NLO Fortify no. 6 2017/2018
Deel deze editie
Home
Top
nr. 6 | jaargang 4 | winter 2017/2018
vorige | volgende
Nederlands

Interview met Lokke Moerel

Cyberveiligheid staat bij veel bedrijven nog in de kinderschoenen

Bescherming van innovaties en bedrijfsgeheimen heeft met de opkomst van cybercriminaliteit een heel nieuwe dimensie gekregen. Media berichten bijna dagelijks over ziekenhuizen die gegijzeld worden met ransomware, over havens, rederijen en pakketbezorgers die dagen platliggen omdat hun computersystemen zijn besmet of over een grootschalige diefstal van creditcardgegevens of medische dossiers.

Als lid van de Nederlandse Cyber Security Raad (CSR) en advocate bij Morrison & Foerster schrikt Lokke Moerel niet snel meer van waartoe hackers in staat zijn. Wel verbaast ze zich erover dat veel bedrijven nog steeds onvoldoende voorbereid zijn op cyberaanvallen. Bovendien ergert zij zich over hoe – ook gerenommeerde - fabrikanten hun verantwoordelijkheden op het gebied van cybersecurity ontlopen: "Ik vind dat fabrikanten hun ‘smart products’ vaak te snel lanceren. Ze willen allemaal als eerste op de markt zijn, zonder eerst de digitale veiligheid van deze producten te borgen."

Met welke vormen van cybercriminaliteit hebben bedrijven vooral te maken en welke ontwikkelingen ziet u daarin?

"Cybercrime was aanvankelijk gericht op de 'quick buck', denk aan diefstal van creditcardgegevens. Later waren hackers steeds meer uit op echte bedrijfsgeheimen, variërend van R&D-informatie over innovaties (inclusief de producthandleidingen) tot aan nieuwe ontwerpen voor fabrieken. Dat was de tweede golf. In de derde golf zien we nu dat hackers aan de ene kant binnenkomen en persoonsgegevens weghalen zodat het bedrijf zich daar op richt, om vervolgens aan de andere kant Intellectuele Eigendom (IE) te stelen. Een andere variant is dat ze eerst persoonsgegevens stelen bij het ene bedrijf, om met die gegevens vervolgens overtuigende ‘phishing e-mails’ te versturen om een ander bedrijf (het echte doelwit) te kunnen infiltreren. Dat noemen we een ‘stepping stone hack’. Dat is wat anders dan we recent gehad hebben met malware als Wannacry en NotPetya. Dat waren generieke aanvallen die gebruikmaakten van een kwetsbaarheid in Microsoft, ze waren niet specifiek op een bepaald bedrijf gericht. Het doel daarvan lijkt vooral machtsvertoon en het veroorzaken van disruptie. Bij stepping stone hacks gaat het om doordachte en ongelooflijk geavanceerde, infiltraties om specifieke kennis te bemachtigen.”

Lokke Moerel

Hacks om de ‘quick buck’ en hacks met een strategisch doel, daar horen verschillende daderprofielen bij

"Ja, dit soort moderne spionage is in de meeste gevallen ‘state-sponsored’. In de zaken waar ik betrokken bij ben, is er eigenlijk altijd sprake van statelijke actoren, meestal uit China of Rusland. Dat is wat forensische experts tenminste keer op keer aan ons rapporteren. Dit leiden ze af aan de manier waarop die malware is ontwikkeld en gecodeerd, waarin ze bepaalde stijlen herkennen."

Welke bedrijfsgegevens worden vooral gestolen en wat gebeurt daar vervolgens mee?

