Op vrijdag 12 mei 2017 werd bekend gemaakt dat ziekenhuizen in Groot Brittanië operatiekamers moesten sluiten doordat computers besmet waren met ransomware. Deze kwaadaardige software had ervoor gezorgd dat de computers in deze ziekenhuizen niet meer werkten, waardoor patientendossiers en andere belangrijke documenten niet meer konden worden ingezien. Doordat er op grote schaal ziekenhuizen getroffen zijn door deze ransomware, zijn er levensgevaarlijke situaties ontstaan. De kans is groot dat mensen zijn komen te overlijden als gevolg van deze ransomware.

In de loop van de nacht van vrijdag op zaterdag werd duidelijk dat de ransomware in meer dan 100 landen computers heeft besmet. Daarmee is het een van de grootste uitbraken van ransomware tot nu toe.

Eigen schuld?

Dat ransomware bestaat en zo huis kan houden heeft een aantal oorzaken. Helaas werken gewone computergebruikers het ontstaan en effect van ransomware zelf in de hand.

Laat ik voorop stellen dat schrijvers van ransomware ordinaire afpersers zijn. Het zijn criminelen die op slinkse wijze geld van computergebruikers afhandig willen maken. Deze criminelen zoeken steeds naar nieuwe manieren om eenvoudig geld te “verdienen”. Daar kun je de schuld niet van in de schoenen van een gewone computergebruiker schuiven.

Wat dan wel?

We maken het ze veel te makkelijk om van ons een slachtoffer te maken… Er zijn een aantal elementen waardoor ransomware zo’n grote impact kan hebben:

  1. We zijn ons onvoldoende bewust van de gevaren;
  2. We zorgen niet goed voor onze systemen;
  3. We knopen alles maar lukraak aan elkaar;
  4. We passen onvoldoende risicobeheersing toe;
  5. We zijn niet streng genoeg voor makers van software.

Onvoldoende bewust

Criminaliteit via Internet is een van de meest comfortabele manieren om geld te “verdienen”. Je kunt vanuit je luie stoel en luisterend naar je favoriete muziekje een computernetwerk benaderen duizenden kilometers verderop. Veel van deze netwerken zijn basaal beveiligd, een kwaadwillende met de juiste vaardigheden en kennis kan daar relatief makkelijk toegang toe krijgen. Dat dat zo makkelijk gaat, komt vooral omdat bestuurders van bedrijven zich onvoldoende bewust zijn van de gevaren. Er zijn veel technische en organisatorische oplossingen die ervoor zorgen dat een IT-omgeving veel beter beveiligd wordt. Maar omdat heel veel bestuurders nog denken dat ze geen interessant doelwit zijn voor criminelen, worden er niet de juiste investeringen gedaan. “Wie wil mij nou hacken?”, “Ik heb niets te verbergen” of “Als ze binnen willen komen, lukt het ze toch wel” zijn argumenten die ik vaak hoor. Als ik dan vraag waarom bedrijfspanden wel goed beveiligd worden, dan wordt het opeens stil. Terwijl de vergelijking voor een heel groot deel volledig opgaat.

Dat we niet bewust zijn komt ook doordat we te goed van vertrouwen zijn. Ransomware kan zich ook verspreiden doordat we te makkelijk op links in emails en op websites klikken. Of doordat we bijlagen openen bij een email van een afzender die we niet kennen. Het is helaas niet anders: bedrijven zullen veel meer aandacht moeten hebben voor het informeren, trainen en begeleiden van gebruikers bij computergebruik.

Slecht huisvaderschap

Computers en computernetwerken vormen inmiddels de ruggengraat van bijna alle organisaties. Toch zien veel bestuurders deze systemen nog als kostenpost. Terwijl deze it-infrastructuren organisaties juist ondersteunen bij het efficiënt leveren van diensten en simpelweg het verdienen van geld. Doordat systeembeheerders niet het budget krijgen dat echt nodig is om de it-infrastructuur bovengemiddeld te beveiligen, moeten zij keuzes maken. Dat zorgt ervoor dat er altijd systemen in het netwerk zijn die niet voorzien zijn van de juiste softwareversies, patches en updates. In het geval van de ransomware aanval in mei 2017 wordt daar dankbaar gebruik van gemaakt. De ransomware maakt misbruik van een kwetsbaarheid die in maart 2017 al door Microsoft is opgelost. Het enige wat systeembeheerders hadden moeten doen, was updaten van deze systemen.

