WannaCry: Kroniek van een aangekondigde cybercrisis?

Onlangs mocht ik spreken op het iBestuur symposium in Den Haag met als thema 'Grip op Cybersecurity'. Mooie timing natuurlijk, ruim een week na de breed uitgemeten uitbraak van de WannaCry ransomware. Samen met onder ander Rob Bertholee (AIVD), Gerrit van den Burg (Openbaar Ministerie) en Jaya Baloo (KPN) deelde ik mijn visie op cybersecurity met de 250 aanwezigen. En natuurlijk kwam WannaCry diverse keren ter sprake. Wat me opviel is dat de meeste aanwezigen het met elkaar eens zijn over de risico's en wat er moet gebeuren. Maar tegelijk bekruipt me het gevoel dat we er wel over praten, maar niet daadwerkelijk doen wat nodig is om de dreiging af te weren. Dat deed mij denken aan een prachtig boek van de Colombiaanse schrijver Gabriel Garcia Marques. Een boek met helaas geen happy end...

Kroniek van een aangekondigde dood

Het vakgebied cybersecurity is nog jong en we hebben nog veel te leren. Het is mijn ervaring dat we veel kunnen leren van andere werkgebieden, bijvoorbeeld van literatuur. Het boek zonder happy end waar de WannaCry uitbraak mij aan deed denken is 'Kroniek van een aangekondigde dood'.

Het verhaal komt er in het kort op neer dat de hoofdpersoon vermoord wordt wegens eerwraak. Het lot van de hoofdpersoon wordt al in de eerste zin van het boek uit de doeken gedaan en de rest van het boek is een terugblik op de 24 uur in de aanloop naar de moord. In die 24 uur vertellen de moordenaars aan iedereen die het maar horen wil wat hun plannen zijn. Maar om uiteenlopende redenen doet uiteindelijk niemand iets om de moord te voorkomen. Ze weten het, ze praten erover met elkaar, maar uiteindelijk doen ze niet wat nodig is om het noodlot te voorkomen.

Mijn grote zorg is dat we in cybersecurity eigenlijk precies hetzelfde doen. En dat we daardoor te maken hebben met een ‘Kroniek van een aangekondigde cybercrisis’. De WannaCry uitbraak had die crisis kunnen zijn, maar gelukkig werd de aanval tijdig tot stilstand gebracht door een slimme onderzoeker die een zwakke plek in de malware ontdekte. Daardoor liep het met een sisser af. Maar het grote risico is dat we daardoor WannaCry snel vergeten, in plaats van het een alarmbel te laten zijn om maatregelen te treffen die een volgende crisis kunnen voorkomen.

Onze zwakke plekken zijn bekend

We kunnen ook daadwerkelijk actie ondernemen, want eigenlijk weten we heel goed wat ons te doen staat. Onze zwakke plekken zijn bekend. Niet dat het makkelijk is om ze op te lossen, maar dat neemt niet weg dat we het wel moeten doen.

De oorzaken van WannaCry’s succes vallen grosso modo in twee categorieën uiteen. Enerzijds oorzaken die moeilijk te beheersen zijn, zoals steeds professioneler opererende cybercriminelen die ‘Ransomware As A Service’ laagdrempelig en op maat aanbieden, inclusief een kant en klaar verdienmodel. Anderzijds oorzaken die u zelf in de hand heeft, zoals achterstallige patches en de afwezigheid van een incident response- en crisisplan. En dat zijn allemaal uitdagingen die niet nieuw zijn en waar al bewezen remedies tegen bestaan.

Hoog tijd in actie te komen

De genoemde zwakheden in beveiliging die de WannaCry aanval mogelijk maakten zijn goed te bestrijden. Maatregelen die organisaties moeten nemen zijn in elk geval:

• Goed inrichten van asset management en patch management om kwetsbaarheden in software snel te kunnen dichten. Liefst in de vorm van permanent vulnerability management om patch-achterstanden automatisch te identificeren met geavanceerde tooling en coördineren van het oplossen van kwetsbaarheden.
• Veilig configureren van systemen en het niet onnodig openstellen van protocollen naar het internet.
• Opstellen van incident- en crisismanagement plannen en processen om in geval van een aanval snel en effectief op te kunnen treden.

Deze maatregelen dragen bij aan het voorkomen van een aanval. Maar ze kunnen een aanval nooit helemaal uitsluiten, want de ervaring leert dat 100% veilig niet bestaat. En daarom is het cruciaal om hieraan één technologisch ingrediënt toe te voegen: Next generation end-point security.

Bestaande anti-malware oplossingen, gebaseerd op signatures en bijvoorbeeld sandboxing-technologie, zijn niet meer afdoende tegen de nieuwste vormen van malware, waaronder ransomware. De razendsnelle innovaties in cybercrime kunnen alleen maar passend worden beantwoord met steeds vooroplopende innovatie in beveiliging. Nieuwe oplossingen voor de bescherming van computers en devices, aangeduid als Next generation end point security, biedt wel goede bescherming tegen nieuwe ransomware aanvallen. Een mooi voorbeeld daarvan waar wij binnen CGI goede ervaringen mee hebben is SentinelOne.

Voorkom de aangekondigde cybercrisis

U kunt dus daadwerkelijk iets doen tegen ransomware aanvallen. Het is nu zaak om in actie te komen en te voorkomen dat u slachtoffer wordt van de volgende grote ransomware aanval. En leest u vooral de Kroniek van een aangekondigde dood van Garcia Marquez, hopelijk inspireert het u ook om in actie te komen om een cybercrisis af te wenden.