Onder andere door COVID-19 is de digitale transformatie van onze maatschappij significant versneld. We zijn massaal en verplicht gaan telewerken en ook het online shoppen nam exponentieel toe in deze periode. Onze menselijke contacten zijn sterk gereduceerd en bedrijven springen versneld op de kar van de digitale economie.

De razendsnelle adoptie van Smartphone-technologie, de massale migratie naar de Cloud en binnenkort een performant 5G netwerk bieden ongeziene nieuwe – persoonlijke en professionele – mogelijkheden met zich mee in informatiecommunicatie en -beheer. Succesvolle bedrijven zullen hun businessmodellen aanpassen en toegang krijgen tot alsnog onbereikbare markten en groei.

De digitale revolutie is nog maar net begonnen, maar waar we ook naartoe evolueren, de criminaliteit zal ons volgen. Reeds enkele decennia zien we hoe computercriminaliteit een alsmaar groter aandeel in het totale plaatje inneemt. Het aantal destructieve ransomware aanvallen neemt exponentieel toe. Ondanks het ontbreken van betrouwbare cijfers is het duidelijk dat de uitbetaalde bedragen en de totale schade alsmaar groter worden. Bovendien melden bedrijven incidenten meestal niet aan de officiële instanties omdat ze niet geloven dat die zullen kunnen helpen, of omdat ze vrezen dat de hacking publiek zal worden gemaakt met een nog grotere reputatieschade tot gevolg.

Volgens Verizon zijn 43% van de slachtoffers kmo’s. Een studie van de University of Maryland geeft aan dat hackers wereldwijd meer dan 2.000 aanvallen uitvoeren per dag. Kaspersky merkt op dat 93% van de bedrijven meent dat hun cyberveiligheid onvoldoende is.

Cyberaanvallen en ransomware in het bijzonder worden een bedreiging voor de wereldeconomie.

In mei 2021 leidde een ransomware aanval op de Colonial Pipeline ertoe dat ze haar 5.500 mijl lange pijplijn moest afsluiten, waardoor er in het zuidoosten van de Verenigde Staten brandstoftekorten ontstonden. Veel tankstations in Washington D.C. zaten gedurende dagen zonder brandstof.

De aanval die Colonial Pipeline lamlegde is slechts het topje van de ijsberg

De “epidemie” van ransomware heeft geleid tot de beslissing in de Verenigde Staten om van Cyberveiligheid een absolute topprioriteit te maken.

De cybercrime economie

Cybercriminelen hebben vaak hun eigen specialisaties en verkopen hun diensten. Goed georganiseerde en professionele hackersgroepen ontwikkelen producten en diensten die ze tegen betaling aanbieden op het Dark Web, het deel van het internet dat niet via zoekmachines zoals Google en Bing te vinden is.

Om in een bedrijfssysteem in te breken zijn er over het algemeen twee invalshoeken. Ofwel stuurt de aanvaller een phishing bericht met als doel login-gegevens te stelen, ofwel zoekt hij een kwetsbaarheid om een “exploit code” programma te schrijven en te verkopen. Dit klinkt zeer ingewikkeld maar is het eigenlijk niet. Iets meer uitleg.

Phishing berichten kunnen zeer algemeen of gericht naar één doel gestuurd worden (spearphishing). Een nietsvermoedende burger ontvangt een bericht met een link en wordt vervolgens uitgenodigd om in te loggen. De aanvaller steelt zo zijn login-gegevens en biedt deze op het Dark Web te koop aan, zonder ze zelf te gebruiken. Een andere specialiteit is om een te compromitteren systeem te vinden en daar een backdoor of web shell op te installeren. Zo’n web shell is een stuk code, of programma dat, eenmaal geïnstalleerd op een server, de aanvaller nadien altijd de mogelijkheid biedt om terug toegang tot dat systeem te krijgen, ook als de wachtwoorden van het systeem door de gewone beheerder worden gewijzigd.

Aanvallers kunnen binnendringen in een systeem en zo’n backdoor installeren op basis van opgemerkte kwetsbaarheden in het systeem van het slachtoffer. Die toegangen worden eveneens te koop aangeboden.