Alles aan elkaar geknoopt

De afgelopen jaren zijn steeds meer computersystemen aan elkaar gekoppeld. Omdat er altijd wel ergens een computer aanwezig is met een internetverbinding, zijn daardoor opeens alle systemen aan het Internet gekoppeld. Daardoor zijn ze potentieel te benaderen via het Internet. Je kunt je afvragen of alle systemen in een organisatie aan elkaar gekoppeld moeten worden. Mijns inziens zouden systemen voor hartbewaking en computers die bij cruciale operaties gebruikt worden nooit aan andere netwerken gekoppeld moeten worden, laat staan aan het Internet.

We zouden ons echt veel vaker moeten afvragen of de dingen die we aan ons netwerk koppelen, daar ook echt aan gekoppeld moeten worden? Het Internet Of Things (IOT) is in die zin echt reden tot zorg: mensen hebben gewoon te weinig kennis en ervaring om goede afwegingen te maken wat nou wel en niet aan het netwerk gekoppeld mag worden.

Risicobeheersing

In lijn met het voorgaande punt: er wordt te weinig risicobeheersing toegepast. Eigenlijk zou je voor elk systeem dat je aanschaft en voor elk systeem dat je in gebruik hebt een risico inventarisatie moeten maken. Op welke positie in het netwerk en in de informatieketen bevindt het systeem zich? Wat is de kans dat het systeem uitvalt? Wat is de mogelijke impact en hoe zorg je ervoor dat deze impact zo laag mogelijk blijft? Welke waardevolle (persoons)gegevens bevinden zich op het systeem en voor wie zijn die waardevol? Als meer organisaties deze risico’s in kaart zouden brengen, dan zouden er veel minder systemen in belangrijke delen van het bedrijfsnetwerk geplaatst worden.

Makers van software

Elk jaar geven we in Europa miljarden uit aan software die doorontwikkeld is sinds begin jaren negentig van de vorige eeuw. Dat betekent dat er in die software een aantal ontwerpfouten zitten die al jaren meegeleverd worden. Daarbij komt dat het Internet toen nog niet zo populair was, softwaremakers hoefden simpelweg nauwelijks rekening te houden met aanvallers van buitenaf.

Helaas staat wij wel met z’n allen toe dat deze kwetsbaarheden in systemen blijven bestaan. Enerzijds omdat we er onvoldoende van op de hoogte zijn, maar anderzijds ook doordat we de rekening ervoor niet willen betalen. Als we met z’n allen zouden investeren in nieuwe softwareprogramma’s, dan zou dat een behoorlijke investering vooraf betekenen. Ik ben er echter van overtuigd dat het de voorkomen schade achteraf ruimschoots goed maakt.

Om dit te organiseren moeten bedrijven zich in Europees of misschien wel in wereldwijd verband gaan organiseren. Dat is een behoorlijke opgave en vergt denk ik nog een flink aantal grote incidenten, voordat zij daarvoor open zullen staan.

Niet te voorkomen

Ransomware is voorlopig niet te voorkomen. Je kunt wel een aantal maatregelen treffen om de kans op ransomware in je netwerk fors te verlagen. Maar om het helemaal te kunnen voorkomen zijn er op een aantal fronten veranderingen nodig. Die kunnen we helaas niet allemaal en helemaal niet op korte termijn doorvoeren. Ik verwacht dat de invoering van de Algemene Verordening Gegevensbescherming (AVG) er verder aan zal bijdragen dat er meer aan risicobeheersing gedaan zal worden. Helaas juridisch gemotiveerd, maar het is een begin. Daarnaast zullen we de komende maanden en jaren steeds vaker met internetcriminaliteit te maken krijgen, waardoor de naïviteit zal afnemen. Hopelijk komen we op een gegeven moment op het punt dat het voor ransomware makers niet meer rendabel is om de software te maken!