Cybercriminelen weten ons land te vinden. Dat is slecht nieuws, want al te veel bedrijven zijn daar niet op voorzien. Hoewel de cybermaturiteit stijgt, blijft het belangrijk om de basisprincipes te prediken. Al horen we bij Orange Cyberdefense dat sommige organisaties het nooit zullen leren.
“Slecht weer bestaat niet, enkel slechte kledij.” Dat zegt Hans Stevens, Head of Solution Design op het Ahead of the Storm-evenement van Orange Cyberdefense. Zoals de naam suggereert, is weer een belangrijk thema. Ook de cyberwereld kent klimaatverandering, met steeds meer en geavanceerdere dreigingen die almaar sneller worden uitgebuit.
“Intussen duurt het gemiddeld amper twaalf dagen voor criminelen een nieuwe kritische kwetsbaarheid actief misbruiken”, weet Simen Van der Perre, Strategic Advisor bij Orange Cyberdefense. Bedrijven die hun paraplu thuis vergeten zijn, zullen nat worden.
Kogelwerende vest
Aanvallen kan je niet voorkomen, weten ook de specialisten bij Orange Cyberdefense. Steven De Munter is vandaag actief bij Orange Cyberdefense maar werkte tot 2020 bij de computer crime unite van de politie. Zijn analogie heeft weinig met het weer te maken. “Bij de politie droeg ik een kogelwerende vest. Word je daarop geraakt, doet het nog steeds pijn, maar ben je niet dood.”
Word je op je kogelwerende vest geraakt, doet het nog steeds pijn, maar ben je niet dood.
Steven De Munter, Orange Cyberdefense
Die analogie staat centraal tijdens de twee weken aan sectorspecifieke events en presentaties op het hoofdkwartier van Orange Cyberdefense in Wijnegem. Zelfs met de beste bescherming kan je een doelwit zijn. Wie zijn zaken op orde heeft en een digitale kogelwerende vest draagt, zal bij een complexe aanval een beetje pijn hebben maar snel terug rechtkrabbelen. Betreed je het cybertoneel gekleed in je ondergoed, dan valt een snelle dood niet uit te sluiten.
Mens en proces
Stevens, De Munter en Van der Perre hameren allemaal op enkele basisprincipes die al bij al los staan van technologie. In de driehoek mens, proces en technologie zijn mens en proces misschien wel belangrijker dan technologie wanneer het op cyberbeveiliging aankomt.
Training is daarom essentieel. Werknemers moeten de belangrijkste gevaren kunnen herkennen. “Phishing blijft de belangrijkste initiële aanvalsvector”, weet Van der Perre. Dat impliceert dat training op bewustwording, bijvoorbeeld door artificiële phishingcampagnes, heel belangrijk is en blijft.
Plannen, testen, leren en herhalen
Wat processen betreft moeten bedrijven groot en klein een incident respons-plan opstellen en testen. Vroeg of laat vindt er een cyberincident plaats, dat mag je als een gegeven zien. Wat ga je doen als het zo ver is?
“Amper dertig procent van de bedrijven zegt dat ze zo’n plan hebben”, weet Van der Perre. “En daarmee is het lang niet zeker dat het werkt of dat ze het regelmatig testen”, vult De Munter aan.
Amper dertig procent van de bedrijven zegt dat ze een incident respons-plan hebben.
Simen Van der Perre, Strategic Advisor Orange Cyberdefense
Een incident respons plan is een playbook waarin staat wie wat moet doen bij een cyberaanval. De complete versie kan voor grote ondernemingen de vorm van een heuse bijbel aannemen. “Maar in de praktijk maken we ook kleine folders van een tiental pagina’s gericht op mensen en departementen, waar precies in staat wat hun rol is”, zegt De Munter.
Zo’n plan moet up to date blijven. Wanneer het in drie jaar niet geüpdatet is, en de telefoonnummers van belangrijke mensen kloppen niet meer, was alle voorgaande moeite tevergeefs. De Munter: “We raden de IT-teams aan om drie keer per jaar te testen, met één test op bedrijfsniveau waarbij de C-levels betrokken zijn op jaarlijkse basis.”
Dat hoeft niet lang te duren. “Doorloop het playbook en controleer of iedereen weet wat er moet gebeuren. Zo’n test hoeft niet meer dan een halve dag in beslag te nemen.” Wanneer er een cyberalarm afgaat, kan iedereen wel een up to date plan volgen. Paniek neemt niet de bovenhand: je bedrijf draagt een kogelvrije vest. En heeft een paraplu bij, indien je de weer-analogie verkiest.