"Medische gegevens zijn heel gewild. Die worden voor een bepaald bedrag op het dark web verhandeld. De koper kan die gegevens gebruiken om heel goede phishing e-mails te maken om systemen binnen te dringen. Denk aan de stepping stone hack van Anthem, een Amerikaanse zorgverzekeraar. Die gegevens werden gebruikt voor phishing e-mails om de Amerikaanse overheid te infiltreren. Het dark web is bovendien een soort informatiemarkt. Stel er loopt een biedingsproces om een haven te bouwen. Dan is het interessant voor bedrijven om te weten wat hun concurrenten bieden. Normaal gesproken breken deze bedrijven niet snel bij een concurrent in om dat soort informatie te stelen, maar als je hierover voor een betrekkelijk gering bedrag een rapportje kunt kopen is dat blijkbaar een aantrekkelijke optie. En ook allerlei koersgevoelige informatie is gewoon in de handel. Die wordt gestolen om geld te kunnen verdienen met aandelenhandel. Advocatenkantoren zijn doelwit van cybercriminelen omdat ze vaak als eerste op de hoogte zijn van nieuwe transacties en overnames. Ik zie niet in waarom octrooibureaus niet ook doelwit zouden zijn. Informatie over innovaties die met het octrooibureau wordt uitgewisseld, dat is een heel interessant kanaal om op in te tappen."

U wordt dagelijks met dit soort zaken geconfronteerd. Schrikt u nog wel eens ergens van?

"De geavanceerdheid van hacks blijft toenemen, maar dat is bijna een continue ontwikkeling dus dat verbaast me niet meer zo. Wat me af en toe wel verbaast is het gebrek aan basale cyberhygiëne bij bedrijven. Misschien omdat ik er zo middenin zit en het een urgent onderwerp vind. Toch zie ik telkens weer bedrijven die softwarepatches niet uitvoeren en zo bekende kwetsbaarheden laten bestaan. De disruptie in de Rotterdamse haven had met het installeren van een simpele security patch voorkomen kunnen worden. Ik zou denken dat we dat stadium wel voorbij waren, maar dat is helaas niet zo."

Nederland en cyberveiligheid

In een recent artikel in NRC gaf u Nederland een rapportcijfer 3 voor cyberveiligheid.

"Cyberveiligheid heeft heel veel facetten.1 Scoren we op al die facetten een 3? Nee, maar het is wel zo dat als één van de elementen niet in orde is, het lastig is om als geheel een voldoende te scoren. Ik denk dat sommige grote bedrijven die als eerste cyberincidenten hebben ervaren flinke verbeteringen hebben gemaakt en hun cyberveiligheid nu goed voor elkaar hebben. Maar die bedrijven zijn ook weer afhankelijk van allerlei kleinere toeleveranciers en samenwerkende partners en dat geheel is zo sterk als de zwakste schakel. Omdat de cyberveiligheid of de cyberhygiëne bij veel bedrijven nog in de kinderschoenen staat, is het totaalplaatje echt onvoldoende."

The Netherlands Cyber Readiness Assessment (2017)

Hoe doet Nederland het in internationaal opzicht?

"Nederland staat in de top 10 van de meest ‘connected countries’, 95% van de huishoudens heeft een internetaansluiting. Hierdoor zijn we een van de meest ICT-intensieve economieën van Europa en staan we momenteel zevende in de wereld en vierde in Europa (2017). 23% van onze economie is digitaal en in 2020 moet dat een kwart zijn. Dat betekent dat onze kwetsbaarheden vergelijkbaar groot zijn. Toch besteden we maar 0,01% van ons bruto nationaal product aan cybersecurity. Dat is procentueel veel minder dan Frankrijk, Engeland, Duitsland en ook de VS. Cyberveiligheid is ook relatief. Als wij het beter doen dan de landen om ons heen, gaan de criminelen daarheen, ze nemen de weg van de minste weerstand. Op dit moment doen we het met onze totale cyberreadiness redelijk vergeleken bij andere landen, maar ik denk dat het dus niet voldoende is. In absolute zin omdat de dreigingen harder toenemen. In relatieve zin omdat de landen om ons heen veel meer investeren in cyberveiligheid en ons zo inhalen. De AIVD rapporteert dat Nederlandse bedrijven en instellingen structureel en op grote schaal slachtoffer zijn van digitale aanvallen, we zijn daar niet klaar voor."

