In aanloop naar het Cyber Security Event op 10 oktober 2017 op het Big Data Value Center in Almere interviewden wij Jaap Schekkerman, directeur onderzoek bij het Cyber Research Center – Industrial Control Systems, spreker op het event. Jaap Schekkerman geeft zijn visie op de grootste dreigingen op het terrein van cybercrime en cyberterrorisme.
Wat is de aard en omvang van cybercrime en cyberterrorisme in Nederland?
Als we kijken naar de aard en de omvang van cybercrime en cyberterrorisme in Nederland dan zien we dat cyber criminelen en statelijke / rogue group actoren (cyber terrorisme) nog altijd de grootste dreiging vormen en de meeste schade aan richten. Cyber aanvallen worden gebruikt om democratische processen te beïnvloeden en de kwetsbaarheid van het internet of things heeft tot verstorende aanvallen geleid die de noodzaak tot het versterken van de digitale weerbaarheid onderschrijven. Daarnaast zien we dat de vitale infrastructuur als ook industriële processen en systemen onvoldoende weerstand kunnen bieden aan serieuze cyberaanvallen en veelal geen getest recovery plan hebben voor het geval ze toch gecompromitteerd zijn. We zien dan ook dat de weerbaarheid van individuen en organisaties ver achter blijft bij de snelle groei van de dreiging. Het aantal serieuze cyber aanvallen neemt exponentieel toe als we kijken naar de afgelopen 6 maanden van 2017.
Nederland scoort hoog op internationale lijstjes als het gaat om cyber security maar is dit wel terecht?
In dit digitale tijdperk worden we als industrie, bedrijfsleven en overheid, als ook als individu steeds slimmer, maar ook steeds kwetsbaarder. Cybercrime en cyberterrorisme ligt op de loer en is op wereldwijd niveau een zeer actueel onderwerp. Op papier hebben we in Nederland best wel een aantal zaken geregeld, echter de praktijk is veel weerbarstiger. We worden er regelmatig en op grote schaal mee geconfronteerd, waardoor ook de gevolgen toenemen, zoals we hebben kunnen zien met de WannaCry en Petya aanvallen in mei en juni dit jaar. Ondanks deze dreigingen wordt er nog veel te weinig gedaan om de digitale weerbaarheid te vergroten, zowel door de overheid, het bedrijfsleven, de industrie als ook particulieren. Daarnaast moeten we accepteren dat we gecompromitteerd kunnen worden, echter hebben we dan maatregelen voorbereid en getest om tegen aanvaardbare kosten weer up en running te komen.
Op 12 mei 2017 werd de wereld opgeschrikt door een van de grootste cybercrime aanvallen ooit. In zeker 150 landen werden talloze organisaties en IT-systemen als ook medische instellingen slachtoffer van ransomware-aanval ‘Wannacry’. Ruim 200.000 computers werden ‘gegijzeld’ en pas weer vrijgegeven na het betalen van losgeld. In Nederland bleef de schade beperkt met maar één publieke melding van Q-park. Op 27 juni 2017 kwam Nederland er minder goed vanaf. Een nieuwe grootschalige, internationale cyber aanval vermomd als ransomware, genaamd Petya, wist in meer dan 65 landen binnen te dringen, zo ook in Nederland o.a. bij de Rotterdamse haven, pakketbezorger TNT en medicijnfabrikant MSD. Deze bedrijven zijn dagen lang uit de lucht geweest alvorens zij weer hun processen en systemen konden opstarten. Een van werelds grootste bedrijven, Nurofen maker, Reckitt Benckiser, die ook slachtoffer was van Petya heeft hierdoor een geschat omzet verlies geleden van £100 miljoen pond als gevolg van het uitvallen van productie locaties in verschillende landen en het niet kunnen leveren van producten.
Is Nederland voorbereid op een grootschalige cyber aanval?