Belgische bedrijven zijn een doelwit
Bjorn Sverre Svendsen is als Team Lead Incident Response bij Orange Cyberdefense in de Nordics afgezakt uit Noorwegen om duidelijk te maken hoe belangrijk het is om een responsplan klaar te hebben en te leren uit eventuele fouten. Het valt hem op dat er in België weinig marge is om te lanterfanten.
Aanvallers scannen alle .be-adressen.
Bjorn Sverre Svendsen, Team Lead Incident Response Orange Cyberdefense
“België is toch wel een groter doelwit voor cyberaanvallen dan geanticipeerd”, vertrouwt hij ons toe. Dat komt door de aanwezigheid van de NAVO en de Europese instellingen in ons land, maar blijft niet beperkt tot die organen. “Aanvallers scannen alle .be-adressen”, weet hij. Logisch: een aanval op een geopolitiek belangrijk en goed beveiligd doelwit, kan je maar beter starten ergens onderaan in de toeleveringsketen waar de beveiliging misschien minder op punt staat.
Cafépraat
Op het evenement van Orange Cyberdefense neemt Sverre Svendsen plaats aan een cafétoog op het podium. Onder begeleiding van lichte jazzmuziek entertaint hij De Munter met straffe verhalen. “Eigenlijk verschilt dat niet zoveel van de gesprekken die we in Noorwegen iedere donderdag met de collega’s voeren”, merkt hij achteraf op.
Aan de bar op het podium horen we niets over ezels, want die stoten zich geen twee keer aan dezelfde steen. Het bedrijf waar Sverre Svendsen het over heeft, heeft intussen al zijn vierde dans met cybercriminelen.
“De eerste keer was enkele jaren geleden”, zucht hij. “De klant kwam bij ons terecht met een economisch fraudeverhaal. De facturatie was vervalst na een compromitteren via accountgegevens van Office 365. Het bedrijf gebruikte geen MFA en voor Office stonden de standaardinstellingen geactiveerd, waardoor de logs maar drie maanden teruggingen.” Het CSIRT (Cyber Security Incident Reponse-team) van Orange Cyberdefense kuiste de boel op en de collega’s van Sverre Svendsen gaven het slachtoffer enkele suggesties om toekomstige problemen te voorkomen.
Allergisch voor kritiek
“De meerderheid gaat daarmee aan de slag”, weet hij. “Maar niet iedereen. Sommige IT-teams worden zelfs kwaad van de constructieve kritiek.” Bij het bedrijf in kwestie gebeurde er niets. Zelfs MFA bleef gedeactiveerd. Dus werd Orange Cyberdefense opnieuw uitgenodigd, deze keer om een ransomware-aanval op te lossen. Opnieuw werden suggesties genegeerd, waarna criminelen enkele maanden later opnieuw met ransomware binnenraakten.
“Enkele maanden geleden tot slot werden ze het slachtoffer van een cryptoworm die zichzelf lateraal kon verplaatsen door het netwerk”, sluit Sverre Svendsen af. “En het bedrijf heeft zijn les nog steeds niet geleerd.”
Het voorbeeld illustreert haast komisch hoe lang de weg is die sommige bedrijven nog af te leggen hebben, terwijl de dreiging in ons Belgenlandje zeker niet de kleinste is. Onder andere daarom investeert Orange Cyberdefense in een eigen Belgisch CSIRT.
Belgische capaciteiten
“We willen innoveren en onze bestaande cybersecurity-capaciteiten in België verbeteren”, zegt Filip Verstockt, General Manager. “We hebben al acht CyberSOC-analysten en investeren ook in een lokaal incident response-team.” Verstockt merkt op dat drie jaar na de transitie en samensmelting van Orange Cyberdefense, SecureLink en Secure Data de trein van managed security services bij ons echt vertrokken is. “Al duurde dat een jaartje langer dan verwacht.”
In ons land voorziet de Orange Cyberdefense-groep de komende drie jaar heel wat organische groei. Aan opportuniteiten geen gebrek. Hoe meer bedrijven beseffen dat ze een doelwit zijn, hoe meer ze geneigd zijn om cybersecurity voor een stuk uit te besteden. Logisch: beveiliging is dan wel essentieel, voor de meesten is het geen core business. Het technologische luik is daarvoor belangrijk, maar Orange Cyberdefense is vastbesloten mensen en processen niet uit het oog te verliezen.