De CFO en de digitale wapenwedloop

Als voorproefje op de rondtafel tijdens CFO Day licht Pim Takkenberg, General Manager bij Northwave Nederland, alvast een tipje van de sluier op.

Hoe bescherm ik de continuïteit in de digitalisering van mijn bedrijf, hoe hou ik grip op de informatiebeveiliging? De top-experts van Northwave, partner van de CFO Community, weten dat ransomware en cyberincidenten bedrijven dagelijks aan de rand van de afgrond doen balanceren. De situatie is zo schrijnend, zo zien de digitale beveiligers, dat gesproken kan worden van een heuse Ransom War. Het is niet vijf, maar één minuut voor twaalf.

“De CFO anno 2021 moet zich het onderwerp eigen maken, daarom hebben we het er plenair en tijdens een ronde tafel op CFO Day uitgebreid over”, zegt Pim Takkenberg (44). Hij is General Manager van Northwave Nederland, één van de grootste en internationaal opererende spelers in digitale beveiliging.

“Als trends zien we dat goed georganiseerde criminele organisaties hun ransomware-aanvallen van single, naar double, naar triple extortion upgraden”, vervolgt Takkenberg. “Stap 1 is het op slot gooien van systemen om vervolgens met het verkopen van de sleutel geld te verdienen. Stap 2 is nog vóór het op slot zetten veel data stelen – denk aan paspoortkopieën van medewerkers, aan leverancierscontracten, aan salarisgegevens – en dreigen met publicatie. Stap 3 is de verstikkingsaanval, Distributed Denial of Services, de zogenaamde DDoS attacks. Door het sturen van grote aantallen digitale pakketjes werkt er niets meer.”

Een drietrapsraket, waarbij de aanvallers hun processen steeds meer verfijnen. Een digitale wapenwedloop ook; met telkens weer nieuwe stappen van zowel de criminelen als de zich tegen de attacks verdedigende bedrijven.

Crimineel belt CFO
“De aanvallers zoeken voortdurend naar de ‘sweet spot’ van bedrijven om te betalen”, weet Pim Takkenberg. “Willen ze 0,4 of wel twee procent van hun jaaromzet afstaan om weer volledig online te kunnen? Om daarachter te komen, wordt geen middel geschuwd. Zo wordt telefonisch contact opgenomen met de top van bedrijven. Dan krijgt zo’n CFO iemand aan de telefoon die Engels spreekt met een Russisch accent en zegt onder welke voorwaarden de blokkade wordt opgeheven. Hopend dat er dan sneller wordt betaald. Maar voor die CFO natuurlijk uiterst oncomfortabel, om het zachtjes uit te drukken.”

Die chantage vindt zowel telefonisch als via social media plaats. Pim Takkenberg geeft nog maar eens een voorbeeld van hoe goed criminele organisaties zijn ingevoerd: “Ransomware criminelen maken gebruik van initial access brokers, om ergens in te breken. Die zorgen voor de initiële toegang tot organisaties. Een recente ontwikkeling is dat sommige ransomware groeperingen naar medeplichtigen zoeken binnen organisaties die ze willen afpersen. Zij moeten helpen een bedrijf op slot te zetten. Denk daarbij aan personeelsleden die een hekel aan hun eigen organisatie hebben of die met torenhoge schulden zitten opgezadeld. Feit is dat de digitale wapenwedloop van criminele zijde steeds heftiger en persoonlijker wordt gevoerd.”

Zaak van nationale veiligheid
En bij dat alles zijn CEO’s en CFO’s niet altijd genoeg op de hoogte van wat zich in deze schimmige strijd afspeelt. "Natuurlijk hebben ze ervan gehoord, maar vaak ontbreekt het aan actueel inzicht in het risico en is er geen echt begrip van de volledige afhankelijkheid die de onderneming heeft van beschikbare en betrouwbare informatie en systemen”, aldus de General Manager van Northwave Nederland. 

Pim Takkenberg begon zijn loopbaan bij de politie en werkte daarna jaren voor inlichtingendienst AIVD. Hij noemt de problematiek rond ransomware-aanvallen ‘een zaak van nationale veiligheid’.

“Want dit heeft ongelofelijk veel impact en niet alleen op het slachtoffer. We zien steeds vaker dat hele supply chains geraakt worden. Een transportbedrijf wordt gegijzeld en u kunt geen kaas meer kopen in de supermarkt”, zegt hij. 

“De attacks komen vrijwel altijd vanuit het oosten; Rusland en de voormalige Sovjet-deelstaten. Dat zien we bijvoorbeeld aan de cyrillische tekens op de speciaal ontwikkelde software. Russische jongeren zijn over het algemeen heel goed opgeleid en hebben weinig perspectief in eigen land. Vandaar dat ze hun heil in deze aanvallen zoeken, geholpen door de eigen overheid; Moskou legt hen immers geen strobreed in de weg.”

