De ontwikkelingen in Oekraïne brengen een grote onzekerheid met zich mee. We zien voor het eerst hoe een moderne oorlog zich afspeelt in een maatschappij die sterk met elkaar verbonden is, waarbij alles te volgen is via TikTok, Facebook en Reddit.
Ook de manier van oorlog voeren is anders. Tanks en soldaten blijven cruciaal, maar cyber wordt ook steeds meer een belangrijk onderdeel van de aanval. Zo zijn er berichten over phishing-mails die zowel Oekraïense militairen als burgers overspoelen, en DDoS-aanvallen (Distributed Denial of Service) die websites platgooien om het moreel en het reactievermogen van de slachtoffers te ondermijnen.
Rusland heeft gezegd “nooit schadelijke operaties in cyberspace te hebben uitgevoerd en dat momenteel ook niet te doen” maar de realiteit laat er geen twijfel over bestaan. Lokale cybercriminelen, zoals de groep Conti, hebben hun steun betuigd aan de Russische missie en dreigen met gevolgen als er wordt ingegrepen in cyberspace. Mykhailo Fedorov, de vice-premier van Oekraïne, heeft ook de vorming van een “IT-leger” aangekondigd en een lijst opgesteld van belangrijke doelwitten, waaronder Russische overheids- en bedrijfswebsites.
Naast dit cyberconflict zijn er ook financiële sancties, eveneens een wapen dat in conflicten wordt ingezet en wereldwijd wordt gebruikt tegen Russische agressors. Het is heel goed mogelijk dat een combinatie van beide aspecten, cyberaanvallen en sancties, nog lang na het einde van deze oorlog zal voortduren. Er is een reële kans dat deze situatie het cyberlandschap volledig op zijn kop zal zetten.
Het cyberlandschap verandert als gevolg van Russische agressie
Tot dusver hebben westerse regeringen cyberaanvallen getolereerd, uit bezorgdheid over de gevolgen van “terughacken”, en zijn ze niet bereid geweest om een groot offensief in cyberspace te lanceren. Nu de gevechtslinies duidelijk zijn, bestaat de kans dat nationale cyberveiligheid uitgroeit tot een onderdeel van het dagelijks leven.
We kunnen alleen maar hopen dat deze aanvallen van politieke aard blijven en het normale leven niet verstoren. De aanwezigheid van Ransomware as a Service en de recente toename van het aantal aanvallen op ziekenhuizen, transportcentra en watercentrales suggereren echter dat aanvallen op kritieke infrastructuur in het verschiet liggen. Hierdoor worden westerse landen mogelijk gedwongen om te leren leven met stroomstoringen, vertragingen en systeemstoringen in de financiële sector.
Maar het meest waarschijnlijke is misschien wel de beleidsverandering die zeker moet plaatsvinden met betrekking tot ransomware. Overheden hebben eerder toegestaan dat er grote bedragen werden betaald aan Russische cybercriminelen om bedrijven in staat te stellen te herstellen en hun bedrijfsvoering voort te zetten. Voorbeelden zijn JBS Foods, dat 11 miljoen dollar betaalde aan REvil, en Colonial Pipeline, dat 4,4 miljoen dollar betaalde aan Darkside. Wanneer duidelijk wordt dat deze middelen naar een vijandig rechtsgebied gaan – een rechtsgebied dat wordt aangemoedigd om op illegale wijze financiële sancties te ontduiken – moeten de westerse regeringen wel een grens trekken.
Organisaties die tot dusver slechts zijdelings aandacht hebben besteed aan cyberbeveiliging, moeten hun houding snel aanpassen. Dit conflict heeft namelijk het potentieel om de regelmaat en complexiteit van digitale aanvallen te doen escaleren. Tegelijkertijd verdwijnt de mogelijkheid om met contant geld, verzekeringen of andere middelen een uitweg te kopen. De cyberbeveiliging zal voor een organisatie even belangrijk worden als haar financiën – ze raken immers steeds meer met elkaar verweven – en we kunnen verwachten dat overheidsmaatregelen deze prioriteitsbepaling in het bedrijfsleven zullen versterken.
Hoe zit het dan met cybercriminelen? Als bedrijven stoppen met het betalen van losgeld en zowel hun weerbaarheid als tolerantie verbeteren, waar valt voor criminelen dan nog geld te halen? Misschien zullen zij zich richten op de grote hoeveelheden digitaal geld die zich momenteel in meerdere online cryptoplatforms bevinden. Of misschien verleggen ze hun focus van bedrijven naar individuele gebruikers om één aanval van 10 miljoen euro te vervangen door tienduizend aanvallen van 1.000 euro?
Tijd om de cyberbeveiliging onder handen te nemen
CISO’s hebben momenteel hun handen vol aan hun Russische faciliteiten en infrastructuur, terwijl ze nerveus afwachten of een militaire cyberaanval overslaat naar het zakelijke domein. Velen hebben al noodplannen opgesteld, of bereiden deze haastig voor, om hun belangrijkste waarde te beschermen. Daarbij wordt gekeken naar de verschillende posities en maatregelen die zij kunnen nemen om zich in toenemende mate te beschermen tegen een wereldwijde dreiging, zonder hun diensten in gevaar te brengen.
Het is onwaarschijnlijk dat een aanval, mocht die zich voordoen, volledig nieuwe wegen zal inslaan. De voor de hand liggende controles die we al jaren toepassen, zijn nog steeds relevant, maar het is nu van essentieel belang dat ze veel doeltreffender dan ooit worden toegepast. Patching, back-ups, bewustmakingstraining, phishing-preventie, threat hunting en incident response-oefeningen maken allemaal deel uit van de cyberhygiëne die we moeten implementeren. Net als bij het coronavirus waren we allemaal gewend om onze handen te wassen, maar pas toen we dat met grote regelmaat deden, werd het echt effectief.
