Samenwerken aan internationale incidentrespons

Op de 2021 RSA Conference besprak een panel van deskundigen de behoefte aan een betere samenwerking om cybercriminaliteit tegen te gaan.

NotPetya legde grote bedrijven over de hele wereld lam, Sony Pictures werd gehackt als wraak voor het uitgeven van een film, en onlangs werd Colonial Pipeline nog getroffen door ransomware. Deze misdaden zijn niet alleen lastig om in het nieuws te portretteren, maar zijn ook ingewikkeld voor bedrijven, wetshandhavingsdiensten en beleidsmakers over de hele wereld. Het internet geeft niets om grenzen, en aanvallen die in het ene land worden uitgevoerd, zijn gericht op doelwitten in meerdere andere landen, wat de kwestie van jurisdictie tot een probleem maakt.

De oplossing ligt in communicatie, véél communicatie, en samenwerking. Dat is echter ook veel makkelijker gezegd dan gedaan.

Op het RSA 2021, spraken de INTERPOL-directeur cybermisdaad Craig Jones, speciaal gezant voor het cyberbeleid van het federale ministerie van Buitenlandse Zaken (FDFA) in Zwitserland Jon A. Fanzun, en voorzitter van FIRST (Forum for Incident Response and Security Teams) Serge Droz in een panel met de naam “The ticking ‘cyber-bomb’ and why there’s no global policy response to fix value-chain risks” (De tikkende ‘cyberbom’ en waarom er geen mondiale beleidsrespons is om risico’s in de waardeketen op te lossen). Kaspersky’s Senior Manager of Public Affairs Anastasiya Kazakova modereerde hierbij. De groep besprak specifieke uitdagingen en discussieerde over mogelijke ingrediënten voor een globale respons.

De algemene consensus was dat er behoefte is aan betere samenwerking en het delen van bewustzijn van dreigingen en aan beveiliging gerelateerde problemen wereldwijd. Jurisdicties zijn echter gebonden aan territoriale grenzen die wetshandhavingsdiensten moeten respecteren. Helaas geldt dat niet voor de criminelen.

“Cybercriminelen zijn dol op het concept ‘verdeel en heers’. Als wij verdeeld zijn, floreren de criminelen. Daarom is het onze grootste uitdaging, veel groter dan een technische uitdaging alleen, om te besluiten hoe we allemaal beter kunnen samenwerken,” aldus Droz.

Het sentiment van Droz klinkt misschien ernstig, maar internationale samenwerking is de afgelopen jaren in feite toegenomen. Particuliere entiteiten, CERT’s, wetshandhavingsdiensten en overheden zijn begonnen samen te werken om slachtoffers te helpen. Zo heeft het ‘No More Ransom’-project slachtoffers van ransomware bijvoorbeeld geholpen om bestanden te decoderen zonder daarvoor te hoeven betalen. Daarnaast zijn Europol, Bundeskriminalamt (Duitsland), Politie (Nederland), Polisen (Zweden), het Australian Centre to Counter Child Exploitation, de Australian Federal Police, de Queensland Police Service, de FBI en ICE (VS), en de Royal Canadian Mounted Police onlangs een samenwerking begonnen voor de multinationale ontmanteling van productieve platforms voor seksueel misbruik van kinderen op het dark web.

Dit soort voorbeelden geven hoop, maar we moeten meer doen. We hebben in het bijzonder organisaties nodig die deze samenwerking omarmen en moeten de manier waarop we naar cybercriminaliteit kijken normaliseren. Er is ook behoefte aan een groter vertrouwen om meer en grensoverschrijdend informatie te delen tussen belanghebbenden.

Bij Kaspersky zien we deze samenwerking als een driedelig proces dat ons kan helpen om aanvallen op kritieke infrastructuren te voorkomen en hierop te reageren.

  1. Nationale contactpunten (National Points of Contact of POC’s) faciliteren verdere coördinatie met andere relevante autoriteiten in een land, organiseren regelmatig cyberoefeningen en ontwikkelen grensoverschrijdende procedures, instrumenten en sjablonen (bijv. voor incidentevaluaties, bijstandsverzoeken of verantwoorde uitwisseling van kwetsbaarheden);
  2. In geval van een aanval verbinden POC’s de aangevallen kritieke-infrastructuurorganisatie met de juiste softwarefabrikant, het cybersecurity-bedrijf en de CERT’s voor hun land;
  3. POC’s wisselen dan snel informatie uit over de dreiging, analyseren die en vergelijken forensische monsters om het incident efficiënt te verhelpen.

Wij denken dat een dergelijke samenwerking zal groeien en zo tot een betere toekomst zal leiden.

Tips