De helft van de bedrijven in Nederland is jaarlijks te wordt ongeveer getroffen door ransomware. De golf aanvallen met gijzelsoftware is het puntje van een ijsberg, aangezien de meeste organisaties het zoveel mogelijk stil houden wanneer ze hiermee te maken krijgen. Vaak uit schaamte of angst voor reputatieschade. Dat moet anders. We kunnen daarin een voorbeeld nemen aan de luchtvaartindustrie.
Sinds ruim een decennium zijn er in de Verenigde Staten weinig tot geen dodelijke vliegtuigongelukken meer gebeurd. Had je dat midden jaren negentig aan een luchtvaartexpert voorspeld, dan had die je recht in je gezicht uitgelachen. Het was de tijd dat de luchtvaart in de VS werd geplaagd door veelvuldige vliegtuigongelukken waarbij talloze passagiers de dood vonden. Een controversieel idee was uiteindelijk het keerpunt naar een veiliger luchtvaart. Dat idee? Een meldingssysteem waarin iedere betrokkene vrijwillig en straffeloos incidenten kon rapporteren. Sterker, ‘klokkenluiders’ kregen een schouderklopje wanneer ze fouten onthulden. Wanneer het management die fouten vond en de betrokken werknemer had dit niet gemeld, dan liep hij of zij het risico de baan te verliezen. Wij kunnen op het vlak van ransomware veel leren van een dergelijk systeem.
Vertrouwelijke meldingen
Destijds zeiden experts dat ongelukken eigenlijk nooit helemaal te voorkomen zouden zijn. Dat roepen we nu als securitybranche ook. Je kunt je nog zo goed beschermen als organisatie, maar honderd procent veilig ben je nooit. Waarom niet leren van industrieën die al veel verder zijn? De aanpak in de Amerikaanse luchtvaartindustrie was in basis eenvoudig, maar buitengewoon moeilijk uit te voeren, omdat er een ongekend niveau van vertrouwen tussen de deelnemers nodig was. Alle betrokkenen, van vertegenwoordigers van luchtvaartmaatschappijen en piloten tot grondpersoneel en onderhoudsmonteurs kwamen, in eerste instantie met lichte tegenzin, overeen om informatie met elkaar en met de regering te delen over mogelijke gevaren en bijna-ongelukken. Die samenwerking was afhankelijk van de toezegging dat te goeder trouw gemaakte fouten en overtredingen van de procedures niet zouden worden bestraft. Iedere dode is er één te veel en de luchtvaartsector in de VS is zich ervan bewust dat er altijd werk te doen blijft. Het vertrouwen van het publiek komt immers te voet en gaat te paard. Daaruit blijkt dat wij op het gebied van cybersecurity een stuk ambitieuzer mogen zijn dan nu.
Vrijwillige rapportage
De kans op een vliegtuigongeluk is afgenomen van een op twee miljoen naar een op 120 miljoen, volgens een recent artikel in The Wall Street Journal. Dat komt doordat de technologie verbeterd is, er veel geautomatiseerd is in de cockpit, personeel steeds beter wordt getraind en de veiligheidsprocedures worden geoptimaliseerd. In landen buiten de VS nam de afgelopen jaren het aantal nieuwe-generatievliegtuigen ook toe, maar daar werd die vrijwillige rapportage niet omarmd. Opvallend is dan ook dat, hoewel de veiligheidscijfers in andere landen wel zijn verbeterd, die bij lange na niet zo goed zijn als in de VS. Dat meldingssysteem is de succesfactor. Overheidsinstanties kunnen door dat systeem samen met industrie-experts tienduizenden rapporten per jaar analyseren. Uiteindelijk worden deze analyses omgezet in veiligheidsverbeteringen gebaseerd op data en vrijwillig toegepast door de industrie. Juist dat vrijwillige karakter, en niet de overheid die regels en richtlijnen oplegt, is een interessant gegeven. Sommige verbeteringen waren simpel, bijvoorbeeld door crew-leden fysiek meters en instrumenten te laten aanwijzen, waarbij hardop de informatie werd uitgelezen om zeker te zijn dat de juiste informatie was ingevoerd. Dit soort laaghangend fruit ligt ook binnen de cybersecurityindustrie voor het oprapen.
Een ander groot voordeel van een vrijwillige meldingssysteem op basis van incidenten is dat het continu in ontwikkeling is. Ik heb altijd wat moeite met de term ‘best practices’. De ontwikkelingen in onze cyberwereld gaan zo hard, dat we beter kunnen spreken van ‘better practices’. Het is onze taak als industrie om continu te analyseren wat betere maatregelen zijn, waar verbeteringen en oplossingen mogelijk zijn en continu te blijven leren van wat er gebeurt in de echte wereld.
Morele plicht
Ik pleit dan ook voor vergelijkbare openheid op het gebied van ransomware-aanvallen en andere impactvolle cyberincidenten. Vooral gemeenten geven nu openheid van zaken, en eerder zagen we de Universiteit van Maastricht hetzelfde doen. Maar commerciële bedrijven zijn huiverig om toe te geven dat ze slachtoffer zijn geworden van ransomware. Daarmee houden ze de weg naar bescherming voor anderen gesloten. Organisaties, publiek én privaat, hebben de morele verplichting om incidenten te melden. Minimaal anoniem. En daarbij moeten we proberen om te komen tot een systeem waarbij betrokkenen uit intrinsieke motivatie misstanden of bedreigingen kunnen melden, omdat ze op die manier kunnen en willen bijdragen aan een veiliger digitaal Nederland.
Ik wil benadrukken dat we daarbij toe moeten naar een situatie waarbij álle betrokken partijen gaan melden. Niet alleen het slachtoffer zelf, maar ook het cybersecuritybedrijf dat het heeft opgelost, de it-partner, het management en de it-afdeling. Hoe meer holistisch dit aangepakt wordt, des te beter het beeld dat ontstaat.
Nadenken over model
De implicaties van een vliegtuigongeluk zijn wat dodelijke slachtoffers betreft, vele malen groter dan een ransomware-aanval. Toch viel vorig jaar het eerste dodelijke slachtoffer door cybercrime, in een Duits ziekenhuis, en zien verschillende ziekenhuizen in Ierland zich momenteel genoodzaakt om behandelingen van patiënten te annuleren door een ransomware-aanval. Een aantal weken geleden werden de Ierse ziekenhuizen gedwongen veel van hun computers uit te schakelen nadat hackers toegang hadden gekregen tot de systemen, de patiëntengegevens hadden gecodeerd zodat ze ontoegankelijk waren en betaling eisten om de bestanden te ontsluiten. Voor sommige ziekenhuizen was dit zo verlammend dat zij consulten van kankerpatiënten moesten annuleren en te maken hebben met ontregelde radiologie- en diagnosesystemen.
Cybercrime dringt steeds verder en dieper in onze samenleving door. Het is een kwestie van tijd tot het daadwerkelijk op grotere schaal levens gaat kosten. We moeten nú kijken naar een manier of model om vrijwillige meldingen mogelijk te maken, zodat andere organisaties daarmee geholpen zijn. Hoe dat model in elkaar zou moeten zitten, dat weet ik op dit moment ook niet, maar we moeten daar als branche, als bedrijfsleven, als Néderland over nadenken met elkaar.
Ik roep iedereen die met een mening hierover op om die te delen zodat we met elkaar in gesprek kunnen en kunnen werken aan zo’n vrijwillig meldingssysteem voor cyberincidenten.
Auteur: Dave Maasland, directeur Eset Nederland