1 Lokke Moerel verwijst bij het antwoord op deze en de volgende vraag naar het rapport 'The Netherlands Cyber Readiness at a Glance' van Melissa Hathaway en Francesca Spidalieri uit mei 2017. Uit dat rapport is ook het diagram 'The Netherlands Cyber Readiness Assessment' overgenomen.

Wat gebeurt er in een bedrijf op het moment dat er inderdaad zo’n aanval plaatsvindt? Wordt er dan een draaiboek uit de kast gehaald dat netjes wordt afgewerkt of is het totale paniek?

"Bij de meeste bedrijven die voor de eerste keer met een serieuze infiltratie te maken krijgen (ze malware ontdekken op hun systemen waarvan ze eigenlijk niet weten wat het doet, maar ze wel zien dat er data verdwijnt) zie je de paniek toeslaan. Soms is er dan nog wel een procedure, maar als die uit de kast wordt gehaald is in één oogopslag duidelijk dat ze daar helemaal niks aan hebben. Er staan meestal niet eens de contactpersonen in die gebeld moeten worden om het crisisteam te vormen. Voordat de juiste mensen aan tafel zitten die het cyberincident kunnen managen is er al onverantwoord veel vertraging ontstaan. Wordt er geavanceerde malware gevonden dan heb je externe forensische hulp nodig. Als je die niet vooraf hebt geselecteerd en gecontracteerd, gaat daar ook onnodig veel tijd overheen. Dit staat nog los van het feit dat je dan niet in de beste positie bent om goede tarieven en voorwaarden uit te onderhandelen. In Amerika heb je bij elk datalek dat bekend wordt sowieso een aantal ‘class actions’ aan je broek. In ernstige gevallen worden daarom vanaf het eerste moment advocaten ingeschakeld om zoveel als mogelijk ‘legal privilege’ te bewaren en de aansprakelijkheidsrisico’s te verkleinen. Datalekken kunnen verder een veelheid aan meldplichten triggeren bij toezichthouders in verschillende landen. Dat moet goed worden gecoördineerd zodat alle instanties op hetzelfde moment worden geïnformeerd. Anders krijg je het verwijt dat je het niet op tijd hebt gemeld (omdat je blijkbaar wel eerder bij een andere autoriteit hebt kunnen melden). De tijdslijnen voor de meldplichten zijn onverantwoord kort. Bij datalekken van persoonsgegevens moet je binnen 72 uur een melding doen bij de Autoriteit Persoonsgegevens. Je kunt je voorstellen dat met al deze acties deze termijn niet wordt gehaald als je geen protocol hebt hoe je bij incidenten handelt, en dit ook echt in de praktijk is geoefend.

Vaak is na de eerste ervaring met een cyberincident de reactie: dit nooit meer! Dan wordt er ineens wel een goede procedure voor cyberincidenten opgesteld en geoefend met scenario’s. Eerst wordt er geen geld aan uitgegeven, daarna maakt het niet meer uit wat het kost. Blijkbaar moet je eerst ervaren hoe je als bedrijf op drift kan raken als je niet meer de controle over je systemen hebt voordat je doorhebt dat je echt op die situaties moet voorbereiden en de procedures ook levend moet houden. Het is een verantwoordelijkheid van het bestuur om te zorgen dat de cyberreadiness in hun bedrijf goed is geïmplementeerd en geborgd. In Amerika worden bestuurders vervolgd door aandeelhouders als hun cyberveiligheid niet op orde is en zelfs als een cyberincident niet goed wordt gemanaged. Als je denkt dat wat er in Amerika gebeurt hier niet ook komt, dan vergis je je. De CSR heeft de 'Handreiking cybersecurity voor de bestuurder' uitgebracht en alle leden van de Raad voeren jaarlijks gesprekken met bestuurders om de aandacht op dit thema te vestigen. Dan zie je dat het niveau van volwassenheid op dit onderwerp nog steeds heel wisselend is."

about the csc

De Cyber Security Raad (CSR) is een nationaal en onafhankelijk adviesorgaan van het Nederlandse Kabinet en is samengesteld uit hooggeplaatste vertegenwoordigers van publieke en private organisaties en de wetenschap. De CSR zet zich op strategisch niveau in om de cybersecurity in Nederland te verhogen.

