Begin juni 2020 werd autofabrikant Honda getroffen door een aanval met ‘ransomware’. Hackers hadden de gegevens van cruciale computers versleuteld. Honda moest op vestigingen wereldwijd de productie stil leggen en losgeld betalen om de eigen computers te laten ‘ontsleutelen’.
Een evenement dat het wereldnieuws haalde. De slachtoffers hangen dit soort problemen liever niet aan de grote klok, maar aanvallen met ransomware en andere virussen komen veel vaker voor dan wij denken.
Een van de klanten van Vaerder is SecureMe2, specialist in het detecteren van dit soort aanvallen, zodat de beheerder van de systemen snel in kan grijpen om erger te voorkomen. Wij spreken met de directeur en medeoprichter van SecureMe2, Aad van Boven.
“Wij plaatsen sensoren in het netwerk die een beginnende ‘uitbraak’ van een virus of worm opmerken en alarm slaan. De beheerder kan dan direct ingrijpen, om erger te voorkomen.”
Voor de goede orde… is SecureMe2 een virusdetector?
“Ja, maar toch ook niet. De virusdetectoren die de meeste mensen kennen, signaleren een virus vóórdat het de defensielijnen van een onderneming doorbreekt. En doet dat alleen maar op ‘normale’ computers en servers. Onze dienst bestaat uit het signaleren van kwaadaardig gedrag op netwerkniveau. Dus ook voor alle verbonden slimme apparaten. Wij herkennen een aanval die net begonnen is.” Als preventieve maatregelen falen, dan hebben wij dat in de gaten.
Dat lijkt mosterd na de maaltijd
“Toch niet, want als je er snel bij bent, kun je een aanval in de kiem smoren. Vergelijk het maar met een branddetectie- en alarmsysteem. Als onderneming neem je allerlei maatregelen voor de preventie van brand. Je zorgt dat brandbare stoffen worden afgezogen, dat er geen vonken of gaslekken kunnen ontstaan, en dat de elektrische installatie beveiligd is tegen kortsluiting.
Maar ondanks al die maatregelen installeer je óók detectiesystemen, zoals rookmelders en koolmonoxide-detectoren. Dat is wat wij doen op ICT-gebied. Wij plaatsen sensoren in het netwerk die een beginnende ‘uitbraak’ van een virus of worm opmerken en alarm slaan. De beheerder kan dan direct ingrijpen, om erger te voorkomen. Een virus komt gewoonlijk op één apparaat binnen. Als je dat merkt, kun je dit onderdeel bijvoorbeeld fysiek ontkoppelen: gewoon de netwerkstekker er uit trekken.”
“Het infecteren van een systeem creëert een nieuwe gegevensbron, en versleutelen kost rekenkracht, waardoor het normale patroon verstoord wordt.”
Heb je daar voldoende tijd voor dan?
“Ja, als je er maar snel bij bent. Een computervirus heeft tijd nodig om een systeem te besmetten door gegevens te versleutelen. Vergelijk het maar met het kopiëren van een bestand van de computer naar een USB-stick. Dat kost tijd. In veel gevallen voldoende voor ons om de infectiehaard te ontdekken, zodat de klant hem onschadelijk kan maken of isoleren.”
Als je een virus vergelijkt met vuur, wat is dan de rook?
“Ons systeem is enerzijds gebaseerd op het herkennen van communicatie met bekende kwaadaardige (internet)bestemmingen. En anderzijds op het herkennen van patronen. Normaal gebruik van een computersysteem heeft een bepaald profiel, uniek voor de onderneming. Gegevens stromen met een vast ritme van de ene plek naar de andere, zowel binnen het systeem als met externe bronnen.
Wij brengen dat normale gedrag in beeld op basis van ‘network flowdata’. Het infecteren van een systeem creëert een nieuwe gegevensbron, en versleutelen kost rekenkracht, waardoor het normale patroon verstoord wordt. Als onze sensoren afwijkingen detecteren en onze algoritmes hierin kwaadaardig gedrag herkennen, gaat er een alarmsignaal naar de klant.”
“Security bedrijven hebben over de hele wereld zogenaamde ‘honey pots’ staan, systemen die ze expres laten besmetten om patronen te ontdekken en daders te lokaliseren.”
