De voorbije jaren blijkt dat wereldpolitieke gevechten steeds vaker in de digitale wereld worden uitgevochten. Om daar een antwoord op te bieden zoeken actoren heil in samenwerking om zowel de groten als de kleintjes te beschermen.
We zijn in Den Haag voor de OneConference, een securityconferentie met focus op internationale organisaties en veiligheidsdiensten. Op de agenda staan discussies over dreigingen, nieuwe EU-wetten, samenwerkingsverbanden… en burn-out.
Oorlog verandert alles
U kan in 2023 geen securityconferentie organiseren zonder het over de algemene staat van de wereld te hebben, en de gevolgen daarvan voor het securitylandschap. En dat betekent dan vooral de oorlog in Oekraïne, de eerste oorlog die voor een groot deel online wordt uitgevochten (de conferentie vond plaats voor de heropflakkering van het conflict in Israël en Gaza, nvdr.).
“Je ziet dat de Russische oorlog in Oekraïne ook daarbuiten overloopt,” zegt Katelyn Baily, senior manager bij Mandiant, het ondertussen door Google opgekochte securitybedrijf. “De dreiging van cyberspionage-actoren blijft, vooral op militaire organisaties en overheidsinstellingen.” Ze rapporteert echter ook hacktivisten die organisaties aan alle kanten aanvallen voor hun ‘partij’. “Dat alles leidt tot een groei in DDoS-aanvallen, zowel in aantal als in grootte, die erg disruptief kunnen zijn en bijdragen aan de vermoeidheid van de verdediger.”
“Cybercrime en vooral ransomware zijn nog altijd de grootste gevaren waar we vandaag mee te maken hebben, maar de invasie in Oekraïne heeft ons geleerd dat er nog andere dingen op het spel staan,” zegt ook Felicity Oswald, COO van NCSC UK. Momenteel, zo stelt zij, komt de meest acute dreiging voor landen als het Verenigd Koninkrijk vooral van Rusland, China, Iran en Noord-Korea. Maar ze vreest dat het daar niet lang bij zal blijven. “We verwachten dat cybercapaciteiten een gemeengoed worden, zodat ze niet enkel in handen zijn van enkele staten”, aldus Oswald. “In klassieke misdaadromans had je vaak het concept van een ‘gesloten kamer’, waarbij de moord gebeurde in een afgesloten ruimte, en de daad dus alleen kon uitgevoerd zijn door een kleine groep verdachten die in die ruimte aanwezig was. Dat is in de nabije toekomst niet langer het geval. De lijst is niet langer beperkt.”
‘De lijst van verdachten is niet langer beperkt’
Felicity Oswald, NCSC UK
Het is tegen die achtergrond dat u zich kan afvragen hoe groot de uitdaging is om een bedrijf of organisatie te beveiligen. Maar wat als u dat opentrekt naar een stad met al zijn departementen, burgers en diensten, of een cluster van organisaties en bedrijfjes? De stad Den Haag is, zo horen we ettelijke malen tijdens ons bezoek, erg trots op zijn motto van ‘Stad voor Recht en Vrede’, en zijn Vredespaleis, gebouwd naar aanleiding van de Eerste Haagse Vredesconferentie. Het Internationaal Vredestribunaal is gevestigd in de stad, alsook het Internationaal Strafhof, Europol en een hele resem ngo’s en overheidsinstellingen.
“Het maakt ons wel een doelwit”, zegt Saida Van Calsbeek, program manager Cyber Security bij de gemeente Den Haag, “staatshackers willen hier informatie vinden.” Om de stad weerbaarder te maken zijn er meerdere initiatieven, waarvan de jaarlijkse hackathon, ‘Hâck the Hague’, misschien het meest tot de verbeelding spreekt. “Daarbij mogen kandidaten alles dat openstaat richting het internet proberen te hacken”, zegt Jeroen Schippers, CISO voor de gemeente Den Haag. Dat gaat over websites, apps en meer, weliswaar met de voorwaarde dat de aanvallers geen data inkijken die ze daar eventueel vinden. Maar ook hardware mag uitgetest worden. Zo liggen er elektronische deurklinken en camera’s op de hackathontafeltjes in het atrium van het gemeentehuis. Met succes, overigens. “Een van de straffere uitlopers van de hackathon was een kritieke fout in de printers van Ricoh die deelnemers enkele jaren geleden vonden. Die werd uiteindelijk geëscaleerd naar het Nationaal Cyber Security Centrum (NCSC) en van daaruit naar Ricoh, die het wereldwijd verhielp,” aldus Schippers.
