We moeten meer samenwerken om gijzelsoftware aan te pakken

Vorige zomer lag het luchtvaartbedrijf Asco een maand plat door ransomware, nu is de weefgetouwenfabrikant Picanol het slachtoffer. De productie ligt er al dagen stil en de kosten zullen in de vele miljoenen euro’s lopen.

Ransomware is gijzelsoftware die je bestanden versleutelt. Je moet losgeld betalen om de bestanden terug te krijgen. Ransomware steunt op drie technologieën. Ten eerste zijn er virussen die computers besmetten. Ze komen binnen via e-mail, sociale media, het web of rechtstreeks via het netwerk.

Een tweede component is moderne cryptografie: in de jaren 70 werd een methode bedacht die één sleutel gebruikt om informatie te versleutelen en een andere om de informatie weer leesbaar te maken. Dat is handig om banktransacties en internetverkeer te beveiligen, maar het kan ook misbruikt worden: ransomware bevat alleen de encryptiesleutel en als je de decryptiesleutel wil, moet je betalen. Zo komen we bij de derde component: met cryptomunten kunnen grote bedragen worden betaald buiten het banksysteem. De ontvanger kan zich overal bevinden en kan vrij gemakkelijk anoniem blijven.

Het is erg moeilijk te achterhalen wie achter ransomware zit. Vaak gaat het om ervaren hackers die in samenwerking met de georganiseerde misdaad een nieuw verdienmodel zoeken. Ze kunnen opereren vanop afstand en hun aanvallen automatiseren.

Slachtoffers van ransomware hebben weinig opties. De beste oplossing is de malware van alle systemen te verwijderen en opnieuw te starten van een recente back-up. Dat klinkt echter eenvoudiger dan het is: slachtoffers stellen vaak vast dat hun back-upsysteem minder betrouwbaar is dan ze dachten. Als je veel geluk hebt, kan je online een gratis tool vinden om zonder te betalen je gegevens te ontcijferen. Maar als je tegenstrevers professionelen zijn, moet je daar niet op rekenen.

Betalen is een ‘moral hazard’: je krijgt je gegevens misschien wel terug, maar je helpt misdadigers die een deel van hun inkomsten investeren in nog betere ransomware. En hoe ben je zeker dat ze niet nog meer geld zullen vragen na de eerste betaling, of het binnen zes maanden nog eens proberen?

Gebroken Engels

De eenvoudigste methode om ransomware te verspreiden is via e-mail: het gebroken Engels van een paar jaar geleden is vervangen door een gepolijste tekst, met gegevens specifiek voor je bedrijf en de logo’s op de juiste plaats. Je kan medewerkers leren heel voorzichtig te zijn met klikken op e-mails, maar iedereen kan wel eens verstrooid zijn.

Nog belangrijker dan gebruikers opleiden is voldoende investeren in informatiebeveiliging. De digitalisering breidt uit naar kritische industriële processen, die vaak kwetsbaar zijn. De informatiesystemen worden complex, en dat vraagt een geïntegreerde aanpak van processen en technologieën. Dat kost geld: je moet een strategische planning combineren met technische maatregelen zoals het scheiden van netwerken, geregelde updates, intrusiedetectie en betrouwbare back-ups. Een verzekering afsluiten kan de financiële schade beperken, maar mag geen excuus zijn om het verbeteren van de beveiliging op de lange baan te schuiven.

Ook de aanbieders van digitale oplossingen hebben boter op het hoofd. Beveiliging staat bij de grote spelers al een tijdje hoger op de agenda, maar performantie en functionaliteit krijgen nog altijd voorrang op veiligheid. De ondersteuning van oudere systemen wordt te vroeg stopgezet. Een veilige configuratie creëren is een lijdensweg, terwijl moderne systemen eigenlijk ‘out of the box’ veilig zouden moeten zijn. Er is een tekort aan experten, terwijl de toenemende complexiteit belangrijke investeringen in mensen en innovatie vraagt.

Ook overheden spelen een dubbelzinnige rol. Enerzijds investeren ze in bewustmaking en in onderzoek en ontwikkeling naar beveiliging. Anderzijds ontwikkelen politie- en informatiediensten malware om in systemen te infiltreren. Of ze kopen malware bij bedrijven zoals Hacking Team en NSO Group. Dat betekent dat ze beveiligingsfouten zoeken in systemen en ze uitbuiten, in plaats van de producenten en gebruikers te verwittigen. Als die fouten dan toch uitlekken, kan de georganiseerde misdaad ze gebruiken om betere ransomware te schrijven, zoals we gezien hebben bij Wannacry en NotPetya in 2017. De totale economische schade door die malware wordt geschat op 10 miljard dollar.

Er bestaat helaas geen toverstokje om het ransomwareprobleem op te lossen. Het is van groot belang op korte termijn extra te investeren in informatiebeveiliging en innovatie. Het recent aangekondigde Cybersecurity Initiative Flanders is een positieve ontwikkeling.

Maar cyberveiligheid is een globaal probleem en noopt tot een aanpak op Europees niveau. De Europese Cybersecurity Act heeft de eerste stappen gezet naar certificatie van cybersecurityproducten en -diensten. De nationale veiligheid en de nationale industriële belangen van de grotere lidstaten leiden echter tot suboptimale beslissingen. De kleinere EU-lidstaten moeten aandringen op een sterkere coördinatie. Bijkomende initiatieven zijn nodig om een veilige digitale maatschappij te ontwikkelen die de grondrechten van burgers en bedrijven respecteert.