Nu was het WannaCry, volgende keer InTears?
Afgelopen weekend was er wereldwijd veel ophef over een ransomware-aanval met de veelzeggende naam WannaCry. De malware verspreidde zich razendsnel via bedrijfsnetwerken. Getroffen bedrijven konden tegen betaling van $300 aan bitcoins de sleutel krijgen om hun gegijzelde bestanden weer te decrypten. De aanval werd min of meer per toeval een halt toegeroepen. Voor nu, want een nieuwe versie van de malware is alweer in omloop. De maatregelen om dit soort aanvallen te voorkomen zijn niet nieuw. Het is hoog tijd dat ze genomen worden.
Meer geluk dan wijsheid
De impact van WannaCry had veel groter kunnen zijn. Een anti-virusonderzoeker stuitte per toeval op een ‘killswitch’ die de malware lam legde. De makers hadden namelijk een slimmigheidje ingebouwd om te voorkomen dat het virus in een beveiligde omgeving geanalyseerd kon worden. De software checkte een niet bestaande domeinnaam en afhankelijk van de respons kon het zien of het op het een echte PC draaide, of in de beveiligde omgeving van een onderzoeker. Toen een anti-virusonderzoeker de domeinnaam registreerde, schakelde het virus zichzelf uit. De verspreiding van WannaCry werd daarmee min meer per toeval gestopt. Maar het gevaar is allesbehalve geweken. Een nieuwe versie zónder killswitch is al gesignaleerd.
De juiste informatie op de juiste plek
WannaCry maakt gebruik van bekende kwetsbaarheden in software om systemen en netwerken te infecteren. Bedrijven hebben nu een beperkt tijdsvenster om de nodige updates te draaien en deze kwetsbaarheden te dichten, voordat een nieuwe variant toeslaat. Maar eigenlijk had het lek al veel eerder gedicht moeten zijn. De patches daarvoor waren al lang beschikbaar.
Bedrijven die onderdeel zijn van de vitale infrastructuur hebben het Nationaal Cyber Security Centrum (NCSC) om ze te ondersteunen bij het dichten van dit soort lekken. Maar zo’n digitale brandweer is er voor de 98% overige bedrijven niet. Nederland ICT riep het ministerie van EZ afgelopen zomer al op tot het financieren van een Digital Trust Center (DTC). De benodigde investering hiervoor is er tot nu toe niet gekomen. Een DTC kan fungeren als brede variant van het NCSC en zorgen dat de juiste informatie op de juiste plek komt. Organisaties als FME en VNO-NCW hebben deze oproep ook gedaan. Een DTC zal voor het nieuwe kabinet dan ook hoog op de prioriteitenlijst moeten staan.
Zero days niet verborgen houden
De gebruikte exploit door WannaCry is een door de NSA ondekt lek. De geheime dienst heeft de exploit niet gemeld bij de maker van de software, maar verborgen gehouden om het te gebruiken voor eigen doeleinden. De hacking-tools van de NSA werden echter gestolen en een maand geleden openbaar gemaakt, waarmee de exploit vrij te gebruiken is voor cybercriminelen wereldwijd. Zo kan het gebeuren dat een zero day van de NSA wordt gebruikt om Nederlandse parkeergarages onbruikbaar te maken.
Dit is precies waar veiligheidsexperts al jarenlang voor waarschuwen. Ook Nederland ICT heeft het belang van het melden van zero days herhaaldelijk bij beleidsmakers aangekaart. Toch heeft de regering aangeven het gebruik van commerciële zero days niet uit te sluiten. Het gaat dan om kant-en-klare hacksoftware voor politie en opsporingsdiensten. De gebruikte zero days in deze software zijn niet bekend bij de overheid, of mogen niet gemeld worden vanwege contractuele verplichtingen. De overheid houdt hiermee een ongewenste markt voor kwetsbaarheden in software in stand. De Wet computercriminaliteit III, waarin het gebruik van zero days geregeld wordt, is vorig jaar aangenomen en gaat binnenkort naar de Eerste Kamer.
Cybersecurity kost geld
De meest prominente slachtoffers van WannaCry zijn Britse ziekenhuizen. Deze blijken met sterk verouderde software te werken, waardoor ze extra kwetsbaar zijn voor dit soort aanvallen. Vanwege een gebrek aan middelen hebben ze hun systemen nooit bijgewerkt. Het aantal getroffen organisaties in Nederland lijkt sterk mee te vallen. Toch is het niet ondenkbaar dat een nieuwe aanval ook hier grote impact heeft. Neem bijvoorbeeld de gemeente Rotterdam. Eerder dit jaar lekte uit dat de veiligheid van de ICT in deze gemeente aan alle kanten rammelt. Een van de redenen is een gebrek aan middelen.
Nederland ICT raadt bedrijven al jaren lang aan om een vast deel van hun ICT-budget te reserveren voor digitale veiligheid – als vuistregel noemen we 10 procent. Bovendien moet cybersecurity niet als sluitpost worden gezien, maar van begin af aan worden meegenomen. Dit is nog lang niet altijd gebruikelijk, zo horen we keer op keer uit de praktijk. Ook bij de overheid valt er nog veel te winnen op dit gebied. Bij aanbestedingen is cybersecurity vaak geen onderdeel van de opdracht.
De bewustwording over het belang van cybersecurity is er, de te nemen maatregelen zijn bekend, het lijkt alleen nog te ontbreken aan een gevoel van urgentie. Laten we daarom hopen dat WannaCry voor bedrijven en overheid een wake-up-call was, zodat we de volgende keer niet echt in tranen zullen zijn.
