Leveranciers van essentiële diensten zijn een ideaal doelwit voor hackers. Hacks zijn problemen in de digitale wereld die verregaande gevolgen kunnen hebben voor de fysieke wereld. Hoe voorkomen we dat hacks onze voedselvoorziening en andere essentiële diensten bedreigen? Een technische analyse en lessen van recente hacks.
Wat kunnen we leren van een aantal grote recente hacks op belangrijke maatschappelijke organisaties? | Beeld: Shutterstock
Hackstatistieken
Volgens experts zal cybercrime de wereld veel geld kosten, namelijk $10.5 miljard tegen 2025. Dit is een enorme stijging ten opzichte van de $3 miljard in 2015. De belangrijkste hackstatistieken volgens Findstack:
- Wereldwijd kost cybercriminaliteit de wereld jaarlijks meer dan $ 1 miljard aan economische kansen.
- Thuiswerkers zijn tegenwoordig een bijzonder doelwit voor veel cybercriminelen
- Ongeveer 95% van alle cyberbeveiligings- en hackinbreuken wordt veroorzaakt door menselijke fouten
- De gemiddelde kosten van een hack voor elk bedrijf bedragen ongeveer $ 3.86 miljoen
- De gemiddelde tijd om een inbreuk te identificeren in 2020 was ongeveer 207 dagen.
Hacks in Nederland
Uit onderzoek blijkt dat ongeveer 60% van de besluitvormers in het Midden- en Kleinbedrijf (MKB) cyberbeveiliging wat betreft investeringen niet prioriteert. Kleine bedrijven denken over het algemeen dat ze geen slachtoffer zullen worden van een cyberaanval. Tweederde van de besluitvormers in het MKB zegt dat cyberaanval op hun bedrijf onwaarschijnlijk zijn. Daarnaast zei een vierde dat ze niet weten hoe ze hun cyberbeveiliging kunnen managen. Het is dus hoog tijd te kijken naar wat we kunnen leren van een aantal grote recente hacks op belangrijke maatschappelijke organisaties en hier een voorbeeld aan te nemen. We analyseren de hacks op gemeente Hof van Twente, Universiteit van Maastricht, beveiligingsdienst Abiom en het Rode Kruis.
Gemeente Hof van Twente
Op 1 december 2020 konden medewerkers niet inloggen in hun werkaccounts. Dit was het moment waarop de gemeente merkte dat er iets niet klopte. Dezelfde dag kreeg de systeembeheerder in verschillende systemen en printers de boodschap “Hello, need data back? Contact us fast”.
Het bleek dat een aantal weken daarvoor hackers de systemen binnendrongen. Dit kon gebeuren doordat in oktober 2020 een systeembeheerder het wachtwoord van het beheerdersaccount aanpaste naar een gemakkelijk te raden wachtwoord, namelijk Welkom2020.
Begin november was ook de beveiligde firewall aangepast en sindsdien werden dagelijks tussen de 50.000 en 100.000 inbraakpogingen gedaan door hackers. Op 9 november 2020 slaagden zij hier daadwerkelijk in. Hierdoor kwamen alle gemeentelijke dienstverlenings- en bedrijfsvoeringsprocessen stil te liggen. Ook zijn negentig virtuele servers weggegooid en alle back-ups vernietigd. Ondanks dat ze sinds oktober de systemen probeerden binnen te dringen en hier op 9 november in slaagden, werden hackers niet eerder opgemerkt door een gebrek aan monitoring, blijkt uit een document van de Vereniging van Nederlandse Gemeenten (VNG).
Het voordeel van monitoring is dat dit tijdig inzicht geeft in verdachte activiteit in je netwerk.
Er zijn een aantal dingen die we van deze hack kunnen leren, waarvan twee zeer prominent zijn. Ten eerste: menselijke fouten worden nog steeds veel gemaakt, een makkelijk wachtwoord is namelijk geen handige zet. Dit blijkt ook uit de cijfers: in 2019 ontving de Autoriteit Persoonsgegevens bijna 27.000 datalek meldingen. In 96% van de gevallen was onzorgvuldigheid of een gebrek aan kennis van personeel de oorzaak. Volgens onderzoek zegt 68% van het MKB wereldwijd dat de wachtwoorden van hun werknemers in 2019 verloren of gestolen zijn. Ook zei 68% dat werknemers dat zij zwakke wachtwoorden gebruiken. Dit komt dus nog steeds veel voor en is een van de meest prominente oorzaken van hacks. Per aanval kost dit $384,598 USD.
Daarnaast was er een gebrek aan monitoring. Het voordeel van monitoring is dat dit tijdig inzicht geeft in verdachte activiteit in je netwerk. Uit de cijfers blijkt dat het hackers soms wel 191 dagen dagen kost vanaf dat ze in een netwerk inbreken tot ze daadwerkelijk overgaan tot een aanval. Dit betekent dat je deze tijd goed kunt gebruiken om criminelen te slim af te zijn. Hiervoor is monitoring echter een vereiste, anders weet je pas bij een aanval dat er indringers in je netwerk zitten en dan is het te laat om preventieve maatregelen te nemen.