Door de unieke samenstelling van de raad is het mogelijk om prioriteiten, knelpunten en incidenten vanuit diverse invalshoeken strategisch te benaderen en een integrale visie op kansen en bedreigingen te ontwikkelen. De CSR zoekt de samenwerking met vergelijkbare raden in andere landen en stimuleert de oprichting ervan in landen die nog geen Cyber Security Raad kennen.

De adviezen en publicaties van de CSR – waaronder ook Engelstalige documenten – zijn te vinden op www.cybersecurityraad.nl

Hebben we volledig zicht op de schade die door cybercriminaliteit wordt aangericht?

"Bij bedrijven die interessante technologie in huis hebben en die nog nooit een cyberincident hebben gehad, denk ik: “Misschien heb je wel niet goed in je netwerk gekeken. De Nederlandse inlichtingendiensten zeggen dat twee derde van de getroffen organisaties niet weet dat ze slachtoffer zijn. Heel vaak ontdekken bedrijven pas dat ze geïnfiltreerd zijn als ze hun netwerk gaan monitoren. Ik zie dat grotere bedrijven met innovatieve technologieën zich daar nu meer bewust van zijn en dit permanent doen. Maar je hebt natuurlijk ook kleinere bedrijven die buitengewoon innovatief zijn. Ik denk dat daar het bewustzijn nog te laag is, maar misschien is er ook gewoon wel het kostenaspect. Er zijn verschillende rapporten waarin de schade als gevolg van cybercriminaliteit in Nederland op ongeveer 10 miljard euro wordt geraamd. Dan praat je over 1,5 tot 2 % van ons bnp. En we geven maar 0,01% daarvan uit aan cybersecurity, daar is geen balans. Een goede vuistregel is dat bedrijven 10% van hun IT-budget aan cybersecurity moeten besteden. Heel veel bedrijven, en zeker de kleinere, halen dat niet op dit moment."

Alle aandacht in de media voor cybercriminaliteit voedt de bezorgdheid over privacy en de veiligheid van persoonsgegevens. In hoeverre belemmert die bezorgdheid het tempo van innovatie en het gebruik van nieuwe technologie?

"Ik vind dat innovatie op dit moment helemaal niet belemmerd wordt! Ik vind juist dat fabrikanten innovaties te snel lanceren. Ze willen allemaal als eerste op de markt zijn zonder dat de digitale veiligheid afdoende geborgd is. Allerlei apparaten die vroeger standalone functioneerden, van wasmachines tot boorplatforms, zijn nu allemaal aangesloten op het internet. Over de gevaren en de beveiliging daarvan wordt onvoldoende nagedacht. Dat is net als auto’s die vroeger geen goede remmen, veiligheidsgordels of airbags hadden. In het begin was dat nog wel acceptabel, maar nu horen deze veiligheidsmaatregelen er standaard bij. Ze zijn een ‘cost of doing business’. In feite verdienen we nu in de digitale economie geld, zonder dat de werkelijke kosten (voor cybersecurity) worden betaald. Dat is niet houdbaar en gaat ons later opbreken. We creëren nu al een legacy-probleem voor de toekomst. Mijn tweede bezwaar op dit vlak draait om privacy. Misschien lijkt dat helemaal niet gerelateerd te zijn aan dit onderwerp, maar allerlei machines in fabrieken en werktuigen hebben tegenwoordig sensoren. Dit lijken geen persoonsgegevens, maar de geregistreerde gegevens zeggen wel wat over de mensen die deze machines bedienen of onderhouden: hoe snel en precies ze hun werk doen, of ze af en toe afgeleid zijn, en of ze fouten gemaakt hebben. Dan komen er ook privacyregels om de hoek kijken in gebieden waar nog nooit iemand over privacy heeft nagedacht. Ik vind dat er bij innovatie te weinig aandacht is voor deze twee ontwikkelingen."

