Deze zomer is een aantal leveranciers van verzekeraars doelwit geweest van LockBit, een beruchte Russische ransomwarebende. Via de i-CERT dienstverlening hebben verzekeraars elkaar meteen gewaarschuwd, zodat ze hun maatregelen konden treffen. Rizal Meijer (CZ) maakt deel uit van het i-CERT team en geeft antwoord op 10 vragen.
1. Uit een ledenenquête van het Verbond blijkt dat de ‘impact van cyber op het eigen bedrijf’ dit jaar met stip op 1 staat in de top tien van meest impactvolle trends. Vorig jaar was dat nog plek 12. Is cyber hotter dan ooit?
“Als je naar de stijging van de schade kijkt, is dat zeker het geval. Jaren geleden spraken we over een paar miljoen en nu hebben we het jaarlijks over miljarden. De gevolgen van een aanval zijn dan ook enorm. Neem als voorbeeld een online casino dat een paar miljoen per uur omzet. De maatschappelijke impact is misschien niet zo hoog als een casino een paar dagen onbereikbaar is door een aanval, maar dat is de schade natuurlijk wel.”
2. Wat weet jij van LockBit en de bendeleider die sinds dit voorjaar verantwoordelijk wordt gehouden voor het opzetten van een groot crimineel netwerk?
“Ik ben eerlijk gezegd niet zo thuis in het volgen van al die grote bendes. Wat ik wel weet, is dat LockBit veel aan spinoff doet. De bende werkt steeds meer samen, bijvoorbeeld met onderaannemers, waardoor het nog makkelijker wordt om een bedrijf aan te vallen. Tegenwoordig bestaat er zelfs al zoiets als RAAS (Ransomware As A Service), waardoor het nog makkelijker is geworden om organisaties aan te vallen met ransomware als doel. LockBit is hierin ook een belangrijke speler.”
3. Wat is het grootste gevaar voor een verzekeraar?
“Dat hangt een beetje van het type verzekeraar af. Een ‘standaard’ verzekeraar die auto's en/of inboedels verzekert, heeft minder gevoelige data in huis. Een zorg- of arbeidsongeschiktheidsverzekeraar heeft al meer met bijzondere persoonsgegevens en gevoelige privé-informatie te maken. Dat kan behoorlijke impact hebben. Moet je je eens voorstellen dat een bekende Nederlandse artiest een geslachtsziekte heeft opgelopen en dat komt via jouw organisatie naar buiten? Dan is de imagoschade niet te overzien. Bovendien lopen verzekeraars altijd een dubbel risico. Bij een bedrijf als ASML willen hackers vooral de technische gegevens stelen. Bij een verzekeraar willen ze niet alleen de data stelen en openbaar maken, maar ook de organisatie lamleggen om grote sommen losgeld te kunnen vragen. Zeker is dat het aantal aanvallen stijgt en er ook veel sneller misbruik wordt gemaakt van kwetsbaarheden bij bedrijven. Ik noem het vaak een wapenwedloop. Hackers bedenken steeds weer nieuwe dingen om een aanval te kunnen doen.”
"Hackers bedenken steeds weer nieuwe dingen om een aanval te kunnen doen"
4. Hoe voorkom je dat je achter de feiten aanloopt en blijf je de hacker te slim af?
“Door enorm alert te zijn, je eigen zaakjes op orde te hebben en elkaar op tijd te waarschuwen. Het moet echt een cocktail van maatregelen zijn. Cybercriminelen maken gebruik van kwetsbaarheden in jouw systemen. Vaak zelfs zonder dat jij het weet. Zo is een securitybedrijf jaren geleden gehackt en kwam daar pas achter toen de hackers al een jaar binnen waren. In het Engels wordt dat asume breach genoemd. Als je nog niet bent gehackt, moet je er rekening mee houden dat het al is gebeurd.”
5. Hoe zorgen jullie er bij CZ voor dat je je zaakjes op orde hebt?
“De basis moet kloppen. Je moet een zero trust-beleid voeren ten opzichte van relaties die in en bij jouw systemen kunnen. Daarnaast moet je zorgen voor een goede back-up beveiliging, zodat iemand die binnenkomt niet verder kan. En tot slot moet je weten en meten hoe weerbaar je bent. Door de Europese Verordening DORA worden we allemaal gedwongen om ons af te vragen of we onze zaken wel op de goede manier doen. Ik vind dat goed nieuws, want vergis je niet, veel kwetsbaarheden ontstaan doordat oude systemen niet op tijd worden vervangen. Uiteraard blijven wij ook intern de awareness vergroten. Zo geven we flitslessen en trainingen om phishing te herkennen, onder meer via simulatiemails. Dat helpt echt. Vijf jaar geleden trapten collega's met enige regelmaat nog in zo'n mailtje, nu komt dat gelukkig zelden nog voor. En natuurlijk heb je er maar eentje nodig, maar juist daarom moet je basis goed zijn. Ik denk aan extra maatregelen als microsegmentatie zodat één verkeerde klik niet voldoende is om in onze systemen te komen. Met een zogenoemde multifactor-identificatie kun je het aantal dreigementen fiks beperken.”
