Deze column staat in Het Financieele Dagblad van 30 juli 2021. Volg deze link voor mijn eerdere FD columns.
Cybercriminelen hebben hun slachtoffers steeds meer in hun macht. Om getroffen organisaties en de bredere samenleving te beschermen, dient de internationale aanpak van ransomware zich te richten op het meest kwetsbare deel van de cybercrimeketen: de bitcoin, schrijft advocaat Axel Arnbak.
Illustratie: Hein de Kort voor Het Financieele Dagblad
Informatie is macht, al helemaal in de wondere wereld van ransomware (gijzelsoftware). Cybercriminelen hebben hun slachtoffers steeds meer in hun macht, vooral omdat de technische en juridische problemen voor slachtoffers toenemen. Toch wordt ook de achilleshiel van cybercriminelen zichtbaarder: niet de pakkans, maar het verdienmodel achter ransomware. Om getroffen organisaties en de bredere samenleving te beschermen en de explosieve toename van cybercriminaliteit aan banden te leggen, dient de internationale aanpak van ransomware zich te richten op de zwakste schakel in de cybercrimeketen: de bitcoin.
Organisaties met stilgevallen dienstverlening en verlamde productielijnen sieren al weken de voorpagina’s van de internationale pers. Natuurlijk waart gijzelsoftware al decennia rond in cyberspace. Maar aan de laatste golf is goed te zien dat meer aanvallers actief zijn en meer ervaren worden in het binnendringen van organisaties, het inschatten van waardevolle informatie voor ontfutseling en het vervolgens versleutelen van de kritische computersystemen, zodat een organisatie ook echt lam ligt. De slachtoffers lijken ook meer bereid losgeld in bitcoins te betalen om weer online te komen of publicatie van gevoelige informatie op het internet te voorkomen.
Goudmijn
Tegelijkertijd neemt het aantal potentiële doelwitten voor aanvallers alleen maar toe, naarmate de nieuwe maar vooral ook de oude economie het gehele bedrijf aan het internet hangt. Waar de vaak verouderde machines in productielijnen in energiebedrijven en de maakindustrie om efficiencyreden aan het ‘internet der dingen’ worden geknoopt, vormen zij een goudmijn voor gijzelsoftware. Zo lang er veel landen blijven die een veilige haven bieden aan cybercriminelen, neemt de pakkans ook niet significant toe.
Bovendien zijn technische en juridische complexiteit van crisismanagement voor slachtoffers toegenomen, net als de financiële belangen en de zorgen in de samenleving. Zodra een bedrijf of individu slachtoffer wordt lopen tientallen technische, organisatorische en juridische workstreams meteen door elkaar heen.
Voor een bedrijf of individuele bestuurder is het weren van cybercriminelen governance op topsportniveau
Gek genoeg bel je als eerste je advocaat. Je moet namelijk direct een IT-consultant van wereldklasse aan het werk zetten met het onderzoek naar de oorzaak en de herstelwerkzaamheden, en die werkzaamheden moeten vanaf het eerste uur binnen de vertrouwelijkheid vallen die een advocaat wettelijk kan garanderen. Dit in het geval je weken of zelfs jaren erna nog in gesprek bent met verzekeraars, klanten, leveranciers, toezichthouders of zelfs claimstichtingen die juist alle belang hebben bij toegang tot de technische bevindingen en bestuurlijke respons van het allereerste uur.
Een advocaat moet ook meteen meedenken over de vele wettelijke notificatieplichten en crisiscommunicatie met andere stakeholders: wanneer en hoe stel je de financiële markten, aandeelhouders, verzekeraars, accountants, toezichthouders, opsporingsdiensten, consumenten, leveranciers en werknemers op de hoogte van de black-out? En de advocaat denkt ook mee over de terugkerende dilemma’s als civiele aansprakelijkheid en strafrechtelijke dimensies aan onderhandelen met cybercriminelen en het betalen van losgeld.
Voor het bedrijf of individuele bestuurder geldt dat zij voor de organisatie de besluitvorming rondom het crisismanagement moeten documenteren, om later te kunnen laten zien dat zij altijd de juiste technische en juridische beslissingen hebben genomen. Governance op topsportniveau.
Waar de verdediging steeds meer technische en juridische gaten moet afdekken, hebben aanvallers aan een gaatje genoeg. Het kat-en-muisspel wordt steeds oneerlijker. Voor organisaties zit er maar een ding op: voorbereidingen treffen zo lang het nog kan en dilemma’s nu al beslechten in de boardroom. Niet om iedere aanval af te slaan, maar vooral om ten opzichte van andere doelwitten minder aantrekkelijk te zijn. Reken erop dat cybercriminelen al binnen zijn, en op basis van grondig onderzoek binnen het bedrijfsnetwerk afwegen bij welke organisatie zij doorpakken. Cybercriminelen maken net als koele bestuurders een nuchtere kosten-batenanalyse: organisaties met back-ups, een fallback-scenario en een up-to-date IT-omgeving vormen een minder interessant doelwit om programmeertijd in te investeren.
Schakel onder- en bovenwereld
Precies in die koelbloedige economische afwegingen schuilt ook de achilleshiel van cybercriminelen en de crux voor beleidsmakers. Cybercrime-experts Bruce Schneier (Harvard University) en Nicholas Weaver (Berkeley University) pleiten, ondanks hun achtergrond in computerwetenschappen, ervoor het businessmodel van ransomware te frustreren. Want pas als cybercriminelen een sloot bitcoins verwerven, wordt het lastig. Net als conventionele criminelen zien zij zich geconfronteerd met witwasproblematiek. Grote bitcointransacties, en vooral de omzetting in andere cryptomunten of dollars, zijn ondanks de belofte van anonimiteit van cryptogeld juist goed traceerbaar omdat iedere transactie wordt geregistreerd op de blockchain. Wisselkantoren in cryptocurrencies moeten als schakel tussen cybercriminele onder- en bovenwereld wereldwijd worden onderworpen aan witwasregelgeving en verscherpte controles door belastingdiensten en financiële opsporingsdiensten.
Zeegodin Thetis moest haar zoon toch ergens aan vasthouden, toen zij Achilles in de kolkende vlammenrivier van de onderwereld Styx dompelde om hem onsterfelijk te maken. Achilles groeide uit tot een schijnbaar onoverwinnelijke tegenstander, totdat de slimme Paris met een welgemikte pijl in zijn hiel de teloorgang van Troje kon voorkomen. Het kat-en-muisspel tussen aanval en verdediging valt steeds vaker uit in het voordeel van de aanvaller. Het is tijd om cybercriminelen in hun achilleshiel te raken.