Ransomware uit Rusland
Want, zo vervolgt Takkenberg: “Zolang ze hun attacks maar uitvoeren op bedrijven buiten Rusland, vinden de plaatselijke autoriteiten het allemaal wel oké. Spionage komt uit China, sabotage uit Iran, criminaliteit uit Rusland.”

Bij aanvallen worden drie fases doorlopen: De IN-, de THROUGH- en de OUT fase. Het gaat het er achtereenvolgens om binnen te komen, binnen op zoek te gaan naar waardevolle informatie, om vervolgens en het doel te verwezenlijken en weg te komen. 

Beschikbaarheid en reactietijden 
Hoe vaak het Nederlandse bedrijfsleven slachtoffer wordt van ransomware aanvallen? Pim Takkenberg schat dat het honderden keren per jaar gebeurt. “Onze teams helpen getroffen Europese organisaties meer dan 200 keer per jaar”, zegt hij. “Er zijn maar een handvol partijen zoals Northwave die echt adequate response teams hebben die 24 uur per dag paraat zijn en weten wat ze doen. Die expertise is dus heel snel extreem schaars aan het worden. Daarom sluiten wij met grotere ondernemingen steeds vaker een Rapid Response Retainer af waarin we beschikbaarheid en reactietijden afspreken. Alles wat je kunt doen voor een incident is meegenomen. Dus treffen we met hen voorbereidingen voor een snelle en effectieve inzet, mocht het daartoe komen. Daar hoort ook bij dat we samen gaan oefenen. Dan komen meteen de kwetsbaarheiden in de Cyber Resilience; of digitale weerbaarheid boven water. En daar doen we dan wat aan."

Data is het nieuwe goud
Binnenkomen is voor cybercriminelen vaak relatief eenvoudig volgens Pim Takkenberg. “Meestal wordt misbruik gemaakt van een software-kwetsbaarheid (“Denk aan een open raam, aan gebruik van niet de meest recente software”), een phishing email, of middels het achterhalen (kraken of ontfutselen) van wachtwoorden. Er zijn in de techniek natuurlijk dingen die je inmiddels wel gedaan zou moeten hebben om deze criminelen te weren. Al je software is steeds up-to-date, je gebruikt meerstaps verificaties op belangrijke systemen, je hebt permanente en adequate IT bewaking geregeld. zodat snel wordt gereageerd en een klein incident geen grote crisis wordt. En last but not least; je hebt, onderhoud en test een back-up strategie, waarin ook offline backup is opgenomen, waar criminelen niet bij kunnen.

Maar bovenal is het wezenlijk dat je in een dynamische business die steeds verder digitaliseert voortdurend blijft begrijpen wat je risico’s zijn en je een adequaat managementsysteem hebt, dat de kwaliteit van je beveiliging op orde houdt. Wij hebben het altijd over business, bytes en behavior, op z’n Hollands: organisatie, technologie en mens. Beveiliging kun je met effectief bekend beleid, pragmatische plannen en beoefende procedures beter organiseren. Je kunt IT security technologie aanwenden om systemen weerbaar te houden en je mensen, de bepalende factor, kun je trainen om zich actief, alert en adequaat te gedragen.”

Maatregelen die om tijd, geld en bovenal de doorlopende beschikbaarheid van schaarse deskundigheid vragen. “Denk daarom vooral ook aan het uitbesteden van complexe taken waarop je voortdurend moet kunnen rekenen. Voor het goed managen van je informatieveiligheid wil je een multidisciplinair team voor je aan het werk hebben. Wij zien te vaak bij de organisaties die we uit de brand moeten helpen dat ze, vaak uit zuinigheid, veel te veel taken onderbrengen bij een te klein team van eigen mensen. Dit thema is te complex geworden om het nog langer integraal zelf te doen.” 

“Nog steeds is informatieveiligheid in de hoofden van veel topmanagers een probleem van de IT-afdeling. In onze optiek is dit echter een vraagstuk van risicomanagement en een kwestie van verantwoordelijkheid van de bestuurder. Het gaat om een directe bedreiging van de continuïteit van de onderneming en dat is geen denkbeeldig scenario maar de keiharde werkelijkheid. Elke dag worden er duizenden bedrijven op de korrel genomen en allemaal zijn ze volledig afhankelijk van veilige data”, benadrukt Takkenberg. 

Digitaal huiswerk voor het C-level dus in een tijd waarin razendsnel wordt gedigitaliseerd en de afhankelijkheid daarvan steeds groter wordt. “Hoe groot is de kans dat mij een aanval overkomt en wat is dan de impact, wat ga ik doen aan mijn business, bytes en behavior? Kortom: Hoe neem ik in dit tijdperk mijn bestuurlijke verantwoordelijkheid en hoe borg ik dat ik in control blijf op dit complexe thema?”