aanvalsmethodiek. Vaak weet je dus niet meteen wie er achter zit en waarom." Het helpt daarbij niet dat natiestaten, en hun cyberspionagetools, ondertussen een stevige invloed hebben op misdaad in het algemeen. Mooi voorbeeld zijn hier de NSA-inbraaktools die in 2016 online werden gelekt. In dat pakketje: EternalBlue, een 'exploit' voor Windows die handig werd ingezet in zowel de Wannacry ransomware, als in de minstens even desastreuze NotPetya-aanvallen een jaar later (zie kader). Ondanks het gebrek aan harde bewijzen, zijn er natuurlijk wel vermoedens. Er zijn zowaar trends. "Verschillende naties hebben meestal andere manieren van werken", zegt Andy Patel, researcher bij securitybedrijf F-Secure. "China zoekt naar persoonlijke informatie. Die zouden bijvoorbeeld hospitalen aanvallen, omdat daar veel data te rapen valt. Noord-Korea is dan weer vooral geïnteresseerd in geld. Zij worden in verband gebracht met de hack op de bank van Bangladesh (zie kader). Veel van wat Rusland doet lijkt politiek geïnspireerd te zijn, terwijl de VS vooral dingen wil ontwrichten, zoals ISIS-operaties." "Er zijn verschillende motivaties voor dit soort aanvallen", zegt Driehuis. "En spionage is daar een van. We noemen het graag 'het Chinese model', die zijn kampioenen van industriële spionage. Van alle geïdentificeerde staatsgesponsorde groepen is de helft Chinees, en die zijn allemaal bezig met industriële spionage. Maar het is belangrijk om weten dat iedereen dat doet. Ook bondgenoten doen dat. Denk maar aan de Belgacom hack (zie kader onderaan). Alleen wordt daar minder over gesproken." Zoals Patel eerder aangaf, worden hacks daarnaast ook gemotiveerd door 'ontwrichting' of chaos. "Wannacry en NotPetya werden ook door overheden gesponsord, maar zij willen vooral een zo groot mogelijke puinzooi maken. We noemen dat voor de grap het Russische model, maar ze zijn niet de enigen die dat doen. Ook Noord-Korea probeert naar verluidt vaak schade te berokkenen. Voor die landen is het een manier om met de spierballen te rollen. Rusland is een arm land en het militair budget is veel kleiner dan dat van de VS. Als zij serieus willen genomen worden, dan moeten ze een maximaal effect verkrijgen met minimale investeringen. Het is bijna een soort terrorisme, typisch voor vijanden met heel verschillende budgetten." En dan is er nog geld. "Noord-Korea wil herrie maken en een beetje geld verdienen. Zij zijn zowat de enigen die dat doen. Ze stelen voornamelijk bitcoins, want dat is het makkelijkst. En dat hebben ze gemeen met de cybercrime-industrie. Die willen gewoon geld verdienen met hun aanvallen. Die wegen risico en winst af", aldus Driehuis. Een team gespecialiseerde en ervaren hackers, met een stevig budget en bij momenten op maat gemaakte software, dat klinkt inderdaad als een probleem, maar is dat iets waar een modaal bedrijf zich zorgen om moet maken? "Gaan gewone, kleinere bedrijven een doelwit vormen voor natiestaten? Waarschijnlijk niet", zegt Andy Patel van F-Secure. "De doelwitten hier zijn energiemaatschappijen, misschien organisaties in de zorg, de overheid of het leger, dat soort dingen. Voor gewone bedrijven zal het minder voorkomen. Maar er zijn wel voorbeelden van supply chain aanvallen. Bij NotPetya was het bijvoorbeeld een maker van boekhoudsoftware (zie kader). Dat bedrijf is op zich niet interessant, maar het had wel een mechanisme aan boord dat het interessant maakte." Het idee achter zo'n supply chain aanval, is dat de hacker een leverancier gebruikt om binnen te geraken