De grootschalige cyberaanval die sinds vrijdagavond in meer dan honderdvijftig landen computers heeft besmet met ransomware, heeft in Nederland nauwelijks gevolgen gehad. Directeur Patricia Zorko van het Nationaal Cyber Security Centrum zegt tegen de NOS dat het waarschuwingssysteem goed heeft gewerkt en dat Nederland er daarom relatief goed vanaf is gekomen. Op internationaal vlak, beschuldigt ict-gigant Microsoft de NSA ervan om een eerder lek te hebben verzwegen. Als de NSA daar wel ruchtbaarheid aan had gegeven, was de cyberaanval mogelijk te voorkomen geweest, meent het bedrijf.
In Nederland werden alleen betaalautomaten van parkeergarages van Q-Park getroffen door de cyberaanval. Het NCSC heeft vooralsnog geen meldingen gekregen van hacks bij andere bedrijven, ook niet op deze maandagochtend waarbij veel netwerken worden ingeschakeld.
Zorko benadrukt dat bedrijven alert moeten blijven op een aanval. ‘Want helemaal honderd procent risicovrij zijn wij hier ook niet’, zegt ze in het NOS Radio 1 Journaal. Het Nationaal Cyber Security Centrum is zelf ook alert op nieuwe aanvallen of varianten van het virus.
De aanval van afgelopen weekend heeft wereldwijd naar schatting 200.000 computers getroffen. Daaronder waren systemen van Britse ziekenhuizen en nutsbedrijven in onder meer Spanje en Rusland. Ook in Azië waren er tienduizenden hacks. In China zijn enkele grote universiteiten getroffen, evenals geldautomaten en betaalsystemen bij bedrijven. In Zuid-Korea zijn negen aanvallen gerapporteerd.
Kaspersky rapporteerde afgelopen zaterdag dat het om 45.000 aanvallen in 74 verschillende landen gaat in met name Rusland. Nederland komt niet in de top twintig voor. Gartner spreekt vandaag van 150 getroffen landen, een verdubbeling van het door Kaspersky genoemde aantal staten.
Het NCSC waarschuwde in maart en april al voor aanvallen met ransomware. ‘We werken goed samen met het bedrijfsleven en alle overheden’, zegt Zorko daarover. ‘De politie is ook alert. Dat heeft ervoor gezorgd dat we de eerste klappen konden opvangen.’
Lessen trekken
Volgens Eric Primus, salesdirecteur bij VanRoey.be, toont de aanval het belang van een up-to-date it-omgeving. ‘Zo’n hack is te voorkomen wanneer de it-omgeving up-to-date is en de juiste securitymaatregelen zijn geïnstalleerd. Maar naast de technologie, is ook veilig online-gedrag belangrijk. Medewerkers zijn een zwakke schakel, zij klikken immers op de onbetrouwbare bijlage.’
Primus waarschuwt ook voor de potentiële ‘monsterboete’ die bedrijven riskeren wanneer de GDPR per volgend jaar van kracht is. ‘Deze wet verplicht bedrijven om technologie in te zetten om data te beschermen en verplicht bedrijven om klanten te melden als hun dat op straat is gekomen. De reputatieschade die bedrijven hiermee kunnen oplopen, is enorm.’
Privileged accounts
‘Ransomware blijft evolueren en er verschijnen steeds nieuwe varianten die meer kunnen dan alleen het blokkeren van data op computers’, vertelt Gerrit Lansing, chief architect bij CyberArk. ‘Cybercriminelen zoeken een bredere toegang om ook het netwerk te blokkeren. Hierdoor maakt het niet uit op welke computer de aanval is gericht, terwijl de aanval potentieel veel schade kan aanrichten.’
Ook proberen cybercriminelen via privileged accounts de back-ups van bedrijven te vernietigen, met de bedoeling te voorkomen dat organisaties de back-ups aanspreken om het effect van een aanval te neutraliseren. ‘In dat geval moet een bedrijf kiezen voor dataverlies of het betalen van het losgeld. Dit betekent dat enkel back-ups niet meer voldoende veiligheid bieden.’ Lansing adviseert daarom om te focussen op de beveiliging van deze privileged accounts.
Beschuldiging Microsoft aan adres NSA
De Wannacry-ransomware maakt gebruik van een lek dat door de Amerikaanse geheime dienst NSA is ontdekt. Het gaat om een beveiligingsprobleem dat door de NSA is benut om verdachten te hacken. Doordat de geheime dienst het stilhield, bleven echter ook computers van onschuldige burgers en organisaties kwetsbaar voor aanvallen. Microsoft beschuldigt nu de NSA van het stilhouden van dit lek, waardoor volgens de ict-gigant erger voorkomen had kunnen worden.
Vorige maand lekte een pakket digitale wapens van de NSA uit, waar het bewuste lek onderdeel van was. Onderzoekers vreesden toen al dat kwaadwillenden de wapens zouden misbruiken. Hoewel het probleem door Microsoft inmiddels is gedicht, zijn bedrijven en consumenten die hun computer niet hebben bijgewerkt nog steeds kwetsbaar.
Microsoft is niet blij dat de NSA het lek onder de pet heeft gehouden. Daardoor werd het beveiligingsprobleem niet eerder opgelost. ‘Dit toont het gevaar aan als overheden beveiligingsproblemen verzamelen. Overheden wereldwijd zouden dit als een wake-up call moeten zien en beter moeten nadenken over hoe ze digitale wapens gebruiken’, zegt Microsoft.
AIVD
In Nederland verzamelt de AIVD beveiligingsproblemen in software om doelwitten te hacken. Het kabinet wil nu dat ook de politie de bevoegdheid krijgt om verdachten te hacken. Binnenkort buigt de Eerste Kamer zich daarover. Critici vrezen evenwel dat door de politie verzamelde lekken door kwaadwillenden zijn te misbruiken, zoals nu gebeurde bij de NSA.
Op 14 februari 2017 stemde de Tweede Kamer in met het wetsvoorstel van de nieuwe wet op de veiligheids- en inlichtingendiensten. Het voorstel breidt de bevoegdheden van de diensten uit en maakt het mogelijk grootschalig en ongericht internetverkeer te verzamelen en te doorzoeken. Ook voorziet de wet in de optie om apparatuur van personen te hacken om zo toegang te krijgen tot apparatuur van concrete doelwitten. Gegevens die relevant zijn, mogen tot drie jaar worden bewaard.
Volgens het kabinet is de wet nodig om de geheime diensten hun taken goed te kunnen laten uitvoeren. Critici, waaronder de privacy-lobbyisten van Privacy First, waarschuwen voor een ‘sleepnet’, waarmee veel gegevens zijn te onderscheppen.
De Eerste Kamer is nu aan zet. Zodra zij instemt, is de wet zo goed als aangenomen. Privacy First verwacht dat de toetsing door de Eerste Kamer alsnog zal leiden tot verwerping van het wetsvoorstel. ‘Mocht echter ook de Eerste Kamer besluiten om het huidige wetsvoorstel goed te keuren, dan zal Privacy First dit bij de rechter aanvechten en het wetsvoorstel onrechtmatig laten verklaren wegens massale schending van het recht op privacy. De eerste oriënterende gesprekken tussen Privacy First en relevante advocatenkantoren zijn daartoe reeds gepland’, stelde de privacy-club begin dit jaar.
Discusseer mee!
Patchen na verloop van tijd is passé, dat maakt ransomware WannaCry nu wel duidelijk. Discussieer mee met de discussie-stelling van vandaag.