De Russen die eerder deze maand door de MIVD werden ‘gestoord’ in hun poging het wifi-netwerk van de Organisatie voor het Verbod op Chemische Wapens (OPWC) te hacken, voldoen helemaal aan het beeld van een spion zoals we dat van de film kennen. Het komt zelden voor dat cyberspionnen gepakt worden, laat staan op heterdaad. Idem dito voor gewone cybercriminelen.
In Nederland blijkt slechts 7% van de aangemelde cybercrimes opgelost te worden, volgens de Cybersecuritymonitor 2018 van het CBS. We weten dus niet wie precies achter de overgrote meerderheid zit. Toch hebben we wel een beeld. Achter iedere aanval zit iemand met een doel. Wie een beeld heeft van die persoon en zijn motieven zal beter in staat zijn om te verhinderen dat een aanvaller dat doel bereikt. In grote lijnen zien we drie categorieën:
Hooligans
Dit zijn de digitale vandalen. Zij zijn uit op vernieling. Dat kan zijn omdat ze het ‘leuk’ vinden of omdat ze status onder hun mede-vandalen willen verwerven. Maar soms ook omdat ze ergens tegen zijn en daar dan met gestrekt digitaal been tegenin gaan. De tools en technieken die zij gebruiken voor een aanval zijn meestal simpel. Als zo’n aanval onderdeel is van een campagne kan dat erg vervelend zijn, maar de aanvallers maken meestal veel ‘lawaai’ en we vinden vaak veel bewijs voor een op handen zijnde aanval.
Criminelen
De overgrote meerderheid van de cyberaanvallen is misdadig van aard. Het is de aanvaller alleen te doen om op een illegale manier zoveel mogelijk geld binnen te halen. Oplichting, afpersing en kidnapping kennen we sinds mensenheugenis en de eigentijdse varianten kennen we als phishing, denial-of-service en ransomware. De misdaadprincipes zijn nog steeds hetzelfde, alleen de vorm en de technieken zijn van de 21ste eeuw. Criminele bendes kunnen buitengewoon inventief zijn en zij kunnen met geavanceerde technologie omgaan. Alleen zien we dat criminelen de neiging hebben om de technologie te blijven gebruiken waar zij vertrouwd mee zijn geraakt. Dat gaat ook verder dan alleen het plegen van de misdaad zelf. Denk aan het witwassen van de opbrengsten en het maskeren van hun identiteit. Het is een van de redenen dat de pakkans van cybercriminelen zo laag is.
Statelijke actoren
Dan de laatste en zwaarste categorie. Dat zijn degenen die zich bedienen van de advanced persistent threats. Deze apt’s zijn zeer geavanceerd, vragen veel kennis en toegang tot middelen (geld, faciliteiten, mankracht, etc.) en vooral veel geduld. Vandaar dat er achter deze apt’s meestal statelijke actoren worden vermoed. Zeker als het doel het vergaren van gevoelige informatie is. Apt-aanvallen vormen slechts een heel klein deel van het totaal, maar kunnen desastreuze gevolgen hebben. Ook bij derde partijen die als tussenstap gebruikt worden om de uiteindelijke doelorganisatie te bereiken.
Voltreffer
Voor een goede verdediging is het niet noodzakelijk om de werkelijke identiteit van de aanvaller te kennen. Maar het helpt absoluut om de karakteristieken te kennen van mogelijke aanvallers, de methoden die zij gebruiken en hoe de huidige securitymaatregelen daarop zijn afgestemd. Het maakt het ook makkelijker om zwakke plekken op te sporen en een aanval in een vroeg stadium te herkennen. En ik hoop dat meer inzicht in de daders de pakkans vergroot. Want een voltreffer zoals MIVD die had, komt voor zover we weten maar zelden voor.
Michel Schaalje, Directeur Security Cisco Nederland
