de minister is daar niet mee bezig
1.
17
3.
5.
Gemakkelijk
te kraken
wachtwoorden?
Grote kans dat je
voor de bijl gaat
Hoe gaan ransomware-aanvallers te werk?
wie het al te laat is. Wie een beter
slot op zijn voordeur zet, zal mer
ken dat de criminelen liever naar
de buren gaan. Zo werkt het in de
cyberwereld ook. In Nederland
staan nog veel te veel voor- en
achterdeuren open.
De zoektocht naar openstaande
deurtjes verloopt vandaag de dag
volledig geautomatiseerd. Staat er
gens een slecht beveiligde server?
Dan wordt dat feilloos gedetec
teerd. Zijn er ergens gemakkelijk
te kraken wachtwoorden in ge
bruik? Grote kans dat je voor de
bijl gaat. Daar kun je iets tegen
doen. Wachtwoordenhacks kun je
voorkomen met 2 factor-autorisa
tie; dat wil zeggen dat je naast een
wachtwoord bijvoorbeeld nog een
toegangscode nodig hebt die je via
sms ontvangt. Maar veel bedrijven
vinden dat maar gedoe.
Ook het maken van regelmatige
back-ups is natuurlijk een ver
eiste. En die moeten niet online
toegankelijk zijn. Grote bedrijven
hebben inmiddels behoorlijk in
cybersecurity geïnvesteerd.
Mkb'ers laten nog veel liggen.
Hun systemen zijn soms zo
lek als een mandje, omdat
ze denken dat ze geen doel
wit zijn. ,,Een paar jaar gele
den kon ik daar nog in mee
gaan, maar inmiddels over
komt hen wat grotere be
drijven jaren geleden over
kwam", zegt Michael Wa
terman, cybersecurity con
sultant van ict-specialist
ACA IT-Solutions. Hij
komt bedrijven tegen waar
nog extreem verouderde
Windows-versies draaien,
die allang geen updates meer
krijgen. In de top tien van
meest misbruikte gaten in
de beveiliging staan nog
kwetsbaarheden uit 2006 en
2018. Software die niet up-to-
date is, is als een voordeur die
wagenwijd openstaat. Cyberse-
curitygoeroe Ronald Prins, van
Hunt Hackett, ontvangt ons in
zijn woonplaats Scheveningen.
Bijna achteloos lepelt hij op hoe
gehaaid de cyberdieven te werk
gaan: ,,Elke tweede dinsdag van de
maand maakt Microsoft bekend
welke beveiligingslekken gedicht
worden met een update. Dan zit
ten de criminelen al klaar om van
die lekken nog vlug gebruik te ma
ken." Wie de update te laat instal
leert, is het haasje.
Maar voortdurend updates in
stalleren is voor sommige organi
saties nog een hele klus. We be
zoeken een ziekenhuis in het zui
den van het land waar het hoofd
van de ict-afdeling vertelt dat er
zo'n 800 applicaties gebruikt wor
den, die allemaal updates nodig
hebben. De afdeling ict telt 140
medewerkers van wie er zo'n 45
verantwoordelijk zijn voor de in
frastructuur van hard- en soft
ware en daarmee direct met vei
ligheid bezig zijn. ,,,Om eerder dit
jaar het netwerk vier uur plat te
kunnen leggen, voor het vervan
gen van hardware en up-
daten van bijbehorende software,
was een half jaar voorbereiding
nodig. Sommige patiënten moes
ten naar andere ziekenhuizen en
in de gangen werd met extra per
soneel fysiek gepatrouilleerd,
want de alarmknopjes voor de pa
tiënten werkten tijdelijk niet.''
Het netwerk van het ziekenhuis
wordt continu gemonitord. ,,Als er
iets opvalt, komt de piketdienst
meteen in actie.'' Er zijn meer
grote bedrijven die hun netwer
ken laten monitoren. Wordt er
vanuit Rusland ingelogd of op een
ongebruikelijk tijdstip? Dan gaan
de alarmbellen rinkelen.
