Het bedrijfsleven en de overheid hebben elkaar hard nodig in de strijd tegen cybercriminaliteit. “Wij kunnen onze klanten beschermen tegen cyberaanvallen, maar we hebben geen opsporingsbevoegdheid”, zegt Jordi Scharloo, securityonderzoeker bij KPN Security. Daarom werkt KPN Security samen met het Team High Tech Crime van de Nederlandse politie. “Samen proberen we een klap uit te delen aan cybercriminelen.”
In het kader van de samenwerking deelt KPN Security realtime gegevens over malwarebesmettingen en datalekken met het team. Scharloo: “Als wij zien dat ergens een infectie gaat plaatsvinden, willen we de organisatie waarschuwen en de daders aanpakken. Maar onze mogelijkheden voor opsporing zijn beperkt, zeker in het buitenland. Dan moet je schakelen met internationale partners zoals de FBI. Maar zij luisteren sneller naar het Team High Tech Crime dan naar een private partij als KPN Security.”
Voor het Team High Tech Crime heeft de samenwerking ook voordelen. “De politie werkt op basis van aangiftes en individuele zaken”, licht Scharloo toe. “De data die wij met onze technologie opvangen, kan het Team High Tech Crime niet zomaar verzamelen. Zij krijgen alleen voor een gericht onderzoek toestemming van de officier van Justitie. Met de data-uitwisseling vullen we elkaar echt aan. Samen hebben we al meerdere besmettingen in de kiem gesmoord die tot grote problemen in de toeleveringsketen hadden kunnen leiden.”
Voortvluchtige criminelen opsporen
KPN Security levert ook op andere manieren een bijdrage aan de bestrijding van criminaliteit. “Zo doen we regelmatig mee aan hackathons die de politie organiseert”, vertelt Mark de Groot, ethical hacker bij het KPN Red Team. Als voorbeeld noemt hij de ‘veegactie’ FASTNL, waarbij de politie op voortvluchtige criminelen jaagt. “Wij zoeken dan vanuit een grote zaal online naar aanwijzingen over de locatie van de crimineel. Als we iets vinden, komt het arrestatieteam direct in actie. Soms zie je dat er live arrestaties worden verricht. Dat is erg dankbaar werk.”
Scharloo en De Groot zijn optimistisch over de samenwerking met de Nederlandse politie. Toch verwachten ze niet dat de wapenwedloop met cybercriminelen snel tot een einde komt. “Onze beveiligingstechnologie wordt steeds beter, maar de aanvalsmethoden ook”, zegt De Groot. “En de opsporing blijft een uitdaging. Als je eenmaal weet wie de daders zijn, zitten ze vaak op plekken waar je ze niet kunt arresteren. Zelfs in bevriende landen zijn de procedures complex en tijdrovend.”
NLSecure[ID]: lessons learned
Tijdens de septembereditie van NLSecure[ID] gingen De Groot en Scharloo uitgebreid in op de samenwerking met het Team High Tech Crime. Het thema van dit event was ‘lessons learned’. Wat zijn volgens hen de belangrijkste lessen uit het afgelopen jaar? “Steeds meer organisaties zien nu in dat een cybercrimineel meerdere middelen tot zijn beschikking heeft om een aanval uit te voeren”, zegt De Groot. “Security is niet alleen een kwestie van technische maatregelen zoals netwerkbeveiliging. De fysieke en menselijke aspecten zijn net zo belangrijk.”
“Je kunt wel een moderne firewall hebben, maar wat als een aanvaller via een achterdeur het gebouw binnendringt en de serverruimte opzoekt?”, vervolgt De Groot, die met het KPN Red Team dergelijke aanvalsscenario’s simuleert. “Of wat als iemand net voor vijf uur een telefoniste belt om informatie los te peuteren, met op de achtergrond gehuil van een baby om de druk verder op te voeren? Dan is zij toch geneigd om veiligheidsprocedures los te laten. Elke aanvaller heeft zijn eigen specialisme. Een solide securitystrategie dekt dus alle drie de aspecten af.”
Dreigingen evolueren snel
Scharloo wil organisaties vooral meegeven dat malware steeds geavanceerder wordt. “De aanvallers zetten allerlei technische snufjes in om detectie te voorkomen. Ook gaan ze geniepiger te werk. Ze brengen een netwerk eerst volledig in kaart en slaan pas toe op een gunstig moment, zoals een feestdag.” Bovendien gaan de ontwikkelingen razendsnel, zo ondervond hij zelf. “Ik deed maandenlang onderzoek naar de ransomware Avaddon, maar op een dag verdween deze bende van de aardbodem. Dat was voor mij persoonlijk wel een les”, lacht hij.
De onderzoeker noemt nog een ‘lesson learned’: “Te weinig bedrijven begrijpen dat een beveiligingssysteem niet iets is wat je koopt, maar wat je ontwikkelt. Je moet er bovenop blijven zitten. Cybersecurity is een continu proces van risico’s inventariseren en maatregelen aanscherpen.” De Groot is het daarmee eens. “Veel organisaties kennen zichzelf niet goed genoeg. Hoe ziet je IT-omgeving eruit? Wat zijn de kroonjuwelen? Welke risico’s dek je af en hoe doe je dat? Zo’n risicoanalyse is het startpunt voor een solide beveiliging.”
Doe altijd aangifte
De twee experts sluiten af met een dringend advies aan slachtoffers van cybercriminaliteit: doe altijd aangifte. “De politie heeft de expertise om jou te ondersteunen”, benadrukt Scharloo. “Ook is het belangrijk dat de politie weet wat er speelt in Nederland. Veel mensen doen geen aangifte omdat ze denken dat de politie er toch geen capaciteit voor heeft. Maar dat werkt averechts. Hoe meer aangiftes er binnenkomen, hoe sneller de capaciteit wordt opgeschaald. Stap dus altijd naar de politie.”