Axis Communications organiseerde onlangs in Bunnik de Axis Partner Summit 2023. Keynote-speaker was Pim Takkenberg. Hij vertelde tijdens zijn presentatie wat er kan gebeuren als een organisatie wordt gegijzeld en wees op het belang van het kennen van de keten waar je bedrijf deel van uitmaakt. “Al heb je je eigen veiligheidssysteem goed voor elkaar, houd vooral ook de kwetsbaarheden in de keten in de gaten, want daar schuilt het gevaar.”
Door Menno Jelgersma
Pim Takkenberg wil alle aanwezigen vooral laten zien wie er achter de aanvallen zit, hoe zij georganiseerd zijn en waar ze zich op richten. “Ik hoop dat je met de informatie die ik jullie ga vertellen bij jezelf te rade kunt gaan wat je ermee in het dagelijks werk of binnen je organisatie mee kunt doen.” Wat iedereen zich volgens Takkenberg moet realiseren, is dat alles binnen de supply chain met elkaar verbonden is. “Organisaties zijn van elkaar afhankelijk. Wanneer een schakel niet goed functioneert, heeft dat gevolgen voor de keten.” Bedrijven zijn zich hiervan wel steeds meer bewust, maar volgens Takkenberg nog onvoldoende. Het gevolg kan zijn dat iemand op een maandagochtend achter zijn computer het beeld ziet verschijnen dat het systeem is gehackt. “Dit is letterlijk wat er bij onze klanten gebeurt: je wordt gegijzeld door criminelen, je systeem is op slot, je data zijn gestolen en je bent buiten bedrijf.”
> LEES OOK: Ruim tweeduizend bedrijven in 2021 de dupe van ransomware
Op slot zetten
Om te voorkomen dat iemand in dit soort situaties verzeild raakt, is een proactieve aanpak noodzakelijk. “Voor een goede aanpak moet je gebruikmaken van de beschikbare informatie. Er zijn staten die inbreken en informatie stelen en criminelen die je systeem op slot zetten om je af te persen. Hoe beter je weet waar je mee te maken hebt, hoe makkelijker het wordt om voor jezelf de kans te berekenen dat het jou overkomt.”
Vaak kan een compleet systeem worden gehackt doordat slechts één medewerker één keer een akkoord heeft gegeven waar dat niet verstandig was. Het feit dat slechts één goedkeuring ergens in de organisatie grote gevolgen kan hebben, is een wake-upcall voor organisaties, die op basis van deze kennis de veiligheid van hun systeem kunnen verhogen.
Volgens Takkenberg worden aanvallen gekenmerkt door drie fasen: de fase waarin de crimineel probeert binnen te komen, de fase waarin de aanvaller door het netwerk beweegt en op zoek gaat naar ‘de kroonjuwelen’, en de fase waarin hij uitvoering geeft aan zijn doel. “Dat kan het stelen van data zijn, systemen op slot zetten of kapot maken.” Maar hoe komen criminelen binnen? “Dat kan een slecht of verouderd systeem zijn, waarbij de crimineel van een achterdeur gebruik maakt.” Takkenberg wijst hierbij op het belang van het direct uitvoeren van updates en patches die de achterdeur op tijd op slot zetten.
> LEES OOK: Cybersecurity beslaat de hele keten
Phishing
Een tweede manier om binnen te komen is phishing. “Dat kan een e-mail zijn met een bijlage die nadat erop is geklikt zelf kwaadaardige software installeert. Ook zie je dat phishingberichten je naar een illegale webpagina leiden, zoals een kopie van een bankaccount en je verleiden om in te loggen.” Een derde mogelijkheid is een zwak wacht- woord. Volgens Takkenberg zijn wachtwoorden van 8 karakters binnen drie minuten te kraken. “Pas vanaf 14 karakters gaat het jaren duren om te kraken.”
> LEES OOK: Aantal phishing-aanvallen op bedrijven toegenomen
Wie is Pim Takkenberg?
Keynote-speaker Pim Takkenberg is General Manager van Northwave Netherlands BV, cybersecurity-expert in Utrecht, waar hij ruim negen jaar werkzaam is. Hij is cybercrime-expert en oud-hoofd van het Team High Tech Crime van de Nederlandse politie. Tussendoor was hij onder andere werkzaam bij het ministerie van Binnenlandse Zaken als teamleider van een cyber-intelligenceteam en businessdirector cybersecurity bij TNO.
Pincodes
In 2013 werd in Antwerpen een organisatie achter een overslagterminal gehackt. Vervolgonderzoek wees uit dat criminelen in staat bleken containers vanuit Zuid-Amerika te volgen. Ze kenden de pincodes die nodig waren om de containers met vrachtwagens op te halen nog voordat de rechtmatige eigenaar dat kon doen. “De criminelen konden dus zonder een eigen organisatie ter plaatse drugs in de containers van derden vervoeren en ophalen.” Het bleek volgens Takkenberg dat er drie mannen achter de hack zaten – “ethische hackers van origine” – die voor hun nieuwe bedrijf investeerders nodig hadden. “Een van de investeerders was een crimineel die de drie ondernemers overhaalde dan wel dwong om deze activiteiten uit te voeren.”
Ook noemt Takkenberg staten als dreigingsactor. “Denk bijvoorbeeld aan China, Iran, Rusland en Noord-Korea.” Als voorbeeld geeft Takkenberg de computersoftware TeamViewer. Dit is software waarmee de toegang tot en de bediening van IT-systemen op afstand mogelijk is en waarmee computers en andere apparaten kunnen worden onderhouden.
