Sinds de start van het gewapende conflict in Oekraïne zijn de digitale aanvallen in dat land veel in het nieuws geweest. Deze cyberoorlog trekt zich in tegenstelling tot het fysieke conflict veel minder aan van landsgrenzen. Dat vraagt ook in Nederland om een waakzame houding en extra aandacht voor ‘onze’ cybersecurityspecialisten.
De recente geopolitieke ontwikkelingen hebben een aantal opmerkelijke cyberaanvallen teweeggebracht. Zo wees de Threat Analysis Group (TAG) van Google op acties van enkele statelijke actoren richting het Westen. Onder andere routers van Nederlandse consumenten zouden zijn misbruikt voor aanvallen op Russische infrastructuur. Eerder werd al bekend dat Russische hackers van de Sandworm-groep enkele tientallen Nederlandse routers hebben gekaapt voor hun botnet.
Al binnen
De hacks zelf vinden lang niet allemaal nu plaats. Volgens Erno Doorenspleet, Vice President Security Strategy bij KPN Security, worden ook veel aanvallen opgezet vanuit apparaten die al in een eerder stadium gecompromitteerd zijn. Hackers zijn vaak al ‘binnen’. “Aanvallers kijken vaak eerst naar wat ze al tot hun beschikking hebben. Veel apparaten waarop ze al sluimerend aanwezig waren, kunnen ze nu inzetten voor een ander doeleinde. Een laadpaal die voorheen was gehackt om gratis te kunnen opladen, kan nu dienen als extra pion in een DDoS-aanval.”
Niet alleen professionele hackers, ook zogenoemde ‘script kiddies’ mengen zich volgens Doorenspleet in de strijd. Ofwel amateur-hackers die met eenvoudige tools aanvallen opzetten en met hagel schieten. Dreigingen komen daardoor vanuit een breed aanvalsspectrum.”
Daarnaast bestaat ook het gevaar van ‘spillover’, legt Doorenspleet uit. “Hackers kunnen methoden die bij de ene organisatie eerder succesvol bleken, toepassen binnen soortgelijke andere organisaties in andere landen. Ze zoeken naar meer slachtoffers en breiden zo hun slagkracht uit. Het maakt voor bijvoorbeeld een DDoS-aanval niet zoveel uit een router in Oekraïne of in Nederland staat.”
Geen verrassing
De plotselinge escalatie van cyberdreigingen mag volgens Doorenspleet geen verrassing zijn. Toch lijkt het erop dat dat voor veel bedrijven wel het geval is. “Ik verbaas me over de verbazing die er toch nog heerst over deze plotseling toegenomen dreiging. Securityexperts waarschuwen al jaren voor dergelijke risico’s. Toch worden bijvoorbeeld nog steeds veel apparaten geproduceerd die niet secure-by-design zijn, of niet goed beveiligd worden bij de ingebruikname. Ik denk dat velen de risico’s hebben onderschat.”
Als het aan Doorenspleet ligt, moet er nog veel meer ingezet worden op het opleiden van securityexperts. Het strijdtoneel binnen de cybersecurity was altijd al ongelijk. Aanvallers hebben maar een kwetsbaarheid nodig, terwijl organisaties kwetsbaarheden op alle fronten moeten voorkomen. Die ongelijkheid dreigt door het conflict verder toe te nemen. “Het tekort aan specialisten op dit gebied is al jaren hoog. Het is een beetje alsof er twintig aanvallers met vijf ballen tegelijk op de goal afkomen, en de keeper het doel in zijn eentje moet verdedigen. Terwijl één bal in het doel al voor disruptie kan zorgen.”
Ondersteuning
Toch is dat tekort voor nu een gegeven. Daarom is het nu cruciaal dat we die schaarse cybersecurityspecialisten zo goed mogelijk ondersteunen. “Koester hen, zorg dat het goed met ze gaat. Zij zijn nu echt onmisbaar.” Dat kan volgens Doorenspleet op allerlei manieren. “Luister goed naar hun aanwijzingen. Neem hun advies niet alleen serieus, maar handel er ook echt naar. De verantwoordelijkheid daarvoor ligt bij ieder individu. Het gedrag van iedereen maakt nu een wezenlijk verschil. Zorg dat de basis op orde is. En wees vooral niet terughoudend om extra kennis en kunde in te schakelen. Niemand kan deze strijd alleen aan.”