Maar advocaat en hoogleraar ict-
recht Lokke Moerel beklemtoont
dat je niet van alle bedrijven kunt
verwachten dat ze zelf zo'n trits
maatregelen nemen. Moerel is lid
van de Cyber Security Raad, het
belangrijkste adviesorgaan dat het
kabinet op dit gebied heeft. Dat de
beveiliging van computersyste
men het pakkie-an is van bedrij
ven zelf, is haar veel te gemakke
lijk. ,,Dit stijgt zo ver uit boven
wat je van het mkb kunt verwach
ten. Die moet je ontzorgen met
standaard beveiligingsdiensten en
een 'helpdesk' als een hack heeft
plaatsgevonden."
Voor een verbod op het betalen
van losgeld is Moerel niet. Wel
pleit ze, zoals meer Nederlandse
experts, voor een meldplicht. Wie
door ransomware getroffen wordt,
moet zich bij de autoriteiten mel
den. Niet om een boete te krij
gen voor gebrekkige beveili
ging, maar simpelweg
om nieuwe slachtof
fers te voorkomen.
Nu ransomwa-
re-aanvallen nog
massaal in de doof
pot gaan, ontbreekt
het instanties vaak aan infor
matie om andere bedrijven te
waarschuwen.
Een mooi voorbeeld is de Uni
versiteit Maastricht die wél infor
matie deelde over een ransomwa-
reaanval. Met die gegevens werden
aanvallen op vermoedelijk twee
andere universiteiten voorkomen.
In Amerika wordt al gewerkt aan
een meldplicht, maar in Neder
land laat justitieminister Grapper-
haus via zijn woordvoerster weten
nog niet met een voorstel tot in
voering bezig te zijn.
Voor Rogier maakt het niet meer
uit. Hij kreeg na de betaling van
het losgeld binnen een uur de
sleutel terug. Hij bedacht een slim
excuus om veel minder dan het
geëiste bedrag te betalen. ,,Ik zei
dat ik onder bijzonder beheer van
de bank stond en dus alleen iets
kon betalen met toestemming van
de bank. Daar schrokken ze al van
terug. Ik zei dat ik een klein be
dragje had waarover ik zelf kon be
schikken. Daarmee namen ze ge
noegen. Het was 90 procent min
der dan ze gevraagd hadden. Het
blijft een drama, maar dat voelde
toch als een kleine morele over
winning."
Voor dit verhaal voerde deze krant
gedurende drie maanden enkele tien
tallen gesprekken met onder anderen
vooraanstaande cybersecuritybedrij-
ven, slachtoffers, onafhankelijke des
kundigen, politie, justitie, ziekenhui
zen, overheidsinstellingen en be
drijfsleven. Verder deden we onder
zoek via het dark web en een reeks
rapporten en (overheids)documenten
die inmiddels over ransomware ver
schenen zijn.
GO ZATERDAG 25 SEPTEMBER 2021
Gespeciali
seerde
hackers
proberen
toegang te
krijgen tot een
computersys
teem, bijvoor
beeld via
phishingmails
of gekraakte
wachtwoorden.
II
Dc pc
De volgende
crimineel in de
aanvalsketen
gaat binnen het
netwerk op
zoek naar de
hoogste
rechten, die van
de systeembe
heerder, om de
gijzelsoftware
te kunnen
verspreiden.
Belangrijke
data worden
gestolen.
Back-ups
worden
onklaar
gemaakt.
De uiteindelij
ke aanval
vindt plaats
met een druk
op de knop.
Het moment
wordt door de
criminelen
zorgvuldig
getimed.
De aanvallers hebben zelfs een
'klantenservice' waarmee het
slachtoffer kan onderhandelen
over losgeld of hulp kan krijgen
bij de aanschaf van de vereiste
cryptomunten.
O
VOLGENDE WEEK DEEL 2:
Het is wachten op een nationale
ramp als ziekenhuizen en over
heidsinstanties aan de beurt zijn.
'De overheid heeft geen cyberop
perhoofd en ook geen plan'