Lokke Moerel

Welke verantwoordelijkheden hebben bedrijven op dit gebied?

"Ieder bedrijf heeft digitale zorgplichten. Daarover hebben we als CSR net de handreiking ‘Ieder bedrijf heeft zorgplichten’ gepubliceerd. Om aan te geven aan welke plichten bedrijven nu al moeten voldoen, inclusief adviezen en voorbeelden voor wat die zorgplicht betekent voor het op de markt brengen van nieuwe producten. De handreiking is hard nodig omdat zelfs gerenommeerde fabrikanten een gebrek aan verantwoordelijkheid tonen. Neem het voorbeeld van de smart-vaatwasser voor ziekenhuizen van Miele, die onlangs te hacken bleek. Typerend hier is het commentaar van Miele Nederland op de hack. In plaats van zich te verontschuldigen voor het gebrek aan cybersecurity van zijn vaatwasser, legt de woordvoerder de verantwoordelijkheid voor de beveiliging van de vaatwasser bij de netwerkbeheerders van het ziekenhuis, ‘omdat de vaatwasser altijd in een bedrijfsnetwerk hangt’. Dit is onzin, bedrijven zijn verantwoordelijk voor de cybersecurity van hun producten. Realiteit is dat er fabrikanten zijn die deze verantwoordelijkheden negeren.

Miele heeft overigens later wel beter gereageerd, maar de eerste reactie was echt stuitend. Soortgelijke reacties hebben we ook gezien van Volkswagen nadat autosleutels en de code van startonderbrekers konden worden gehackt, waardoor de auto’s op afstand konden worden geopend. In plaats van de betrokken auto-eigenaren te informeren en de auto’s terug te roepen om het gebrek te herstellen, startte Volkswagen een procedure om de onderzoekers de mond te snoeren. Volkswagen liet weten dat de auto-eigenaren zelf maar een stuurslot of extra startonderbreker moeten aanbrengen. Ook dit is een vreemde reactie. Als Volkswagen een auto verkoopt gelden de regels van koop- en productaansprakelijkheid. Als de autosleutel wordt gehackt omdat de beveiliging niet in orde is, dan is Volkswagen daarvoor aansprakelijk, net zoals Volkswagen aansprakelijk zou zijn als de airbag of de remmen kapot blijken te zijn. Deze reacties duiden op een totaal gebrek aan besef dat cyberveiligheid onderdeel moet zijn van een connected device. De gedachte dat cyberveiligheid niet het probleem van de producent zou zijn, is voor mij als jurist echt ónvoorstelbaar. Van wie dan? zou ik bijna zeggen. Wie verdient hier nu geld aan die producten? Maar op de een of andere manier dringt dat niet door. Dan moeten mensen als ik het maar zeggen: dat hoort er wel bij!"

Bepleit u dat we bij het introduceren van innovaties af en toe even het gas loslaten en beter nadenken over de risico's en de bescherming daartegen?

"Je ziet met technologische ontwikkelingen altijd een slingerbeweging; eerst bepaalt de technologie de mogelijkheden, de sociale normen hobbelen daar altijd achteraan. Pas daarna bedenkt iedereen of we dat ook allemaal wel moeten willen. In het begin vond iedereen Uber en Airbnb fantastisch en zagen we alleen de voordelen. Nu ook de nadelen duidelijk worden, zie je dat er allerlei regels komen om ze beter in de maatschappij in te passen.

