Technologiebedrijven moeten veel meer aandacht besteden aan cybersecurity én transparanter worden over de bouwstenen van hun software. Securityexperts Martijn Dekker en Frank Groenewegen zien dit als een cruciale stap in de strijd tegen cybercriminaliteit.
2021 was een nogal hectisch securityjaar. Zelfs doorgewinterde securityexperts als Martijn Dekker (CISO bij ABN AMRO) en Frank Groenewegen (Partner Cyber Risk bij Deloitte) werden door bepaalde ontwikkelingen verrast. Zo verbaasde Dekker zich toen hij een artikel las over de opbrengsten van de Ryuk-ransomware. “De bende achter Ryuk had 150 miljoen dollar aan bitcoins verzameld. We weten dat er veel geld in omgaat, maar toch schrok ik van de hoogte van het bedrag. Deze criminelen hebben oneindige middelen en kunnen zelfs grote softwarebedrijven hacken.”
Voor Groenewegen was vooral de Kaseya-hack een eyeopener. Via een kwetsbaarheid in beheersoftware wisten cybercriminelen binnen te komen bij duizenden bedrijven wereldwijd. “Als securityprofessional kun je meestal zaken benoemen die verkeerd zijn gegaan. Dit keer niet. Zelfs een bedrijf dat voor 100 procent beveiligd is, had hier niks tegen kunnen doen. In een split second werd de REvil-ransomware uitgerold op alle servers en clients. Gelukkig viel de impact uiteindelijk mee. Maar wat als dit nogmaals gebeurt met destructieve malware zoals NotPetya?”
Gebrek aan transparantie
Beide securityexperts vinden dat softwarefabrikanten meer moeten doen om de risico’s voor hun klanten te verkleinen. Dekker stoort zich met name aan het gebrek aan transparantie. “Je mag in Europa nog geen potje pindakaas verkopen zonder erop te zetten wat er precies in zit. Dat vinden we normaal. Maar je mag alle software verkopen die je wilt, zonder inzicht te geven in de bouwstenen. Voor afnemers van software wordt het dan zeer moeilijk om hun digitale risico’s te managen.”
Een verklaring voor het gebrek aan transparantie is volgens de CISO de complexiteit van software. “Ik denk dat veel softwareleveranciers bijvoorbeeld niet eens weten welke library’s ze hebben verwerkt in hun producten. Ook bij Log4Shell was hier grote onduidelijkheid over.” Dekker pleit dan ook voor strengere regels. “Softwarebedrijven moeten transparanter worden. Dat kunnen we afdwingen met internationale wetgeving en via normenkaders vanuit de software-industrie zelf.”
Cybersecurity is te vrijblijvend
Groenewegen is het hier hartgrondig mee eens. Hij ziet echter nog een groot probleem. “Technologiebedrijven mogen nu zelf bepalen hoeveel energie ze steken in het veilig maken van hun producten of diensten. Ze hebben wel een zorgplicht, maar in de praktijk wordt deze vaak niet nageleefd. Het zou goed zijn als softwareleveranciers aansprakelijk kunnen worden gesteld voor schade door cyberaanvallen. Bijvoorbeeld als de softwareleverancier aantoonbaar niet aan zijn zorgplicht heeft voldaan en allerlei signalen heeft genegeerd.”
“Veel softwarebedrijven hebben geen professionele securitytak”, vervolgt de Partner Cyber Risk bij Deloitte. “Deze partijen zijn bijvoorbeeld niet in staat om een melding over een kwetsbaarheid snel te vertalen naar een bruikbare patch. Ook het testen neemt dan veel tijd in beslag, en daarna moeten alle klanten de patch nog uitrollen. Zo duurt het al gauw weken of maanden voordat een gevaarlijk beveiligingslek gedicht is. Dat is simpelweg niet acceptabel voor producten die zo’n cruciale rol spelen binnen ons bedrijfsleven en de overheid.”
Verantwoordelijkheid nemen
Groenewegen zou graag een professionaliseringsslag in de software-industrie zien. Ook hier is de voedselbranche een voorbeeld. “Als een fabrikant erachter komt dat er een verkeerd zaadje in de pindakaas zit, kunnen ze precies zien om welke potjes het gaat. Ze weten wanneer die pindakaas gemaakt is en welke supermarkten het product verkocht hebben. Dat maakt gerichte terugroepacties mogelijk. Vaak kunnen zelfs de consumenten nog bereikt worden. Dit is heel goed geregeld, omdat het bij voedselveiligheid om leven en dood kan gaan.”
“Veel softwareleveranciers hebben geen idee wie hun klanten zijn”, vult Dekker aan. “Stel dat er een wet komt die softwarebedrijven verplicht om klanten te informeren over een kwetsbaarheid, dan kunnen zij daar niet eens aan voldoen. Dit is een onhoudbare situatie. Een groot beveiligingslek is geen abstract probleem, maar raakt mensen direct. Softwarebedrijven moeten cybersecurity veel serieuzer gaan nemen en hun verantwoordelijkheid pakken.”
Positieve ontwikkelingen
Ondanks de vele uitdagingen kijkt Dekker met optimisme naar de toekomst. “De bestrijding van cybercriminaliteit krijgt eindelijk de aandacht die het verdient”, zegt de CISO. “De top van het bedrijfsleven, politie en justitie, de politiek: iedereen voelt de urgentie. Ook werken internationale opsporingsdiensten steeds beter samen, wat al tot diverse arrestaties heeft geleid. Dat is enorm belangrijk. We kunnen de verdediging nog zo goed op orde brengen: zolang er geen persoonlijk risico is voor de daders, is het dweilen met de kraan open.”
Ook Groenewegen ziet hoopgevende ontwikkelingen. “Een bedrijf als Microsoft investeert jaarlijks miljarden aan cybersecurity. Ze zijn dat niet verplicht, maar doen het wél. Verder vind ik dat het Nationaal Cyber Security Centrum (NCSC) prima werk verricht. Bij Log4Shell vervulde het NCSC een internationale voortrekkersrol in de informatievoorziening. De samenwerking tussen private en publieke partijen was in het verleden eenzijdig, maar verloopt nu eindelijk succesvol.”
Belang van samenwerking
Dekker sluit af met een oproep aan de securitygemeenschap. “Technologie is een cruciaal wapen in de strijd tegen cybercriminaliteit, maar daarmee alleen redden we het niet. Dit probleem overstijgt afdelingen, bedrijven, branches en landsgrenzen. We moeten onze krachten bundelen en kennis delen. Het is aan ons als securityprofessionals om die samenwerking op te zoeken.”