Dagelijks worden er door onderzoekers of computer-experten een vijftigtal nieuwe kwetsbaarheden gemeld op het internet. Hackers analyseren deze kwetsbaarheden en ontwikkelen programma’s waarmee ze via die kwetsbaarheid relatief eenvoudig toegang kunnen bekomen tot een kwetsbaar systeem. Deze “exploit code” wordt te koop aangeboden en kan gebruikt worden op elk systeem dat nog geen veiligheidsupdate gekregen heeft en zo nog geen “patch” of afdichting voor de kwetsbaarheid doorvoerde. Websites zoals vuldb.com geven een overzicht van de laatst gevonden kwetsbaarheden en een schatting van de prijs van een exploit. Elke kwetsbaarheid krijgt een “Common Vulnerabilities and Exposures (CVE)” nummer. Meestal een andere criminele groep zal dan kwetsbare systemen zoeken en de exploit gebruiken om bijvoorbeeld een web shell te installeren. Deze worden dan eveneens te koop aangeboden. Via websites zoals shodan.io kan je zoeken op “vuln:CVE-2021-26855” en krijg je alle kwetsbare Microsoft Exchange e-mail servers ter wereld.

Ongeacht hoe de toegang tot het systeem is bekomen, wordt vervolgens in het systeem binnengedrongen en grondig in kaart gebracht. Deze fase kan weken duren en verloopt meestal geheel onopgemerkt en laat de aanvaller toe om zijn finale aanval goed voor te bereiden. Als alle middelen klaar zijn wordt de aanval uitgevoerd en wordt eerst zoveel mogelijk gevoelige informatie gestolen om vervolgens een ransomware te installeren. Deze laatste zal alle beschikbare gegevens en back-ups vercijferen. Dan wordt een bericht achtergelaten met de vraag om een groot bedrag te betalen om de ontcijferingssleutel te krijgen. Wie niet wil betalen krijgt, om de druk wat op te voeren, een tweede bericht met een overzicht van de gestolen informatie.

De verschillende fases worden vaak door verschillende groepen uitgevoerd, al dan niet van andere organisaties tegen betaling. Gezien het professionalisme en de gedrevenheid van de hackers zijn de winsten vaak zeer groot en door het anonieme karakter van het internet is de pakkans klein.

Wie een tijdje in dit domein rondneust is snel verbaasd hoe eenvoudig een standaard aanval kan worden opgezet en uitgevoerd. Zo ontdekte het CCB in 2020 een lijst van meer dan 100.000 gecompromitteerde webservers en zag hoe de hackers soms tot meer dan 1.000 nieuwe servers op één dag konden binnendringen en een web shell installeren.

Cybersecurity experten zijn vaak verbaasd als ze de consternatie zien bij slachtoffers van phishing berichten. Wie heeft ooit beweerd dat je zeker bent van de afzender van een e-mail bericht of dat je zeker mag zijn dat het effectief een medewerker van Microsoft is die je aan de lijn hebt? Die garanties zijn in de meeste van onze communicatiesystemen gewoon nooit ingebouwd, en toch vertrouwen we ze elke dag.

Hoe het internet in de toekomst voldoende veilig houden?

Als we het internet een veilige plaats willen houden dan zullen we meer diensten moeten integreren met onze digitale identiteit. Net zoals onze maatschappij kan ook een vrij en open internet moeilijk overleven zonder regels en zonder identiteit. Daarom dat de nieuwe tendens is om Zero Trust beveiligingssystemen te implementeren in bedrijfskritische netwerken.

Stel dat je kan kiezen om met een opgegeven naam of met een e-ID (zoals Itsme) in te loggen op je berichtensystemen zoals e-mail en andere. Dan kan je bij elk bericht zien of de identiteit onzeker (zelfverklaard) dan wel bevestigd is. We zullen snel begrijpen dat we enkel berichten met een bevestigde identiteit kunnen vertrouwen. Zo maken we het criminelen veel moeilijker om ons in de luren te leggen.