Strategie
Bij zo’n hackathon worden dozijnen fouten gevonden, en het is zo een redelijk kostenefficiënte manier om de beveiliging van de gemeente te versterken. En dat is ook nodig. We bezoeken Den Haag ongeveer een week nadat bekend raakte dat het Internationaal Strafhof werd gehackt, al wil op moment van schrijven niemand kwijt wie er daar dan van verdacht wordt. In 2018 moest Nederland ook al vier Russen het land uit zetten die van plan waren om het OPWC te hacken, de internationale Organisatie voor het Verbod op Chemische Wapens in Den Haag. “Bij die aanval konden we drie GRU-spionnen oppakken, die op de parking stonden terwijl ze probeerden in te breken op het wifi-netwerk”, zegt Daan Rijnders, Cyber Secure The Hague lead. “Meestal heb je niet de kans om iemand fysiek op te pakken.”
‘Meestal heb je niet de kans om cyberspionnen fysiek op te pakken’
Daan Rijnders, Cyber Secure The Hague lead
Rijnders is een van de mensen achter de securitystrategie van de stad, die er al bij al niet zo heel anders uitziet dan een securitystrategie voor een bedrijf. “Je kan naar een stad kijken als een systeem van mensen, organisaties, infrastructuur en processen, dat door een digitalisering gaat. Welke procedures en technologieën heb je dan nodig om die weerbaar te maken?” Vanuit strategisch opzicht focust Den Haag zich onder meer op kritieke processen in de stad, zoals onderwijs, gezondheid, voedsel, energie en meer. Zo staat er een ‘digital twin’ van de elektriciteitsinfrastructuur van de regio bij de naburige TU Delft. De stad zette zo’n tien jaar geleden ook een Security Delta op, een ecosysteem van organisaties, academici en bedrijven die de stad en de bredere regio beter bestand moeten maken voor cyberaanvallen van buitenaf.
Ngo als doelwit
Maar ook het unieke risicoprofiel van de internationale organisaties in de stad krijgt bij dat alles aandacht. “Wat betekent het om een ‘host’ te zijn voor dat soort organisaties?” vraagt Daan Rijnders. “Veel van de verdragen rond het hosten van een organisatie als het Internationaal Strafhof zijn gebaseerd op conventies van tientallen jaren geleden. Daarin is niets over IT opgenomen.”
Bij de hack van het Internationaal Strafhof wordt op hoog niveau samengewerkt met dienstenleveranciers en bijvoorbeeld de NCSC, de Nederlandse cyberveiligheidsdienst. Maar hoe zit dat bij de kleintjes? Ook ngo’s worden steeds vaker, al dan niet bewust, het doelwit van aanvallen. En laat dat nu net een sector zijn waar er niet geweldig veel geld is voor cyberveiligheid. Interessant genoeg bestaat er een ngo voor dat probleem. “Wij zijn gespecialiseerd in cybersecurity voor ngo’s,” Stéphane Duguin van het CyberPeace Institute (CPI), zelf dus een non-profit uit Genève. Het idee achter de organisatie is om matchmaker te spelen tussen ngo’s en de private sector. “We doen geen incident response, maar helpen hen wel om beter te worden, en eventueel om terug te krabbelen na een crisis. We zoeken cybervrijwilligers die bij ngo’s gaan werken om hun beveiliging naar een hoger niveau te tillen”, aldus Duguin: “Denk aan dingen als wachtwoordbeheer, dark web monitoring en meer. Diensten die ze nodig hebben maar waar ze niet de middelen voor hebben.”
Ook ngo’s moeten hun cyberbeveiliging op orde krijgen, vaak zonder grote budgetten
In Den Haag heeft hij net een partnerschap getekend met de gemeente en DIVD, een Nederlandse ngo van ‘white hat hackers’. “We trainen jonge mensen in vulnerability testing,” legt Victor Gevers, een van de oprichters van DIVD, uit. “We scannen het hele web, en als we kwetsbaarheden vinden bij een ngo, kunnen we dat aan het CPI geven, zodat zij hen daar verder in kunnen ondersteunen.”
De twee werken nu samen met de gemeente Den Haag om een 200-tal ngo’s die daar zijn gevestigd te helpen in de verbetering van hun security. “De DIVD heeft een grote capaciteit om te scannen voor dreigingen, en het CPI heeft de capaciteit om tegen die dreigingen te verdedigen”, aldus Duguin. “Samen kunnen die een end-to-end oplossing bieden die je op commercieel vlak niet zou kunnen kopen, tenzij voor veel geld.”
Rode Kruis
Dat zo’n oplossing nodig is, is wel duidelijk. Begin vorig jaar werd ook het Rode Kruis, toch een van ’s werelds meer bekende ngo’s, aangevallen. Bij de geavanceerde hack van het hoofdkwartier in Genève werd onder meer data van een half miljoen erg kwetsbare mensen buitgemaakt. Maar een aanval kan ook bij kleinere organisaties veel schade aanbrengen. “We hebben contact met een ngo die voedsel naar Afghanistan stuurt,” geeft Duguin als voorbeeld. “Ze werden gehackt net na een inzamelingsactie. Daarbij verloren ze anderhalf miljoen euro op een paar seconden. Dan kan je de boel wel sluiten.”