Universiteit van Maastricht
De hack op de Universiteit van Maastricht begon met twee phishing mails op 15 oktober. Een aantal medewerkers klikte hierop, dit leidde hen naar een Excel–document met een macro die malware van een externe server kon ophalen en installeren op de computer van de gebruiker.
Een macro is een machtiging voor een document in Microsoft Office om als uitvoerbaar bestand te fungeren. Om er in te slagen op deze manier te hacken, moet de medewerker het toegezonden document openen en de macro activeren. Uit een analyse van miljarden e-mails blijkt dat het gebruik van macro’s een van de favoriete aanvalstechnieken is. Malware is een samenstelling van ‘malicious’ en ‘software’, oftewel kwaadaardige software. Het gaat om een stuk code dat is geschreven met het doel om gegevens, netwerken of hosts te stelen, beschadigen of verstoren. De malware kon door de virusscanners heen komen ondanks dat deze gedetecteerd was, doordat de aanvallers kleine wijzigingen hadden aangebracht.
Hierdoor konden hackers op 23 december 2019 in 30 minuten tijd de data van 267 servers van de universiteit te vergrendelen, waaronder e-mailservers en tal van fileservers met onderzoeksdata en business operations data. Ook slaagden de hackers erin om een aantal back-upservers te versleutelen, waardoor bestanden niet meer konden worden teruggezet. De hackers zaten dus meer dan twee maanden in het netwerk, alvorens toe te slaan. Uiteindelijk heeft de universiteit 200.000 euro betaald om de gegevens te herstellen.
Bij netwerksegmentatie zit iedere server achter een eigen firewall.
De techniek die hackers hierbij gebruikten heet social engineering. Hierbij voeren cybercriminelen een aanval uit op computersystemen door de mens als gebruiker van het systeem te manipuleren. Dit omvat technieken om individuen onder andere hun vertrouwelijke gegevens te laten prijsgeven, malware te installeren op hun computers en hen links naar geïnfecteerde sites te laten openen. Opnieuw worden medewerkers hier als zwakke plek gebruikt door hackers. Volgens onderzoek ontving ongeveer 46% van de organisaties in 2021 malware via de mail. Dit vormt dus een aanzienlijk risico en het is belangrijk medewerkers hier zo goed mogelijk op voor te bereiden en dit te voorkomen.
Daarnaast zien we ook hier weer dat er twee maanden zat tussen het binnendringen van het netwerk en de daadwerkelijke aanval. Dit betekent dat als de universiteit netwerkmonitoring meer had geprioriteerd, zij de hackers eerder hadden kunnen ontdekken en hen voor had kunnen zijn. De universiteit zelf gaf ook aan betere netwerkmonitoring te willen, namelijk 24/7.
De universiteit meldde netwerksegmentatie te gaan implementeren, hierbij zit iedere server achter een eigen firewall, waardoor toegang tot één deel van het netwerk hackers niet automatisch toegang verschaft tot andere delen van het netwerk. Hiervoor moeten zij door verschillende firewalls heen, waardoor als er een hack plaatsvindt hackers in eerste instantie toegang hebben tot slechts een deel van het netwerk. Ook dit vergroot, in combinatie met goede monitoring, de voorsprong die bedrijven op hackers hebben. Tot slot zei de CISO: “Een cyberaanval gaat je sowieso overkomen. Het is een kwestie van je zo goed mogelijk voorbereiden en de impact beperken.”
Abiom
Abiom is de leverancier van communicatietechnologie aan Defensie en de Nationale Politie. In totaal werden er bij de hack 39.000 documenten gestolen, waarvan een deel online is gelekt. Dit betrof facturen van meer dan een miljoen euro aan de politie, persoonsgegevens van leidinggevenden, kopieën van paspoorten, verschillende overeenkomsten met buitenlandse overheden en bedrijven, en details van apparatuur die bij politie- en defensieonderdelen is geplaatst.
De deadline om het losgeld te betalen stond op 18 november. Een deel van de informatie is online gezet vóór de losgeld claim, dit om de druk tot betalen op te voeren. Deze zogenoemde double extortion of dubbele afpersing, is het meest voorkomende type ransomware-aanval. Hierbij wordt de data eerst gestolen voordat de versleuteling plaatsvindt. Dit overkwam in Nederland ruim de helft (54%) van de getroffen bedrijven.
Binnen 48 uur waren de belangrijkste systemen weer operationeel na het terugzetten van back-ups.