Spionage
TeamViewer is in 2016 gehackt door Chinezen onder de naam Wicked Panda, een productieve cyberbedreigings- groep die zich bezighoudt met door de Chinese staat gesponsorde spionageactiviteiten. “Dit is een organisatie die werkt voor de Chinese staat en dat combineert met criminele activiteiten. Ze breken bij bedrijven in om informatie te stelen voor de staat en ‘mogen’ vervolgens de bestolen bedrijven afpersen.”
Om een idee te krijgen van de omvang van de bedreiging vanuit China vertelt Takkenberg dat de criminelen vanuit een ministerieel gebouw werken. Dagelijks zijn er 110.000 mensen bezig met het vergaren van informatie. Informatie kan ook worden verkregen via camerasystemen. Wat kan een staat met camerabeelden en kennis over waar zich bijvoorbeeld in Nederland bedrijven bevinden? “Ik denk heel veel. Door mee te kijken met een camera krijg je een beeld van hoeveel mensen zich op een bepaald moment ergens bevinden. Met een bedrijfscamera ben je dan onbewust onderdeel van een criminele keten.”
> LEES OOK: Met Europese NIS2-richtlijn gaan strenge verplichtingen gelden voor cybersecurity
Open en transparant
Ransomware is nog steeds een hele grote bedreiging die bedrijven een hoop geld kost. Niet alleen het niet opstarten van het bedrijfssysteem kost geld, ook de inschakeling van specialisten en de eventuele betaling van de dwangsom kan in de papieren lopen. “Onderschat ook de emotionele impact niet die maanden of zelfs jaren kan duren en tot serieuze gezondheidsklachten kan leiden.”
Wanneer een bedrijf wordt afgeperst, adviseert Takkenberg om het probleem vooral open en transparant aan te vliegen. Als voorbeeld noemt Takkenberg de hack van het bedrijf Hoppenbrouwers Techniek dat er zelfs een boek over heeft gepubliceerd: Hack. De unieke strijd van Hoppenbrouwers tegen een cyberaanval. Het boek is gratis te downloaden en geeft een heel goed beeld van wat er tijdens een hack gebeurt in een organisatie. “De criminele Reviewgroup had beheerssoftware gehackt en bij het updaten van software door de gebruikers verschaften de criminelen zich toegang tot de IT-systemen.” Dit stelde de criminelen in staat om bij tientallen bedrijven wereldwijd de systemen te versleutelen. “Hoppenbrouwers had zijn eigen beveiliging echt goed voor elkaar, maar wie denkt hier nou over na?”
Takkenberg geeft met dit voorbeeld vooral het belang aan van een veilige keten. Hoppenbrouwers was binnen een paar dagen alweer operationeel, niet in de laatste plaats omdat ze beschikten over goede back-ups.
> LEES OOK: Het ransomware tijdperk: zo voorkom je ‘herinfectie’
Bedreigingsactoren en -vectoren
In het tweede deel van zijn voordracht laat Takkenberg zien hoe professioneel de criminele organisaties zijn die ransomware verspreiden. “Je kunt gerust spreken van een servicemodel met een organisatie waarin zeven specialis- men zijn te onderscheiden. Zo zijn er (1) Initial Access Brokers die de toegang tot bedrijfsnetwerken verkopen aan bijvoorbeeld (2) Ransomware affiliates die daardoor bedrijven over kunnen nemen en met wie de gedupeerde in gesprek raakt. De affiliates maken gebruik van (3) data- managers die erin zijn gespecialiseerd om data te categori- seren en te beoordelen welke documenten belangrijk zijn. Degene die de software bouwt die de boel op slot zet, is de (4) ransomware operator of ontwikkelaar. Hij creëert het platform waarop je met de criminelen kunt overleggen. Verder zijn er (5) negotiators, onderhandelaars die de gesprekken voeren en zogenaamde (6) chasers die extra druk kunnen uitoefenen als er niet snel genoeg wordt betaald, en als laatste noemt Takkenberg de (7) accoun- tants die de geldstromen beheren.
Naast China ziet Takkenberg ook Rusland als een land dat nauw samenwerkt met criminele organisaties en ze ook faciliteert zolang ze de Russische belangen maar niet schaden.
Rode draad
Het cruciale punt dat Takkenberg wil aanstippen is dat er naast de losstaande threat actors ook een rode draad loopt. Dat is de threat vector of bedreigingsvector en deze heeft betrekking op het aantal mogelijke onbevoegde toegangspunten – de bedreigingsvectoren – tot een IT-systeem. Hoe meer toegangspunten er zijn, hoe groter de kwetsbaarheid of het ‘aanvalsoppervlak’ van het systeem is. Takkenberg: “Veel voorkomende bedreigingsvectoren zijn kwaadaardige e-mails bij phishingaanvallen, zwakke of gestolen wachtwoorden of drive-by download- aanvallen.” Bij dit laatste wordt malware gedownload door een webpagina te bezoeken en er, zonder dat op een link wordt geklikt, een kwaadaardige code wordt geladen.
Waar gaat het fout?
Takkenberg geeft de toehoorders de opdracht mee om te onderzoeken waar in de keten het fout kan gaan, ook al heb je zelf de veiligheid goed op orde, en vertelt hoe de verschillende bedreigingsactoren te werk gaan: “En zorg ervoor dat er een crisis- en een communicatieplan klaarliggen.”
tel.: 030-4100677.
Volg Security Management op LinkedIn