De schaal van de aanval en de paniek die de ransomware-attack dit weekend heeft veroorzaakt is groot, maar de problemen hadden veel kleiner kunnen zijn als organisaties gewoon een redelijk beveiligingsbeleid hadden gevoerd. Dat stelt René van Buuren, directeur Cybersecurity bij Thales Nederland.
Volgens Wessel Hemels, cybersecurity specialist bij Thales Nederland, maakt de ransomware gebruik van een kwetsbaarheid in Windows die eind maart al bekend was. “Dat betekent dat organisaties weken achterlopen met hun updates en patches. Dat is de voornaamste oorzaak waarom dit zo uit de hand heeft kunnen lopen.”
Nederland heeft geluk gehad, denkt Van Buuren, die verwijst naar het bericht van het Nationaal Cyber Security Centrum waarin het NCSC aangeeft dat het aantal besmettingen in Nederland tot nu toe beperkt is gebleven. Tegelijkertijd heeft de aanval ook zonder grote incidenten forse impact gehad op het bedrijfsleven. “Er is door veel organisaties het hele weekend doorgewerkt. Ook bij ons stond de telefoon roodgloeiend door de vele hulpvragen.”
Bij de organisaties waar nu de grootste paniek ontstaat ontbreekt het vooral aan structureel beleid, stelt Van Buuren. “Ze moeten nu een brandweerkazerne bouwen terwijl de rook al in de operatiekamer staat. Dit soort problemen zijn nooit geheel te voorkomen, maar als je voorbereid bent, als je zorgt dat je dit soort dingen snel constateert en direct kunt reageren, dan is de omvang van de ramp veel beter te beperken.”
De eerste stap die direct gezet zou moeten worden is de ontwikkeling en uitvoering van een roadmap die de organisaties snel en zorgvuldig naar een veilige situatie brengt. “Er nu zomaar een zak geld tegenaan gooien heeft geen zin. Cybersecurity moet je zorgvuldig opbouwen, waarbij je goed moet kijken waar de prioriteiten liggen, wat je organisatie aankan en waar je wellicht de hulp van derden in moet schakelen.”
Autonome malware
Voor Hemels zijn de recente ontwikkelingen nauwelijks een verrassing. “De ransomware op zich is niet eens bijzonder. Wat relatief nieuw is en nu zoveel problemen veroorzaakt, is vooral dat het zich gedraagt als een worm, zodat het zich autonoom over het netwerk kan verspreiden.” Hemels vraagt zich bovendien af in hoeverre de malware nu onschadelijk is gemaakt. “Er zijn nu al varianten in omloop waar de ‘kill switch’ uit verwijderd is die dit weekend door security experts werd gebruikt om de malware te deactiveren.”
Volgens Van Buuren hebben we het over goed georganiseerde criminaliteit. “Dit is de realiteit waar we mee moeten omgaan: dit soort clubs maakt optimaal gebruik van alle tools en kwetsbaarheden die ze ter beschikking staan. Zodra ze kansen zien, pakken ze die met beide handen aan, en zolang hun doelwitten op hun handen blijven zitten en zich niet voorbereiden op hun aanval, blijft het een bijzonder lucratief verhaal.”
Van Buuren raadt organisaties aan zo spoedig mogelijk werk te maken van een solide beveiligingsbeleid. “De schade van dit soort aanvallen is te beperken, maar dan moet er wel actie worden ondernomen.”
Bron: Thales