Twee maanden geleden maakte de KNVB bekend dat het losgeld had betaald aan cybercriminelen. Hackers hadden met gijzelsoftware ‘ingebroken’ in de systemen van de voetbalbond en onder meer privacygevoelige informatie van spelers van het Nederlands elftal buitgemaakt. Organisaties die niet net als de KNVB slachtoffer willen worden, zouden hun data moeten versleutelen, was een van de reacties in NRC. Zodat na een ransomware-aanval de gestolen data niet kan worden benut om (extra) losgeld te eisen. Dat is een gevaarlijk misverstand.
Sinds mensen geschreven berichten uitwisselen, bestaat de behoefte om deze berichten, voor anderen dan de ontvanger, onleesbaar te maken. Tegenwoordig maakt vrijwel iedereen – meestal onmerkbaar – van dit principe gebruik, bij WhatsApp of internetbankieren. Overheden, bedrijven én criminelen gebruiken versleuteling om hun geheimen geheim te houden.
Goede versleuteling is praktisch gezien niet te kraken. Waarom zou versleuteling dan toch niet werken tegen gijzeling van data door digitale bendes? Hoe goed ook, versleuteling heeft altijd een achilleshiel: de ‘sleutel’. Wie met de versleutelde informatie werkt, kan niet zonder die sleutel. Toen de gijzelsoftwaregolf jaren geleden in opkomst was, lukte het opsporingsdiensten en cybersecuritybedrijven soms de sleutel te achterhalen of de versleuteling van de criminelen te kraken. Dat lukte dankzij zwakke versleutelingsmethoden of slordigheden. Dat is grotendeels verleden tijd. Criminelen leren van hun fouten en gebruiken inmiddels versleuteling die te duur en te tijdrovend is om te kraken.
Legitieme gebruiker
Crucialer is nog dat deze criminelen bij hun doelwit proberen binnen te komen als legitieme gebruiker, om vervolgens ongemerkt zoveel mogelijk gebruiksrechten te verkrijgen. Die rechten zorgen ervoor dat de data van de organisatie automatisch toegankelijk zijn. Vanuit die positie maakt de crimineel de data buit. Dit hebben wij bij talloze ransomware-aanvallen geconstateerd.
Als we worden gevraagd zelf de beveiliging van organisaties te testen, vormt versleuteling meestal geen hindernis om bij de data te komen. Soms was data versleuteld aanwezig in een datakluis en voorzien van een aparte sleutel. Door een legitiem gebruikersaccount te gebruiken konden wij de wachtwoorden onderscheppen die voor deze kluizen nodig zijn. Daarmee kwamen de sleutels in handen voor data die als extra beveiligingsmaatregel waren versleuteld.
Het verwerven van rechten en sleutels kost wel tijd en het is voor criminelen dus zaak dat ze zo lang mogelijk ongemerkt hun gang kunnen gaan.
Niet alleen criminele bendes werken zo, geavanceerde ‘staatshackers’ kunnen dit ook. Al jaren lang waarschuwen AIVD en MIVD dat defensie- en hightechbedrijven, overheden en kennisinstellingen in Nederland en andere Europese landen dagelijks te maken hebben met Russische hackpogingen. Die statelijke dreiging zien ook wij voor een groot aantal organisaties. Wanneer dit soort hackers bij hun doelwit weten binnen te komen en binnen kunnen blijven, zullen zij ongetwijfeld toegang krijgen tot de data, zelfs als die op een meer verfijnde manier versleuteld zijn.
Lees ook
Zijn jouw gegevens gelekt? Dit kun je doen om phishing te voorkomen
Preventie
Misschien een onthutsende conclusie, voor wie de praktijk niet kent. Maar het goede nieuws is dat versleuteling beslist niet overbodig is geworden. Weliswaar is het een schijnoplossing in bovenstaande scenario’s, waar de aanvaller grote controle over en toegang tot een computer heeft. Maar het is wel zeer nuttig wanneer een aanvaller niet over de sleutel kan beschikken of de tijd niet heeft om die te achterhalen (omdat de aanvaller op tijd wordt betrapt). Versleutelde data zónder dit soort actieve toegang wordt nog altijd gezien als praktisch onkraakbaar. Denk hierbij aan een laptop met versleutelde data die wordt gestolen, daar kan niemand bij.
Wat moet er dan in bovenstaande gevallen wél gebeuren? Voorkomen dat een aanvaller überhaupt kan binnendringen is evident, maar een succesvolle aanval valt nooit uit te sluiten. Een slim opgestelde phishing mail (waarbij een crimineel zich in een email als een organisatie of bedrijf voordoet om wachtwoorden of andere gegevens te bemachtigen), of een omgekochte medewerker, en de aanvaller staat al binnen. De focus moet dus net zo goed liggen op het detecteren van aanvallers die al binnen zijn, bijvoorbeeld door afwijkende patronen in het ICT-gebruik te detecteren, te analyseren en direct actie te ondernemen als er iets verdachts wordt waargenomen.
Veel van de door ons onderzochte ransomware-aanvallen hadden voorkomen kunnen worden als de basisbeveiliging op orde was geweest – nog een onthutsende conclusie. Ondanks talloze waarschuwingen, schrijnende gevallen en toenemende afpersing met data brengen veel te veel organisaties het nog steeds niet op om tenminste hun basisbeveiliging goed te regelen. Dat wijst op een voortdurende onderschatting van de risico’s, zeker aangezien we steeds meer (persoonlijke) data verzamelen. De aanbeveling data te versleutelen als middel tegen gijzelsoftware zorgt voor een vals gevoel van veiligheid.
Gelukkig verplicht de nieuwe Europese cybersecuritywet NIS2, die volgend jaar van kracht wordt, bedrijven preventief maatregelen te nemen. Maar uiteindelijk moeten organisaties zelf het belang van cyberveiligheid inzien.