Het antwoord is nee. Onze kwetsbaarheid voor cybercrime en cyberterrorisme begint al bij het management van overheid, bedrijfsleven en industrie. Zij geven onvoldoende prioriteit aan cyber security (cyber protection & resilience) waardoor er onvoldoende cyber bewustzijn heerst zowel onder management als medewerkers, laat staan dat er voldoende serieuze maatregelen worden genomen ter bescherming van cyber aanvallen. Het Potomac Institute for Policy Studies rapporteerde naar aanleiding van eigen onderzoek aan de Nationaal Coördinator Terrorismebestrijding en Veiligheid op dinsdag 27 juni 2017 dat er te weinig wordt geïnvesteerd in cyber security en dat Nederland nog lang niet cyber ready is. Hoewel de oorzaken en gevolgen van cybercrime en cyberterrorisme inmiddels duidelijk zijn, wordt er niet alleen door de overheid, maar ook door de industrie en het bedrijfsleven veel te weinig maatregelen genomen om vitale data, processen, systemen, netwerken, etc. te beschermen tegen dit soort cyber aanvallen. En ja deze maatregelen kosten zeer veel geld. Echter de kans dat men slachtoffer wordt van een serieuze cyber aanval neemt ook zeer snel toe en hier gaan dus de kosten echt voor de baten uit, zie ook de Reckitt Benckiser case.
Wat zijn best practices op het terrein van cybercrime en cyberterrorisme?
Als we ons beter willen beschermen tegen fysieke en cyber aanvallen, dan wel voorbereid willen zijn voor het geval we toch gecompromitteerd zijn, dan dienen we allereerst een aantal belangrijke vragen te beantwoorden.
- Wat zijn de belangrijkste kroonjuwelen (fysieke infrastructuur / kennis / data / processen / technologie / systemen / netwerken / IP, etc.) welke beschermt dienen te worden?
- Kennen we de type dreigingen waartegen we ons willen beschermen?
- Kennen we de kwetsbaarheden van de fysieke infrastructuur, de organisatie, netwerken, systemen, etc. waartegen we ons willen beschermen?
- Is het topmanagement zich bewust van de dreigingen en de risico’s en bereid serieuze maatregelen te nemen?
- Zijn we bereid en instaat om continu fors te investeren in Cyber Protection & Resilience (voor het IT gedeelte minimaal 10 tot 15% van het IT budget)? Of accepteren we de materiele en immateriële kosten als het fout gaat? (£100 miljoen pond omzet verlies naast de miljoenen kostende recovery voor alle productie locaties en logistiek bij de Petya aanval op Reckitt Benckiser)
- Hebben we de cyber / security kennis en expertise in huis of moeten we die inhuren om een gedegen cyber security plan / architectuur te ontwikkelen die invulling kan geven aan bovengenoemde vragen?
- Hebben we de kennis en expertise in huis of moeten we die inhuren om de cyber security architectuur te kunnen implementeren en testen om daarna 24 x7 operationeel en actueel te houden?
- En wat als we toch gecompromitteerd worden, hoe kunnen we dan tegen aanvaardbare kosten weer up en running komen?
De antwoorden op deze vragen vormen het vraagstuk hoe om te gaan m.b.t. cyber protection en resilience waarbij Internationale standaarden als de IEC62443 / ISA99 en ISA100, etc. een belangrijke leidraad zijn als het gaat om de aanpak en maatregelen die genomen kunnen worden. De aanpak zoals in deze industriële security standaarden wordt beschreven is heden ten dage ook noodzakelijk op enterprise niveau en binnen de administratieve automatisering omdat een gelaagde beveiligingsstrategie grotere kansen biedt op een hogere digitale weerbaarheid. Op de site van het Cyber Research Center – Industrial Control Systems (www.crc-ics.net) staat veel meer informatie om te komen tot een grotere digitale weerbaarheid zoals een Cyber / Security (self) Assessment Guide welke behulpzaam kan zijn om inzicht te vergaren in de huidige status van een organisatie m.b.t. de cyber security volwassenheid.
Meer weten?
Op het Cyber Security Event hoort u hoe u uw organisatie beschermt tegen cybercrime en datalekken.