Het CPI heeft momenteel zo’n 700 vrijwilligers die via bedrijven komen. “We doen de achtergrondcheck van onze vrijwilligers nu op basis van de bedrijven waar ze voor werken”, legt Duguin uit. “Op een bepaald punt hadden we te veel vrijwilligers, en konden we ze niet snel genoeg doorlichten om zeker te zijn dat ze goede bedoelingen hadden. Daarom werken we nu met bedrijven, die hun eigen controlesysteem hebben.” Ook DIVD heeft een honderdtal vrijwilligers, elk gecertificeerde ‘white hat’ hackers.
Samenwerking
Wat bij elk van deze initiatieven nog het meest opvalt is het idee van samenwerking, tussen verschillende overheden, verschillende overheidsinstanties, maar ook privaat-publiek. De Security Delta die de stad weerbaarder moet maken is bijvoorbeeld op zich een cluster van 250 publieke en private partners die samenwerken. Commerciële start-ups zitten er naast academische onderzoeksorganisaties.
“Wat we onder meer leren uit de situatie in Oekraïne, is dat commerciële organisaties veel sneller zijn in het maken van beslissingen bij een crisis,” zegt Hans De Vries, directeur van het NCSC. “De beslissing om te helpen kan dagen duren voor een overheid, maar een bedrijf kan gewoon gaan.” Hij geeft het voorbeeld van Starlink, dat ondertussen door enkele beslissingen van baas Elon Musk het vertrouwen wat is kwijtgespeeld. “Maar in de eerste fase van de oorlog was dat bedrijf cruciaal”, zegt De Vries. “Op dat moment zorgde het voor communicatie die veel heeft gered.” Of hoe ze elk hun eigen sterktes (en zwaktes) hebben.
Knuffel eens een CISO
“Deze aanvallen dragen bij tot de vermoeidheid van de verdediger.” Het is een zinnetje uit de keynote van Katelyn Bailey van Mandiant, dat even blijft hangen. Het sentiment erachter zien we dan ook meermaals terugkomen. De cyberbeveiligers, en dan vooral de CISO’s, zijn moe.
“Alles staat in brand, er zijn veel incidenten, en dat zet ons aan het rennen. En we rennen graag, we houden van security-incidenten, want dat maakt ons belangrijk. Maar we moeten de tijd nemen om te stoppen en na te denken, we moeten van het hamsterwiel af stappen”, zo vat Jaya Baloo, CSO van Rapid7, het samen in een opvallende keynote.
“Je hebt inderdaad een probleem met burn-out in deze sector,” zegt Stéphane Duguin van het Cyber Peace Institute. “Ze hebben een onmogelijke taak. Er zijn zo veel cases en zij moeten daar dan eindverantwoordelijkheid over hebben. De cognitieve ‘load’ is erg hoog.”
Dat geldt al zeker voor ransomware, waarbij het securityteam niet alleen de systemen terug op poten moet krijgen, maar vaak ook nog eens moet onderhandelen met criminelen. “We zien dat de belasting door ransomware groeit”, zegt ook Hans De Vries van NCSC. “De laag die onze maatschappij veilig moet houden staat onder constante stress.”
“Dat is bovendien een van de enige misdaden waarbij het slachtoffer een beetje mededader moet zijn,” zegt Duguin. “Criminelen moeten hen overtuigen, vaak van de andere kant van de wereld, om mee te werken, te betalen en niet naar de politie te bellen om hun systeem terug te krijgen. Dat heeft grote psychologische invloed.”
Als uw eerste reactie bij zo’n uitspraak is ‘met mij zou het niet waar zijn’, dan bent u misschien wel deel van het probleem, zegt Baloo: “Als gemeenschap zijn we heel goed in het beschuldigen en beschamen van anderen.” Ze geeft aan dat bedrijven die een aanval toegeven, vaak reputatieverlies lijden, en met de vinger worden gewezen omdat ze niet genoeg zouden gedaan hebben om die aanval te vermijden. Terwijl ‘responsible disclosure’, het transparant communiceren over kwetsbaarheden en lekken, net een hoeksteen is van wereldwijde security. “Wat betekent transparantie? Als je toegeeft dat je gehackt bent of dat er een lek is, wat zijn daar dan de gevolgen van?,” zegt Baloo. “We hebben meer empathie nodig voor de teams. Ik pleit voor meer mildheid. Als je een CISO in je omgeving hebt, knuffel hen eens. We kunnen allemaal wel meer knuffels gebruiken.”
Fout opgemerkt of meer nieuws? Meld het hier