De Belgische diplomaten waren de voorbije weken vleugellam door een aanval op hun IT-infrastructuur. Ook bedrijven krijgen meer te maken met cyberincidenten. Om de schade te beperken hebben ze juristen, specialisten in crisiscommunicatie en soms zelfs gepensioneerde werknemers nodig.
De hacking waarvan de federale overheidsdienst Buitenlandse Zaken deze maand het slachtoffer werd, is eigenlijk klein bier. Bijna twee jaar geleden gebeurde in Saoedi-Arabië een grootschalig cyberincident dat veiligheidsexperts koude rillingen bezorgt. Een gesofisticeerd computervirus viel de IT-infrastructuur van een grote olieproducent aan. Gelukkig kreeg het virus geen controle over de installaties en werd een olieramp vermeden.
Maar de collateral damage was enorm. De oliemaatschappij is eigenlijk een staat op zich, met eigen scholen en ziekenhuizen. Het virus had zich ook verstopt op de bij benadering 30.000 Windows-computers van die instellingen. “Al die computers moesten gewist en opnieuw geïnstalleerd worden”, zegt Marc Sel, directeur en cyberveiligheidsspecialist van PwC, de bedrijfsrevisor van de olieproducent. “Tot overmaat van ramp maakte het virus de back-ups lange tijd onbruikbaar, en bestond het risico dat het zich daar ook nog verborgen hield. De vrouw van een collega werkte in een van de getroffen ziekenhuizen en zei dat het leek op een veldhospitaal in een oorlogszone. Doordat de IT-processen waren weggevallen, was er geen informatie over de patiënten beschikbaar. Ook medicijnen bestellen bij de geautomatiseerde apotheek was onmogelijk. Het was onvoorstelbaar. Er zat niks anders op dan met een blocnote langs de bedden te gaan en te noteren wie in kritieke toestand was, wie zware pijn had, welke medicijnen nodig waren. Uiteindelijk moest de oliemaatschappij ook alle hardware vervangen. Ze heeft daarvoor in allerijl een paar jumbojets vol computers uit de VS laten overkomen.”
“De infrastructuur van nutsbedrijven is vaak nog opgebouwd vanuit de filosofie dat de netwerken afgesloten zijn van de buitenwereld”, pikt Floris Ampe, partner bij PwC in. “Maar ondertussen zijn die systemen aan het internet gekoppeld, omdat dan bijvoorbeeld vanop afstand aan onderhoud kan worden gedaan. Dat is een goede reden, maar daardoor ontstaat een veiligheidsrisico. Eén waarop die systemen niet zijn gebouwd. Er wordt nu wel meer geïnvesteerd in de IT-beveiliging van die kritieke systemen. Maar in de meeste andere sectoren moeten bedrijven eerst een ernstig incident meemaken en voor miljoenen euro’s schade lijden.”
“Dat is jammer”, zegt Filip De Wolf, ook partner bij PwC. “Beveiliging kost geld, maar de afhandeling van het incident valt nog duurder uit. Het gaat niet alleen om het verlies van bedrijfsgevoelige informatie of inkomsten. Er gaan ook ‘mandagen’ verloren aan het oplossen en er komen dan nog juridische vervolgingen bovenop.”
Maar hoe hard bedrijven ook proberen, zulke zware incidenten zijn eigenlijk niet uit te sluiten. Omdat ze nu eenmaal zo afhankelijk zijn van IT, kunnen ze bedrijfsgevoelige informatie en IT-apparatuur verliezen via medewerkers (Zie kader De mens is de zwakste schakel) of hackers. Dagelijks krijgen bedrijven over de hele wereld te maken met cyberaanvallen, vaak in opdracht van de georganiseerde misdaad of van spionage-agentschappen.
We kunnen ons daarom maar beter goed voorbereiden en weten wat na een incident moet gebeuren. De financiële sector en nutsbedrijven hebben daar al veel ervaring mee. Niet alleen omdat er in die sectoren al zware incidenten zijn geweest, de overheid legt hun ook strenge regels op. Andere bedrijven kunnen veel van die kritische sectoren leren. Bijvoorbeeld van de aanpak van een bank in een Europese lidstaat, waar klanten recentelijk het slachtoffer werden van een grootschalige cyberaanval.
Het probleem in kaart brengen
“De aanval kwam aan het licht nadat in korte tijd een paar honderd klanten naar het callcenter hadden gebeld om te melden dat grote sommen van hun rekeningen waren verdwenen”, zegt Sel. “Omdat het een ernstig probleem leek, stuurde de bank snel technici om de harde schijf van de klanten te kopiëren en in een labo het probleem te reproduceren en omvang en ernst in te schatten.”