Ik denk dat we op het gebied van connectivity ook een tegenbeweging gaan krijgen. Het aan elkaar koppelen van alles levert fantastische nieuwe mogelijkheden op en zorgt voor groei, die voordelen wil je behouden. Maar sommige delen van onze zeer kritische infrastructuren (bijvoorbeeld van onze energievoorziening) moeten we niet klakkeloos aan het internet koppelen uit veiligheidsoverwegingen. Daarnaast moeten we echt af van het idee dat de consument in staat is verantwoorde keuzes te maken als je hem of haar maar informeert over de veiligheid. Een klant die een laptop koopt zou niet zelf moeten nadenken over beveiligingssoftware. Je verkoopt ook geen auto zonder veiligheidsgordels."

Als je de ontwikkelingen in cybercriminaliteit volgt en elke dag gebeld wordt door klanten met problemen met hun cybersecurity, word je vast heel somber over de toekomst.

“Ik ben een onverbeterlijke optimist en zie de problemen wel maar denk altijd gelijk in oplossingen en mogelijkheden. Ik denk dus dat we als maatschappij ook dit probleem weer op gaan lossen. Ik merk wel dat een ding me echt dwarszit. We hebben al zoveel oude legacy-systemen, die moeten worden opgeruimd. Dat zal al veel tijd en geld kosten. Dan erger ik me aan die fabrikanten die vandaag de dag nog steeds onveilige producten op de markt brengen. Daarmee creëer je nu al een nieuw legacy-probleem voor de toekomst. Laten we er in ieder geval voor zorgen dat bij alles wat nu nieuw op de markt komt de veiligheid zo goed mogelijk geborgd is. Dat lijkt me niet teveel gevraagd."

Over Lokke Moerel

Prof. dr. mr. Lokke Moerel begon haar loopbaan als IE-advocaat bij De Brauw Blackstone Westbroek en werkte daar als partner tot 2015. In dat jaar stapte ze over naar het Amerikaanse technologiekantoor Morrison & Foerster waar ze als 'senior of counsel' deel uitmaakt van het Global Privacy & Data Security team. "In mijn eerste jaren als IE-advocaat hield ik me bezig met auteursrechten op software (denk aan de tekstverwerkingsprogramma’s van IBM) en met de vlucht die het internet heeft genomen ben ik steeds meer de IT-kant opgegaan. Ik houd me al zeker vijftien jaar bezig met IT, cybersecurity, bescherming van data en het bestrijden van indringers. Bij Morrison & Foerster help ik een aantal datagedreven bedrijven uit Silicon Valley met hun strategie op het gebied van ‘cyber readiness’ en geef ik leiding aan onze teams die in actie komen als er een cyberincident is."

Lokke Moerel

Lokke Moerel is daarnaast hoogleraar Global ICT Law aan Tilburg University en lid van de Nederlandse Cyber Security Raad (CSR), een onafhankelijk adviesorgaan samengesteld uit vertegenwoordigers van het bedrijfsleven, de overheid en wetenschap. De CSR zet zich op strategisch niveau in om cybersecurity in Nederland te verhogen. De raad heeft als taak de regering, publieke en private partijen gevraagd en ongevraagd te adviseren over relevante ontwikkelingen op het gebied van cybersecurity. "Mijn specifieke bijdrage binnen de CSR komt onder meer voort uit mijn internationale ervaring en kennis over regulering op het gebied van cybersecurity en privacy, en uit de praktijkervaring die ik heb met bedrijven die op drift raken na een infiltratie door cybercriminelen en de vragen die dan opkomen over bijvoorbeeld samenwerking met justitie of het delen van informatie met andere bedrijven."

Lees ook >

  • Lees artikelTechnologieondernemer en auteur Peter Hinssen zet ons aan het denken over radicale innovatie van de dag na morgen.
    Trend in de markt Radicale innovatie voor de dag na morgen nr. 5 | jaargang 4 | winter 2017
    • NLO Fortify no. 6 2017/2018
    1
    Top