in een goed beveiligd bedrijf: als de NAVO te sterk beveiligd is, probeer het dan via de cateraar, dat idee. "State sponsored attacks komen niet altijd direct," zegt Maxime Rapaille, cybersecurity expert en adviseur bij beveiligingsbedrijf Cyber Security Management. "Als je de Kanselarij van de Eerste Minister wil aanvallen, dan ga je misschien via een leverancier proberen binnen te geraken. Zo'n organisatie heeft een sterke security, dus gebruik je een opstapje, een kleiner bedrijf met minder beveiliging." Hij geeft het voorbeeld van Amerikaanse supermarktketen Target, die werd aangevallen via zijn airconditioning-leverancier. "Zo'n bedrijf denkt vaak niet dat het een doelwit kan zijn, maar dat is het soms wel", aldus Rapaille. "Zo'n supply chain aanval is overigens niet de enige reden om een kleiner bedrijf te infiltreren. Vaak is dat ook gewoon om te zien wat ze kunnen vinden. Misschien kunnen ze wat blackmail over het grote bedrijf verzamelen voor later. Of als het een kmo is die een event regelt voor een groot bedrijf dan is er misschien een gastenlijst, en kunnen ze info krijgen over de medewerkers." Zo'n gastenlijst kan dan weer worden ingezet voor 'social engineering'. Het is een aspect dat steeds vaker voorkomt in deze aanvallen. Het idee erachter is dat u, met genoeg informatie, medewerkers kan overtuigen dat u deel bent van de organisatie, of hen kan overhalen om iets voor u te doen. 'Rita van de receptie is blijkbaar ziek vandaag, kan je even de code doorgeven?' En dat werkt verbazingwekkend vaak. "Social engineering is een heel vervelend trucje, want als je een beetje je best doet, met een half uur op Google of LinkedIn, kan je al een geloofwaardig verhaal afsteken", zegt Eward Driehuis van Securelink. "Bovendien wordt het vaak niet gezien door de technologie. Je kijkt naar gedrag, maar links zijn er net om op te klikken. Daarom is het belangrijk om meerdere lagen aan beveiliging te hebben. Als je die hebt maak je een kans. Het is geen garantie, maar je maakt je kansen wel beter." Een van de bekendste gevallen van een sociale hack draait rond John Podesta, politiek consultant voor de Amerikaanse Democratische partij. "Hij kreeg een e-mail waarin stond dat ie zijn Gmail moest openen, en de server was geen Gmail, maar het leek er wel op", legt Andy Patel uit. "Zo vonden ze zijn gebruikersnaam en wachtwoord." En zo lagen de interne mails van de partij, enkele maanden voor de presidentsverkiezingen in 2016, op straat. Ook hier zou een extra laag security handig zijn geweest, zegt Patel: "Dat zijn natuurlijk dingen waar een multifactor authentication kan helpen. Het is best nuttig om dat soort dingen aan te zetten voor interne bedrijfsdiensten, dat maakt het een pak moeilijker om binnen te breken." Daarnaast is een mogelijk antwoord ook: mensen trainen. "De bewustwording van de mensen moet nog groter worden", zegt Filip Savat, country manager Belux van securitybedrijf Fortinet. "De vraag is hoe ver gaat de boerenlogica van de mens om te zien of het echt is. We leven in een tijd waarin je videobeelden kunt 'faken'." "Mijn houding is dat je altijd wel een truc kan vinden", zucht Eward Driehuis. "Ik kan er zelf in trappen en ik ben een professional. Als je je verdediging baseert op het gedrag van je mensen, dan ben je niet goed bezig. Je wil phishing automatisch blokkeren. Als er toch iemand klikt, dan moet je antivirus hebben. Gebeurt dat niet, dan moet je het netwerk in de gaten houden voor lateral movement. Want die criminelen kunnen maar wat als ze