Klink tamelijk logisch en eenvoudig
“Je kunt het vergelijken met een nepmailtje van een bank. Jouw brein ziet dat er iets niet in het normale patroon past – bijvoorbeeld het afzenderadres, of het taalgebruik – en je gooit het weg. Maar wij gaan veel verder.
Wij zijn onderdeel van een wereldwijd netwerk van beveiligingsbedrijven die gegevens over cybercriminaliteit en malware delen in een ‘global threat intelligence database’. Alle deelnemers dragen bij aan deze database, en iedereen die bijdraagt mag er ook uit putten.
Security bedrijven hebben over de hele wereld zogenaamde ‘honey pots’ staan, systemen die ze expres laten besmetten om patronen te ontdekken en daders te lokaliseren. Op dit moment bevat deze database 193 miljoen kwaadaardige signalementen en bestemmingen. Per kwartier voeren we 12.000 updates door, dus het is altijd actueel.”
Als het alarm gaat, zetten jullie dan ook automatisch de computer uit?
“Wij kunnen dat soort beslissingen niet nemen. Stel je voor dat een ziekenhuis besmet raakt en wij trekken de stekker uit de IC. Of we stoppen de productielijn van de klant, waardoor zijn hele logistiek in de soep loopt. Nee, wij detecteren en slaan alarm als er écht iets aan de hand is.
Vervolgens moet iemand bij de klant (of de IT-leverancier van de klant) de beslissing nemen hoe de aanval te stoppen. Al kunnen we onze klanten natuurlijk wel helpen met het opstellen van response-scenario’s en het inrichten van koppelingen met hun firewalls.”
“We zitten in een soort ecosysteem van bedrijven en bedrijfjes die elkaar helpen. Als je met elkaar je best doet, komt het werk vanzelf.”
Wat voor klanten hebben jullie?
“Oh, dat gaat alle kanten uit. Wat vooral bijzonder is aan SecureMe2, is dat wij ook voor MKB’ers werken. De meeste security concerns zijn daar te groot en te duur voor. Die gaan alleen aan de slag voor bijvoorbeeld multinationals, banken, overheidsinstellingen en ziekenhuizen.
Wij ondersteunen ook grote organisaties, zoals een alliantie van 19 luchtvaartmaatschappijen, ziekenhuizen en een industriële chipsbakker. Maar we helpen net zo goed huisartsen, accountants en een keten voor kinderopvang. Binnenkort komen we zelfs met een oplossing voor particulieren en thuiswerkers!”
Lopen kleine bedrijven niet veel minder risico?
“Eigenlijk niet. Een huisarts bijvoorbeeld heeft persoonlijke patiëntgegevens in het systeem. En elk bedrijf heeft een loonadministratie of een afdeling inkoop met gevoelige financiële informatie. Malware kan ook gebruikt worden voor identiteitsdiefstal, of om simpelweg spullen te bestellen op rekening van het slachtoffer.
En zeker nu steeds meer bedrijven hun medewerkers laten thuiswerken, stijgt de behoefte aan een detectiesysteem dat actieve cyber-attacks – ook via de aangesloten externe computers! – vroegtijdig kan opsporen en afbreken.”
Tot slot nog even iets over de relatie met Vaerder. Hoe werken jullie samen?
“Ik ken de mannen van Vaerder al heel lang en we hebben op verschillende manieren samengewerkt. Toen ik nog in de directie van Ziggo zat, haalde ik IT-mensen bij Vaerder vandaan, dat doe ik nu nog steeds voor mijn eigen bedrijf. Sinds 2009 ben ik zelfstandig consultant, en Vaerder heeft mij af en toe ingezet bij hun klanten.
De laatste was een fusie van twee ziekenhuizen in Rotterdam, waar we een compleet nieuwe infrastructuur moesten bouwen, inclusief de security. Daar is eigenlijk de kiem gelegd van mijn specialisatie in threat detection en dus van SecureMe2.
Tegenwoordig werken we nauw samen als er bijvoorbeeld een klant van Vaerder een security-vraagstuk heeft. Of als er behoefte is aan advies over de inrichting van een systeem. We zitten in een soort ecosysteem van bedrijven en bedrijfjes die elkaar helpen. Niet per se direct voor financieel gewin.
Als je met elkaar je best doet, komt het werk vanzelf. En we houden elkaar scherp. We hebben allemaal die Rotterdamse mentaliteit van: ‘zeg het maar zoals het is’. Daarbij vertrouw je op elkaars goede bedoelingen. Dat werkt heel prettig.”