Desondanks is de hack op Abiom een goed voorbeeld van een aanval die direct is opgemerkt. De potentieel geïnfecteerde servers konden hierdoor direct worden geïsoleerd, blijkt uit een statement van Abiom. Binnen 48 uur waren de belangrijkste systemen van Abiom weer operationeel na het terugzetten van back-ups. De hack heeft geen gevolgen gehad voor de bedrijfsvoering. Ook hier blijkt weer het belang van 24/7 netwerkmonitoring.
Belangrijk in het omgaan met double extortion is je back-ups goed te beveiligen. Onderzoek wijst uit dat 72% van de organisaties te maken heeft gehad met gedeeltelijke of complete aanvallen op hun back-ups. Zonder backups ben je echter gedwongen losgeld te betalen, wil je je gegevens herstellen. Dit is het doel van bijna alle aanvallers. Abiom had dit goed op orde en is niet ingegaan op de losgeld claim: “In overleg met de Politie is besloten niet in contact te treden met het hackerscollectief, misdaad loont niet.”
Het Rode Kruis
Op 18 januari 2022 detecteerde het Rode Kruis dat het was getroffen door een hack, met een datalek als gevolg. De aanval begon al op 9 november 2021, het duurde dus 70 dagen voordat dit werd opgemerkt. Op de getroffen servers stonden gegevens van 4.600 personen. Het ging hierbij in elk geval om namen, geboortedata, land van herkomst en namen van ouders. Van in elk geval 124 dossiers werd bekend dat meer gegevens zijn gelekt.
De hackers bleken al 70 dagen in het netwerk te zitten, van 9 november 2021 tot 18 januari 2022. De hackers gebruikten tactieken die de meeste detectie tools niet zouden kunnen oppikken. Sommige bestanden van de hackers werden gedetecteerd, maar de meeste waren gemaakt om deze te omzeilen.
De kwetsbaarheid zat in het niet tijdig uitvoeren van een update in één van de beveiligingssystemen.
De kwetsbaarheid bij het Rode Kruis zat in het niet tijdig uitvoeren van een update in één van de beveiligingssystemen. Hoe simpel dit advies ook lijkt, het is zeer belangrijk dit tijdig te doen, zo blijkt ook weer uit deze hack. Het beste dat je als bedrijf kunt doen is de zwakke plekken zo snel mogelijk identificeren en beveiligen. Daarnaast had ook hier netwerkmonitoring erger kunnen voorkomen, aangezien de hackers 70 dagen nodig hadden tussen het binnendringen van het netwerk en de aanval. Monitoring had het Rode Kruis een voorsprong kunnen geven.
Leerpunten
De belangrijkste leerpunten die we uit deze analyse van hacks kunnen trekken, kunnen worden opgedeeld in twee categorieën: enerzijds het voorkomen dat criminelen die je netwerk binnendringen daadwerkelijk de kans krijgen aan te vallen en anderzijds hoe je de schade kunt beperken als er toch een aanval plaatsvindt. Allereerst is gaat het om de benadering. Ga ervan uit dat cybercriminelen je netwerk zullen binnendringen en bereid je hier vervolgens zo goed mogelijk op voor, zodat als het zo ver is je ze te slim af kunt zijn, wellicht een aanval kunt voorkomen en anders de schade kunt beperken.
Als we het hebben over het voorkomen van een aanval is de meest prominente aspect, die bij alle in dit artikel geanalyseerde hacks terugkomt, het monitoren van het netwerk. Je gehele netwerk 24/7 monitoren is de enige manier om cybercriminelen in je netwerk te ontdekken vóór de aanval plaatsvindt en er schade is aangericht. Anders merk je zoals bij Gemeente Hof van Twente, Universiteit Maastricht en het Rode Kruis pas bij de aanval dat er criminelen in je netwerk zitten en gaat het om damage control. Door middel van netwerkmonitoring kun je de tijd die criminelen nodig hebben om een aanval voor te bereiden gebruiken als voorsprong, zoals Abiom deed. Dit kun je doen door middel van een Network Intrusion Detection System. Daarnaast is het belangrijk zwakheden aan te pakken. Daarbij is awareness onder personeel een belangrijke, welke bij de helft van de geanalyseerde hacks genoemd wordt en nog steeds niet voldoende blijkt. Het blijft dus belangrijk hierop in te zetten. Een andere zwakheid die wellicht voor de handliggend lijkt, is het missen van updates. Het is zeer belangrijk updates regelmatig te doen om zwakheden in je systemen te beperken.
Als er dan toch een hack plaatsvindt is netwerksegmentatie belangrijk om de schade te beperken, zodat cybercriminelen slechts delen van je netwerk tegelijkertijd kunnen binnendringen. Daarnaast is ook beveilig van backups belangrijk, specifiek bij double extortion. Als je je backups niet goed beveiligt, kan het zijn dat om deze terug te krijgen je niets anders rest dan cybercriminelen te betalen, aangezien zij de enigen zijn die je data nog terug kunnen halen.
Aad van Boven is CEo van SecureMe2