op het centrale punt geraken. Je moet meerdere vangnetten onder je gebruikers spannen. Aan awareness kan je later nog werken, maar je hebt eerst je technische basis nodig." Maar geef nu toe, als de GRU uw tuincentrum wil hacken, dan doen ze dat toch? "Om helemaal eerlijk te zijn, als je het doelwit bent van een georganiseerde groep, zoals een criminele groep, dan is de kans groot dat ze binnen geraken", zegt Andy Patel van F-Secure. "Zelfs grote doelwitten weten dat ze kunnen en zullen gehackt worden. Daarom wordt er daar zoveel geïnvesteerd in managed detection en response. Zij hebben mensen bij cybersecuritybedrijven zoals het onze, die meteen kunnen komen als zo'n situatie zich voordoet. Voor hen is het kwestie van meteen op de hoogte te zijn, als het gebeurt." Als kmo hebt u dan maar pech? "Kleinere bedrijven hebben waarschijnlijk niet het geld om dat soort oplossingen te kopen", geeft Patel toe. "Maar het feit is wel dat ze een doelwit van minder waarde zijn. Dat betekent ook dat ze niet de hoogst aangeschreven hackers gaan tegenkomen. Een goede manier om je tegen criminelen en zo te verdedigen, is te zorgen dat je geen makkelijk doelwit bent. Ze gaan altijd voor het laaghangende fruit, zoals ongepatchte servers die online staan. Het beste dat je dus kunt doen is zorgen dat je geen overduidelijke gaten in je beveiliging hebt." Het idee hier, zo lijkt het, is dat u de beste security koopt die u zich kunt veroorloven, ook als dat de standaard firewall en antivirus is. "Anderzijds is de IT van zo'n klein bedrijf ook niet groot, en kost de beveiliging ervan dus ook minder", merkt Maxime Rapaille van Cyber Security Management nog op. "Er zijn ook opties zoals Protection-as-a-Service, die handig is voor kleinere bedrijven. Feit is dat je niet specifiek kan voorkomen dat je gehackt wordt, maar als je niets doet, vraag je erom." "Je kan je er wel tegen wapenen", zegt Filip Savat van Fortinet. "Kmo's komen minder in het vizier, tenzij ze een specifieke technologie in handen hebben. De grote bedrijven, zoals nutsbedrijven, overheden met smart cities, die moeten daar extra securitylagen gaan toevoegen." Hij geeft het voorbeeld van segmentatie, het creëren van lagen binnen het netwerk. "Zo kan je zien hoe ver ze al in je netwerk zitten", zegt hij, "Hoe ver mag een bepaalde persoon gaan binnen segmenten? Welke bestanden mag ie aanspreken? En als hij te ver gaat, dan zal hij worden tegengehouden." "Het gaat hier ook niet alleen om het product", gaat Maxime Rapaille door, "Maar ook om een plan van actie dat je geregeld bijstelt. Het is als een brandoefening, je moet het een keer per jaar doen en bijstellen waar nodig. Je hebt bijvoorbeeld een back-up nodig die getest is, want als die niet getest is, dan is ie er niet wanneer je hem nodig hebt. Denk ook aan procedures voor incident response: wie te contacteren, wat te doen. Ook als je geen specialist in dienst hebt, voorzie dan een contact met iemand die je meteen kan helpen. Je zal waarschijnlijk ook iemand van de FCCU moeten bellen, en een expert moeten vinden om je back-ups uit de cloud te herstellen. Dat soort dingen moet voorzien zijn." "Kan je alles tegenhouden? Neen. Maar je moet de kans zo klein mogelijk maken", besluit Savat. "Het verschil tussen kmo en enterprise is de complexiteit, want een groot bedrijf gaat meer lagen hebben, maar in sé is de oplossing hetzelfde, of je thuis zit, in een kmo, een enterprise of een telco. Het securityniveau moet hetzelfde zijn, alleen de complexiteit en de prijs zijn anders."