MENU
De cyberoorlog kent geen grenzen: waar moeten bedrijven rekening mee houden
De invasie van Rusland in Oekraïne leidt tot taferelen die we tientallen jaren lang niet in Europa hebben gezien. De strijd zorgt voor verwoesting en veel onschuldige slachtoffers. Online wordt er ook een strijd gevoerd, maar deze schade blijft tot op heden grotendeels beperkt. Toch is het belangrijk dat organisaties extra alert blijven. Niet voor niets waarschuwen cyberagentschappen, zoals het Nederlandse NSCS, het Belgische CCB, het Amerikaanse CISA en de Duitse inlichtingendienst BSI, voor Russische cyberaanvallen en software.
De vraag blijft echter, wat kunnen en moeten organisaties doen om zich voor te bereiden? In deze nieuwsbrief vind je antwoorden op de meest prangende vragen.
1. Welke gevaren zijn er in de eerste plaats?
Op dit moment is het dreigingsniveau verhoogd, maar tot nu toe zijn er geen concrete activiteiten op een breed front geweest. Wel hebben de meeste westerse cyberagentschappen verklaard dat organisaties extra waakzaam moeten zijn voor mogelijke cyberaanvallen en moeten opletten voor ‘achterdeurtjes’ bij de aanschaf van Russische software.
2. Welke aanvalsscenario's zijn realistisch?
De meest beschreven scenario's uit het crisisgebied zijn DDoS-aanvallen die gericht zijn op het specifiek overbelasten van bepaalde systemen. De primaire doelen hier zijn kritieke infrastructuren, waaronder overheidsinstanties, energiecentrales en banken. Dit betekent echter niet dat andere bedrijfssectoren geen risico lopen. Individuele bedrijven kunnen per ongeluk het slachtoffer worden als een aanval zich verder verspreidt of als simpelweg het vernietigen van gegevens het doel is. Hiervoor wordt vaak gebruik gemaakt van zogenaamde wipers, die het wissen van zoveel mogelijk gegevens als doel hebben.
3. Wie zijn de aanvallers?
Deze vraag is moeilijker te beantwoorden omdat er geen duidelijk gedefinieerde fronten zijn. De afgelopen weken zijn er tal van vrijwillige ‘hackers’ uit alle delen van de wereld opgedoken die een bijdrage willen leveren om Oekraïne of Rusland te steunen. Dergelijke groepen zijn vaak zeer losjes georganiseerd en hun activiteiten zijn nogal ongecoördineerd. Het kennisniveau is ook heel verschillend. Het is daarom op dit moment onmogelijk om duidelijke uitspraken te doen over de oorsprong van cyberaanvallen.
4. Waar moet ik speciaal op letten?
Om systemen succesvol aan te kunnen vallen, scannen cybercriminelen netwerken vooraf op kwetsbaarheden. Dit gebeurt met behulp van gespecialiseerde scanprogramma's die bijvoorbeeld zoeken naar open netwerkpoorten. Systemen die worden blootgesteld aan internet worden dus op zijn minst potentiële doelwitten. Daarnaast kunnen scanactiviteiten ervoor zorgen dat systemen overbelast raken. Controleer en monitor netwerken daarom continu en zorg ervoor dat alle systemen up-to-date zijn.
5. Hoe kan ik mijn aanvalsoppervlak verkleinen?
Er zijn enkele algemene maatregelen die genomen kunnen worden. Het is ten eerste belangrijk om menselijke fouten te voorkomen. Door medewerkers op de hoogte stellen van de risico’s middels een structureel bewustwordingsprogramma kan dit worden gerealiseerd. Zorg daarnaast voor de juiste mix van beveiligingsoplossingen en wees er zeker van dat al je apparaten volledig geüpdatet en gepatched zijn. Moderne security oplossingen werken met intelligente mechanismen zoals heuristiek, gedragsanalyse, Artificial Intelligence en een exploitbeveiliging. Op deze manier krijgen nieuwe malware en zero-day exploits geen kans. Systemen die aan het internet zijn blootgesteld, bieden een potentieel aanvalsoppervlak. Daarom moet zorgvuldig worden nagegaan of een bepaald systeem wel via het internet toegankelijk moet zijn. Als er geen geldige reden is om een systeem te verbinden met het internet, is het verstandig om dit te blokkeren. Verwijder ook altijd de software die niet meer wordt gebruikt. Dergelijke software wordt meestal niet geüpdatet, waardoor er kwetsbaarheden kunnen ontstaan. Monitor het netwerk regelmatig, weet wie waar toegang heeft tot het netwerk en welke apparatuur toegang heeft tot de systemen. Maak ook back-ups en vergeet niet om deze regelmatig te testen op volledigheid en functionaliteit.
6. Wat kan ik doen als mijn netwerk wordt aangevallen?
Het belangrijkste in dit geval is het uitvoeren van het incident response plan. Om een goed incident response plan te ontwikkelen is het belangrijk dat er wordt nagedacht over iedere te zetten stap bij een eventueel cyberincident. Zorg er daarom voor dat alle risico’s in kaart zijn gebracht en dat er een lijst is met alle sleutelpersonen en verantwoordelijken. Op deze manier is het mogelijk om snel iedereen te bereiken die op de hoogte moet zijn van het incident. Daarnaast is ook de technische kant belangrijk, met een nulmeting kunnen de huidige systemen worden geanalyseerd om te bepalen welke incidenten het meest voorkomen.