Terwijl de wereld toekijkt naar de ontwikkelingen in Oekraïne, slapen cybersecurityprofessionals met één oog open. Want vanaf het moment dat Rusland troepen verzamelde aan de Oekraïense grens, intensiveerden de Russische cyberaanvallen op het land.
Zo vond er medio januari een defacement plaats van Oekraïense overheidswebsites, in combinatie met een wisseraanval die de securityindustrie later Whispergate heeft genoemd. En halverwege februari werden Oekraïense bank- en overheidswebsites het doelwit van een grootschalige ddos-aanval van de Russische militaire inlichtingendienst.
Kortom, sinds het begin van de oorlog zijn talloze incidenten vastgesteld, waardoor organisaties zich moeten voorbereiden op de mogelijkheid van Russische aanvallen op andere landen, zoals Nederland. Hoe bereid je je hier – zo goed en zo kwaad als dat kan – op voor?
Niet nieuw
De Russische cyberdreiging is niet nieuw. Rusland heeft een lange geschiedenis van cyberoperaties tegen Oekraïne. Deze begonnen in navolging van de Euromaidan-protesten eind 2013. De cyberantagonist Voodoo Bear, oftewel Unit 74455 van de Russische militaire inlichtingenoperatie, was een belangrijke aanjager van deze aanvallen. Met als doel om het vertrouwen van Oekraïners in de overheid en industriesectoren te verminderen. Uiteindelijk was Voodoo Bear verantwoordelijk voor verstoringen in de kritische infrastructuur van Oekraïne, die zowel in december 2015 als 2016 voor stroomuitval zorgden. Activiteiten van de groep zorgden bovendien voor grote internationale bezorgdheid toen een op Oekraïne gerichte supplychainaanval resulteerde in de verspreiding van NotPetya–malware. NotPetya veroorzaakte naar schatting tien miljard dollar aan schade en had gevolgen voor bedrijven en openbare diensten over de hele wereld.
E-crime-groepen
Ook bij de huidige oorlog is het criminele ecosysteem van cyberdreigingen betrokken. Direct na de Russische invasie begonnen e-crime-groepen, die normaal gezien focussen op financieel gewin, op de oorlog te reageren. Sommigen leken de Russische staatsbelangen direct te ondersteunen, zoals Wizard Spider, een tegenstander die in 2016 opdook met hun Trickbot-malware en meer recentelijk in verband is gebracht met ransomewareoperaties. De groep kondigde zijn volledige steun aan voor de Russische regering met de bereidheid om wraak te nemen op vijanden.
Vier punten
Het mag duidelijk zijn dat de oorlog in Oekraïne niet alleen fysiek plaatsvindt en dat de cyberaanvallen zich niet uitsluitend beperken tot Oekraïne. Zelfs met voldoende bewustzijn, nieuwe middelen en ondersteuning moet je continu op zoek blijven naar de best practices voor cybersecurity. Dit is een ‘last mile-probleem’ dat niet alleen door beleidsinitiatieven is op te lossen. Daarom doe je er als cybersecurityprofessional goed aan om in jouw organisatie in ieder geval te zorgen voor de volgende vier punten:
- Bouw relaties op met wetshandhavings- of binnenlands veiligheidspersoneel die kunnen helpen in het geval er een incident plaatsvindt. Denk bijvoorbeeld aan een samenwerking met het Nationaal Cyber Security Centrum (NCSC) door je aan te sluiten bij het Landelijk Dekkend Stelsel (LDS);
- Investeer in kennis en gespecialiseerde medewerkers op het gebied van cybersecurity. Zorg dat er een plan klaarligt voor incidentenrespons. Heb je deze kennis niet in huis? Werk dan samen met gekwalificeerde incidentresponsleveranciers;
- Zorg ervoor dat je de basismaatregelen die het NCSC heeft opgesteld om weerbaar te zijn tegen cyberaanvallen hebt doorgevoerd. Dit omvat het gebruik van moderne IT-beveiligingstools en -concepten zoals multifactorauthenticatie en Endpoint Detection and Response (EDR), voldoende logging van informatie vanuit applicaties en systemen, het segmenteren van netwerken, opslagmedia met gevoelige bedrijfsinformatie versleutelen, regelmatig backups maken en proactief zoeken naar bedreigingen binnen je netwerken;
- Maak waar mogelijk en van toepassing gebruik van gespecialiseerde tools en mogelijkheden die nodig zijn voor operational technology (ot)-beveiliging.
Alert blijven
Buiten Oekraïne was de Russische cyberactiviteit tot nu toe bescheiden in vergelijking met wat we aanvankelijk voorzagen. Dit kan echter op elk moment veranderen. Er zijn aanwijzingen dat Rusland agressiever zou kunnen worden als vergelding voor de buitenlandse steun aan Oekraïne en de sancties tegen Rusland. Als operator moet je dus alert blijven en op ieder moment voorbereid zijn op een aanval die jou deze keer treft.
(Auteur Adam Meyers is svp intelligence bij CrowdStrike.)
