De angst van regeringen voor cyberaanvallen die de kritieke nationale infrastructuur platleggen, werd in december vorig jaar bewaarheid. Een advanced persistent threat (APT)-aanval op Oekraïne was de eerste aanval uit de geschiedenis die een nationaal elektriciteitsnet platlegde. Hackers maakten daarbij gebruik van de malware-variant BlackEnergy om op afstand stroomonderbrekers te activeren. Hierdoor kwamen 225.000 gebruikers zonder stroom te zitten. Ondertussen werd de klantenservice met neptelefoontjes bestookt, zodat echte klanten die niet langer konden bereiken. Heel onaangenaam.
Afgelopen jaar domineerden heftige cyberaanvallen op bedrijven het nieuws. Maar ook een fors aantal overheidsinstellingen te maken met aanvallen door hacktivisten. Volgens cijfers van het Nationaal Cyber Security Centrum (NCSC) is het aantal meldingen van digitale aanvallen op websites en systemen van de Nederlandse overheid in de afgelopen twee jaar verdubbeld. In 2014 kreeg het NCSC 293 keer bericht over een incident bij de overheid. In 2015 werden de Amerikaanse, Nederlandse, Ierse en Turkse overheid getroffen door DDoS-aanvallen als doel hadden om chaos te veroorzaken en processen te plat te leggen. In januari voerden Thaise activisten uit onvrede over een vonnis van een overheidsrechtbank cyberaanvallen uit op 300 overheidswebsites. In dezelfde maand organiseerden hackers van Anonymous vergelijkbare aanvallen uit op de overheid van Saoedi-Arabië en Nigeria.
Misbruik van kwetsbaarheden in internetapplicaties en DDoS-aanvallen op instellingen in de publieke sector nemen in regelmaat en ernst toe. Control Risks, een wereldwijd opererend adviesbureau voor riskmanagement, gaf in de 2016-editie van zijn jaarlijkse ‘Riskmap Report’ aan dat een ruim een derde (36 procent) van alle cyberaanvallen tegenwoordig op de overheidssector is gericht.Volgens Deloitte kost cybercrime Nederlandse bedrijven en de overheid jaarlijks ongeveer 10 miljard euro. Die schade bestaat bijvoorbeeld uit diefstal van intellectuele eigendommen, verlies van geld door fraude of het stilliggen van bedrijfsprocessen. Volgens het consultancybureau lopen vooral de publieke sector, banken, technologiebedrijven en de defensie- en luchtvaartsector veel risico op forse schade.
Het is duidelijk, DDoS-aanvallen groeien uit tot een effectief wapen voor afpersers en digitale terroristen. En ze komen in alle soorten in maten voor. Sommige willen gewoon systemen plat leggen, terwijl andere aanvallen systemen overspoelen met verzoeken om IT-bronnen (bandbreedte, processortijd, schijfruimte enzovoort). Cybercriminelen voeren steeds vaker aanvallen uit op de applicatielaag (layer 7). Ze maken daarbij gebruik van uiterst geavanceerde mechanismen om overheidsnetwerken en –diensten uit te schakelen. In plaats van een netwerk te overstelpen met dataverkeer of sessies, proberen deze aanvallen de traditionele detectiemechanismen te omzeilen. Ze richten zich op specifieke applicaties en diensten om de bronnen op applicatieniveau langzaam maar zeker uit te putten.
De aanvallen nemen ook qua schaalomvang toe. Tien jaar geleden was er sprake van pakweg een of twee 50 Gbps-aanvallen per jaar. Tegenwoordig vinden dit soort aanvallen wekelijks plaats. In december 2015 werd de BBC getroffen door een DDoS-aanval met een capaciteit van 602 Gbps, de meest intensieve uit de geschiedenis.Volgens het onderzoeksbureau Quadrant Knowledge Solutions zal de wereldwijde markt voor oplossingen die bescherming tegen DDoS-aanvallen bieden de komende vijf jaar fors groeien, met een gemiddelde jaarlijkse groei van 27,6%. In 2020 zal er 2 miljard dollar in deze markt omgaan.
Wat is het gevaar van APT’s? Een ATP-aanval kan de controle van computersystemen overnemen, zoals in het geval van de aanval op het Oekraïense elektriciteitsnet. De aanvallen kunnen ook gebruikmaken van communicatiesystemen voor onder meer spear phishing-campagnes, waarbij e-mailberichten worden verzonden met op het eerste geschikt onschuldige bijlagen. En dan zijn er nog zero day-aanvallen, waarbij misbruik wordt gemaakt van nog niet gepubliceerde kwetsbaarheden in software om kwaadaardige code uit te voeren of de controle over een bepaalde computer over te nemen. Zodra cybercriminelen erin zijn geslaagd om het netwerk binnen ter dringen, kunnen ze gegevens met grote eenvoud naar buiten smokkelen. Dat kan gaan om wachtwoorden, bestanden, databases, e-mailaccounts en andere cruciale data. Ook na het stelen van gegevens kunnen aanvallers binnen het netwerk aanwezig blijven om rond te neuzen in de informatiebronnen die ze daar aantreffen.