Anticiperen op justitie
Het werd snel duidelijk dat er kwaad opzet in het spel was en dat de computers van de getroffen klanten ‘slaafjes’ waren in een botnet, een netwerk van computers die vanop afstand zijn gekaapt en worden bestuurd. De computers voerden daardoor op eigen houtje betalingen uit. “De bank was er zich goed van bewust dat ze moest anticiperen op de vragen van justitie en de impact daarvan op de bedrijfsvoering”, stelt Sel. “Verzekeringen eisen soms dat de politie op de hoogte wordt gebracht bij cyberaanvallen. Als die ter plaatse komt, wil ze vaak servers en ander IT-materiaal meenemen. Zeker voor kmo’s is dat een groot probleem, want die hebben meestal niet de middelen om reservehardware achter de hand te houden. Dan ligt hun bedrijf plat.”
Multidisciplinaire teams
“Zulke zware incidenten worden het beste van bij het begin aangepakt door een team met verschillende specialisten”, verklaart Sel. “De technici zoeken uit wat er precies fout loopt en hoe ze dat moeten aanpakken “Daarnaast heb je iemand nodig die de juridische materie beheerst, die met de ordediensten en soms zelfs met de regelgever in contact staat. Ook de klantendienst heeft bijvoorbeeld juridisch advies nodig. Mogen de medewerkers aan klanten tips of tools geven om de kwaadaardige software van de geïnfecteerde pc’s te verwijderen?”
Eigenlijk doet een bedrijf dat beter niet, raadt Sel aan. “Als klanten iets verkeerds doen en hun computer fout behandelen, kan het bedrijf daarvoor aansprakelijk gesteld worden. Idealiter kunnen de slachtoffers terecht bij een neutrale derde partij. In Duitsland heeft de overheid met steun van het bedrijfsleven botfrei.de opgericht, een portaalsite met beveiligingsinfo en gratis tools voor de verwijdering van botsoftware. Er wordt nu onderzoek gedaan om een gelijkwaardig initiatief op te zetten op Europees niveau.”
Er is ook een nood aan goede crisiscommunicatie, stelt De Wolf. “Bedrijven zijn zich daar meer bewust van geworden en zijn beter voorbereid. Voor de verzekering is vaak een uitgewerkt communicatieplan nodig. De internationale Bazel-normen verplichten financiële instellingen zulke scenario’s uit te werken. Het topmanagement hecht zelf ook veel belang aan een goed voorbereide communicatiestrategie, uit vrees voor reputatieschade. Als het fout loopt, moet de CEO het gaan uitleggen aan de klanten of aan de aandeelhouders.”
Extra software
Bij de getroffen bank waren de transacties van geïnfecteerde computers niet direct te af te blokken en het was ook niet duidelijk welke klanten getroffen waren. “Het volledige betalingsverkeer stilleggen is geen optie”, zegt Sel. “Het was ook onbegonnen werk alles manueel te controleren. Daarom is snel overgaan tot de installatie van antifraudesoftware om transacties te analyseren voordat ze werden goedgekeurd. Kredietkaart- en internetbedrijven gebruiken dergelijke geavanceerde software al jaren om verdachte betalingen op te sporen. Er bestaan gelijkaardige tools om verdacht netwerkverkeer bloot te leggen.”
“In de meeste sectoren zijn die tools nog niet algemeen in gebruik, ook niet bij de getroffen bank. Men ging ervan uit dat alle transacties voldoende beveiligd waren. Maar de software haalde er verdachte zaken uit: klanten die grote bedragen naar rekeningen in het buitenland overschreven, waar ze voordien nog nooit geld naartoe hadden gestuurd. Bij die verdachte gevallen zat er niets anders op, dan de klant in kwestie op te bellen en te vragen of hij van de betaling wist. Een tijdrovend en kostelijk karwei, maar men moest al niet meer elke betaling controleren.”
Gepensioneerde werknemers
“Vaak is er geen andere mogelijkheid dan bepaalde zaken weer te laten lopen zoals voor ze geautomatiseerd werden”, weet De Wolf. “Er zijn banken die daarom regelmatig gepensioneerde werknemers verzamelen en met hen ‘rampoefeningen’ doen. Die weten nog hoe het eraan toeging zonder al die IT. Zij kunnen dan de huidige werknemers bijstaan die niet meer weten hoe al die formulieren werken.”
STIJN FOCKEDEY
Fout opgemerkt of meer nieuws? Meld het hier