"Veel kwetsbaarheden ontstaan doordat oude systemen niet op tijd worden vervangen"
6. Wat is voor jullie het belang van i-CERT?
“Dat je samen sterker staat dan alleen. Door samen te werken, kunnen we sneller een aanval detecteren. Als we binnen i-CERT een aanval zien, delen we die informatie direct met elkaar. Daardoor kan iedere deelnemende verzekeraar de dreigende mails, URL's of ip-adressen meteen zelf opzoeken en de afzender blokkeren. Ander voordeel is dat we kennis en kosten kunnen delen, bijvoorbeeld voor een bepaalde training. Ook kunnen we vragen stellen aan elkaar. ‘Kent iemand dit systeem? Hebben jullie ervaring met die partij?’ Vooral die kennisdeling is belangrijk om een aanval voor te kunnen zijn."
Wat is en doet i-CERT?
Het Centrum Bestrijding Verzekeringscriminaliteit (CBV) van het Verbond van Verzekeraars coördineert en ondersteunt het Computer Emergency Response Team voor de verzekeringssector (i-CERT). Bij het centrale i-CERT loket, dat bij het CBV is ondergebracht, kunnen verzekeraars en andere instanties cyberincidenten, -dreigingen en -kwetsbaarheden melden. Deze worden met de nodige waarborgen gedeeld met de hele sector of specifieke, belanghebbende verzekeraars. Bij grootschalige incidenten, of cyber-issues die meerdere partijen tegelijk raken, kan het CBV een coördinerende rol spelen en partijen bij elkaar brengen. Er zijn op dit moment al 93 verzekeraars op het i-CERT aangesloten.
7. Deze zomer zijn enkele leveranciers van verzekeraars doelwit geweest. Sommige verzekeraars doen zaken met honderden relaties. Hoe kun je dat allemaal in de hand houden?
“Door goede afspraken te maken bij de inkoop. We stellen toch ook hoge eisen aan onszelf? Wij vragen bijvoorbeeld nieuw personeel altijd om een VOG. Waarom zou je datzelfde niet doen met relaties waar je zaken mee doet? We weten dat steeds meer aanvallen via die leveranciers lopen. Je móet dus maatregelen treffen en naar een zero trust-model om dreiging zoveel mogelijk buiten de deur te houden. Kijk naar de certificering van je leveranciers, laat ze een disclaimer ondertekenen en leg desnoods beperkingen op in het kader van toegang tot je bedrijf en de systemen. En als er al een ongenode gast bij jou binnenkomt, zorg er dan met technische maatregelen voor dat hij niet verder kan komen. Bij een ransomware-aanval op een Nederlandse universiteit kon een hacker via één laptop verder het netwerk in. Als je systemen niet up-to-date zijn, kan je hele bedrijf zo worden overgenomen. Onnodig, want met de juiste maatregelen kun je procesmatig en organisatorisch veel ellende voorkomen.”
8. Weet jij hoe hackers meestal binnenkomen?
“Zeker. Ransomware-aanvallen verlopen (bijna) altijd via twee manieren: een useraccount/laptop of door een bepaalde kwetsbaarheid. In het eerste geval komt een hacker, zoals bij die universiteit het geval was, via een useraccount of laptop binnen. Door malware of phishing kan de hacker inloggen met de gegevens van één specifieke user. In het tweede geval kan een hacker bijvoorbeeld via het VPN (Virtueel Particulier Netwerk) dat mensen thuis gebruiken, rechtstreeks verbinding maken met jouw netwerk.”
"Als je nog niet bent gehackt, moet je er eigenlijk rekening mee houden dat het al is gebeurd"
"Door samen te werken, kunnen we sneller een aanval detecteren"
9. Jij bent Security Analist bij CZ. Ben jij zelf ook een ethische hacker (geweest)?
“Ik ben een gecertificeerde ethical hacker, maar ben daar echt geen ster in. Mijn collega's wel, maar uiteraard ken ik alle tools. Ik weet hoe het werkt. Bij CZ maak ik deel uit van een zogenoemd Blue Team. Dat betekent dat wij vooral beschermen en niet aanvallen. Dat is voorbehouden aan een Red Team. Grote organisaties, zoals banken, hebben meestal naast een Blue ook een Red Team. Wij huren wel geregeld een Red Team in om onze organisatie scherp te houden.”
10. Hoe blijf jij helder? Als ik de hele dag naar schermen moet staren en me verdiep in hackers, zou ik vanzelf wel in complotten gaan geloven.
“Ik staar inderdaad veel naar schermen, maar niet de hele dag. Alle security-meldingen komen op één portal binnen. Samen met mijn collega's kijk ik daar non-stop op en afhankelijk van de ernst gaan we ook wel eens ergens op af. Daarnaast zijn we natuurlijk ook bezig met het tegengaan van aanvallen. Ik wil liefst mijn kennis blijven vergroten. Intern, maar ook via i-CERT, zodat we nog sneller detecties kunnen doen. Ik beheer geen firewall of iets dergelijks, maar help wel graag mee om onze verdediging(smuur) te verbeteren. Die is al goed, maar het kan altijd nog beter.”
(Tekst: Miranda de Groene)
Was dit nuttig?