Het is momenteel heel moeilijk om te zien of een website wel te vertrouwen is. Het certificaat teken of slotje toont enkel aan dat de communicatie met de website vercijferd wordt. Deze beveiliging van de communicatie is uiteraard zeer goed, maar zegt niets over de verantwoordelijke uitgever. Het slotje kan dus een vals gevoel van veiligheid geven. Een website van een bank kopiëren en daar een gratis certificaat op plaatsen is kinderspel. Daarom onderzoekt het CCB of het mogelijk is om een plug-in te maken voor de voornaamste browsers, die zichtbaar maakt wanneer een website een identificeerbare en geverifieerde verantwoordelijke uitgever heeft. Veiligheid gaat samen met verantwoordelijkheid en die kan enkel gecontroleerd worden als de identiteit van de afzender van een bericht of van de uitgever van een website te achterhalen valt of als ik als bezoeker van een website duidelijk kan zien dat dit niet zo is.

Een nog grotere uitdaging die voor ons ligt is de veiligheid van de “Internet of Things” (IoT) toestellen. Binnen enkele jaren zullen er miljarden systemen verbonden zijn met het internet maar die amper een scherm of toetsenbord zullen hebben. Onze televisies, woonkamer-thermostaten, veiligheidscamera’s enz. zijn reeds verbonden, maar ook het speelgoed van onze kinderen, grasmaaiers en je kan zo gek niet bedenken wat, zullen we binnenkort met onze smartphone kunnen volgen en aansturen. Al deze toestellen draaien software waar vroeg of laat een veiligheidslek of kwetsbaarheid in wordt gevonden die door een hacker snel misbruikt kan worden. Er bestaan nu reeds Botnets van enkele honderdduizenden geïnfecteerde systemen die door hackers worden aangestuurd, maar in de toekomst zullen opkijken tegen Botnets van enkele miljoenen IoT-devices. Criminelen kunnen al die geïnfecteerde toestellen via een complex netwerk van commando en controle servers aansturen en ze bijvoorbeeld simultaan een vernietigende cyberaanval laten uitvoeren.

De meest eenvoudige oplossing om dit te vermijden is te zorgen dat alle systemen automatisch en snel voorzien worden van de laatste veiligheidsupdates. Bedrijven zoals Apple en Microsoft hebben dit al enkele jaren begrepen en sturen hun security patches automatisch door. De gebruiker wordt geïnformeerd dat een nieuwe update beschikbaar is en kan een moment kiezen van installatie.

Een dergelijk concept hebben we nodig voor alle systemen die zich verbinden met het internet. Er moet dus regelgeving komen die producenten verplicht om standaard automatisch patches en veiligheidsupdates te verspreiden naar hun internet geconnecteerde producten. Vooral in industriële omgevingen kan de eigenaar dit uiteraard uitschakelen en zelf beslissen wanneer hij updates installeert.

Het internet als deel van onze maatschappij

Om af te sluiten kunnen we stellen dat het internet een integraal onderdeel van onze maatschappij is geworden. Het staat symbool voor de kracht van het delen van informatie en kennis en van samenwerken. Een belangrijk fundament hierbij is vertrouwen, waardoor het risico op het verlies aan vertrouwen in dit prachtig medium de grootste dreiging vormt.

Als antwoord hierop zullen we online dezelfde veiligheidsconcepten moeten implementeren als die die we offline al heel lang toepassen. Aangezien het internet een globaal netwerk is en de maatschappelijke regels en waarden in de wereld soms sterk verschillen moeten we werken aan een Europese digitale eigenheid en identiteit. Deze zal ons toelaten om duidelijker te zien welke berichten, websites of toepassingen we kunnen vertrouwen en voor welke we meer voorzichtig moeten zijn.

De grootste winnaars van het ontbreken van een duidelijk veiligheidsconcept zijn momenteel in elk geval de cyber criminelen en cyber spionnen. Maar waar een wil is, is een veiliger internet.

Miguel De Bruycker, Managing Director bij Centre for Cyber security Belgium

Bovenstaand artikel van Miguel De Bruycker, Managing Director bij Centre for Cyber security Belgium verscheen eerder in Tijdschrift Notarieel Management, nr. 2021/2. Interesse in het volledige nummer? Bekijk hier de inhoudsopgave in preview of raadpleeg de abonnementsvoorwaarden!