Als gevolg van toenemende regionale spanningen en territoriale conflicten tussen China, India en landen in Zuid-Oost Azië groeit het aantal APT-aanvallen in Azië in hoog tempo. Een groep hackers die onder de naam APT 30 opereert heeft de afgelopen jaren modulaire malware ingezet om gevoelige informatie van hun slachtoffers te bemachtigen. Daarbij braken ze ook in op netwerken die staatsgeheimen behuisden. Sommige van deze cyberaanvallen maakten gebruik van e-mailberichten die in de moedertaal van de ontvanger waren opgesteld. Het leek erop dat de bijlagen juridische documenten omvatten, maar in werkelijkheid ging het om malware. De aanvallers ontwikkelden daarnaast wormachtige algoritmen die zichzelf in hardwarevoorzieningen zoals USB-sticks en harde schijven nestelden. Zodra deze apparatuur in contact kwam met andere systemen, verspreidde de aanval zich.
Bescherming bieden tegen DDoS-aanvallen en APT’s
Wat kan de overheid ondernemen om zich beter te beschermen tegen cyberaanvallen?
- Een uitgebreide, gelaagde beveiligingsaanpak is een van de beste manieren om krachtige bescherming te bieden tegen de uit de pan rijzende cyberaanvallen. Maar een effectieve verdediging vraagt wel om een coherent en uitbreidbaar beschermingskader. Dit kader moet de bestaande beveiligingsoplossingen en nieuwe technologieën integreren en een zelflerend mechanisme omvatten dat praktisch inzetbare informatie aanlevert over actuele bedreigingen. Verder moet er een evaluatie van de netwerkomgeving worden uitgevoerd en een responsplan worden opgesteld. Het is belangrijk om potentiële bottlenecks te beveiligen, het netwerk te bewaken, verder te kijken dan alleen grootschalige aanvallen en tegenmaatregelen te plannen.
- In plaats van de focus te richten op het volledig elimineren van het DDoS-verkeer, zou een beveiligingsstrategie ook moeten proberen om de beschikbaarheid van kritieke diensten te waarborgen en verstoring daarvan te minimaliseren. Dit vraagt om back-up- en herstelprocedures, aanvullende bewaking en oplossingen die het mogelijk maken om diensten zo snel en efficiënt mogelijk te herstellen. Een strategie die voorziet in gelaagde bescherming tegen DDoS-aanvallen vraagt ook om de inzet van speciale oplossingen op locatie die het mogelijk maken om bedreigingen uit alle hoeken en gaten van het netwerk af te slaan.
- Om het gevaar van ATP’s te bezweren moeten overheden beveiligingsmechanismen ontwikkelen die potentieel kwaadaardige applicaties en malware een halt toeroepen en voorkomen dat gevoelige informatie het netwerk kan verlaten. Een manier om dit te doen is om voor netwerksegregatie te zorgen. Dit zal de verspreiding van een APT binnen het netwerk tegengaan.
- ICT-managers moeten er verder rekening mee houden dat niet elke werknemer toegang hoeft te hebben tot systemen met gevoelige informatie. Door de toegang zoveel mogelijk te beperken kunnen veel aanvallen worden voorkomen. Het gebruik van two factor-authenticatie voor toegang op afstand en gebruikers die toegang nodig hebben tot gevoelige informatie zal het eveneens moeilijker maken om misbruik te maken van gestolen of zoekgeraakte aanmeldingsgegevens.
- Een hechte samenwerking met een leverancier van beveiligingsoplossingen is eveneens van cruciaal belang. Een goede partner is in staat om up-to-date informatie over bedreigingen aan te leveren aan de ICT-afdeling en een escalatietraject te definiëren voor situaties waarin een beveiligingsincident wordt gedetecteerd. Overheidsinstellingen zouden verder actief moeten samenwerken met dienstverleners en organisaties die zich met cyberbeveiliging bezighouden. De uitwisseling van informatie over bedreigingen met andere organisaties maakt het mogelijk om het bedreigingslandschap uitgebreider in kaart te brengen en effectiever te reageren op aanvallen.
- Ten slotte is het belangrijk om niet op te houden bij een grondige evaluatie van het netwerk en het opstellen van een uitgebreid beveiligingsplan. Voor een succesvol resultaat is het van cruciaal belang om overheidsmedewerkers voor te lichten over cyberbedreigingen. Werknemers die toegang hebben tot gevoelige informatie moeten speciale training ontvangen, zodat ze precies weten hoe ze veilig met deze data kunnen omgaan. Ook is het beperken van de toegang van werknemers tot USB-sticks tot het strikt noodzakelijke een effectieve maatregel om het netwerk veilig te houden.
Of het nu gaat om APT’s, epidemieën van internetwormen, DDoS-aanvallen, botnets, kwaadwillende insiders of aanvallen van buitenaf, cyberaanvallen krijgen een steeds geavanceerder karakter en worden steeds brutaler. Overheidsinstellingen moeten daarom goed nadenken over hun beveiligingsinfrastructuur, proactief optreden en een gelaagde beveiligingsaanpak hanteren om cyberrisico’s tot een minimum terug te dringen.
Vincent Zeebregts, Country Manager Nederland
