De Meldplicht Datalekken kan ransomware uitbannen

Ransomware is een plaag voor alle bedrijven en personen die aan internet gekoppeld zijn met een pc of een smartphone. Helemaal sinds cryptoware een stevig percentage van ransomware uitmaakt, is de beer los. Het heeft er sterk de schijn van dat iedereen vroeg of laat slachtoffer zal worden van een stuk malware dat de pc en alle bestanden daarop gijzelt tegen betaling van losgeld. Althans: zo lijkt het. Sinds het I Love You-virus is er in de media niet meer zoveel aandacht geweest voor één bepaald soort malware. Als je niet over verregaande inzichten in de malware-industrie beschikt, zou je geloven dat er vandaag de dag alleen nog maar ransomware is. Malware die iets anders doet, daar hoor of lees je nooit meer iets over.

Als je naar wat statistieken hierover kijkt, kom je al snel tot de conclusie dat ransomware slechts een klein percentage van alle malware in de wereld uitmaakt. In 2015 zelfs minder dan 1% (1). Het lijkt erop dat dat aandeel groeiende is, maar het is zeker dat ‘gewone’ malware nog altijd ruimschoots in de meerderheid is. Toch hebben IT-beheerders bij bedrijven en bij automatiseerders schijnbaar alleen nog maar oog voor ransomware en zijn er veel klachten over het feit dat niet alle ransomware door alle beveiligingsproducten even goed worden tegengehouden.

Eddy Willems, G DATA

Een verklaring voor dit verschijnsel zou kunnen worden gevonden in een hoger besmettingspercentage van ransomware. Maar is dat wel zo? Nee, zeggen de malware-experts. Ransomware maakt gebruik van dezelfde (social engineering) technieken, zwakke plekken en exploits als alle andere malware. Uiteraard bestaat er simpele malware, die gemakkelijk kan worden tegengehouden. Maar er bestaat ook simpele ransomware die gemakkelijk wordt tegengehouden. Veel ransomware is relatief nieuw en maakt gebruik van relatief nieuwe beveiligingslekken, waar veel andere malware relatief oud is en gebruik maakt van oude beveiligingslekken, die relatief vaker al gepatcht zijn. Maar er is ook heel veel nieuwe malware, die gebruik maakt van dezelfde nieuwe beveiligingslekken als ransomware. Dat niet alle malware wordt tegengehouden door antivirussoftware is dan ook geen nieuws. Voor de meeste merken ligt het detectiepercentage van nog onbekende malware (de zogenaamde proactieve detectie) tussen de 60% en 90%. Voor reeds bekende malware (reactieve detectie) liggen de detectiepercentages tussen de 75% en de 99,9% (2). Deze percentages gelden dus voor zowel ransomware als voor alle andere malware. Het is dan ook bij nagenoeg alle systeembeveiligers bekend dat het installeren en updaten van een antimalware een goede eerste stap is, maar dat het daar niet bij moet blijven. Het up-to-date houden van álle software op het netwerk, door het uitvoeren van patches en het upgraden naar nieuwe versies, is minstens zo belangrijk. Een geweldig voorbeeld hiervoor is ons onlangs gegeven door de affaire die bekend staat als de ‘Panama Papers’. Het juridisch kantoor uit Panama dat te maken kreeg met ’s werelds omvangrijkste datalek, maakte op talloze vlakken gebruik van oude, ongepatchte systemen, die het gehele systeem volledig open zette voor malware en hackers (3).

Misschien heeft de grote aandacht voor ransomware te maken met het aantal mensen dat weet dat een infectie heeft plaatsgevonden. Meestal wanneer er een trojaan of keylogger op het bedrijfsnetwerk wordt aangetroffen, weet alleen de systeembeheerder van de infectie af. De meeste malware heeft immers tot doel om eerst eens ongemerkt kopietjes te maken van alle interessante bestanden op het systeem om die naar het moederschip te sturen en vervolgens zo lang mogelijk onopgemerkt op het netwerk te blijven rondhangen. Dan kan de malware de rekenkracht van de pc’s binnen het netwerk inzetten in een botnet, waarmee DDoS-aanvallen kunnen worden gepleegd, waarmee spam kan worden verspreid en waarmee wachtwoorden met brute force kunnen worden gekraakt. Hoe langer de malware daar kan blijven zitten, hoe lucratiever de oorspronkelijke tijdsinvestering van het schrijven en verspreiden van de malware. Het is om die reden dat (succesvolle) malware-infecties nauwelijks opvallen. De medewerkers van een bedrijf zullen er in de regel niets van merken. Dat ligt uiteraard anders bij ransomware. Bij een besmetting met ransomware, kan niemand binnen het bedrijf nog bij zijn bestanden en in de regel kan niemand zijn werkzaamheden nog uitvoeren. De kans dat het nieuws over een dergelijke besmetting uiteindelijk ˈuitlektˈ, is uiteraard veel groter.

Toch is daarmee het verschijnsel nog niet volledig verklaard. Het meeste nieuws dat openbaar wordt over ransomware-besmettingen, wordt niet zozeer door loslippige medewerkers de wereld ingebracht. Het zijn meestal ook echt de IT-afdelingen die dergelijk nieuws met derden bespreken. Ik denk dat dat te maken heeft met sociale acceptatie. Het werkt ongeveer zo: je hoort niemand erover dat een bepaalde banktrojaan op een zakelijk netwerk is aangetroffen. Als je als IT Manager ziet dat die banktrojaan op jouw systeem staat, kan dat eigenlijk maar één ding betekenen: je bent laks geweest. Je hebt een bepaalde patch niet op tijd uitgevoerd en nu is die banktrojaan uitgerekend op jouw netwerk binnengekomen. Je concurrenten en mede-ondernemers zijn veel verstandiger, want die hebben geen last van deze banktrojaan. Uit pure schaamte en angst voor een slechte reputatie besluit je de besmetting dood te zwijgen. En zo ondergaat de volgende die een besmetting met die banktrojaan oploopt, hetzelfde denkproces. Bij ransomware is deze spiraal doorbroken, wellicht met behulp van minder discrete medewerkers die het nieuws aan de grote klok hebben gehangen. In ieder geval lijkt het nu nog nauwelijks een issue te zijn om ervoor uit te komen dat je netwerk door ransomware is gegijzeld. Er zijn al zoveel voorbeelden van dit soort infecties bij andere bedrijven, dat we ons niet meer de enige sukkel voelen. En dat terwijl er precies dezelfde fouten aan ten grondslag liggen, zoals te late installatie van patches, het niet effectief filteren van emailbijlages en onvoldoende informeren van de medewerkers over de gevaren van links in e-mails, valse facturen en zip-files als bijlagen.

Eerder haalde ik Mossack Fonseca, het juridisch kantoor van de Panama Papers al even aan. Voor velen voelt die zaak heel anders aan dan een besmetting met de ransomware waar de accountant op de hoek mee te maken krijgt. Maar in de ogen van de wet is er geen verschil. Meestal wordt voor een hack malware ingezet. Een keylogger stelt een cybercrimineel in staat om inloggegevens te stelen met behulp van geregistreerde toetsaanslagen. Een Exploit kan misbruik maken van een zwakke plek in de software die gebruikt wordt, waarmee een database rechtstreeks kan worden benaderd. Een Remote Access Tool geeft een cybercrimineel op afstand de volledige controle over een pc of een mobiel apparaat, waarmee data gemakkelijk kunnen worden gestolen. In veel gevallen kan niet worden vastgesteld dat er gegevens zijn gestolen. De enige indicatie dat dit mogelijk kan zijn gebeurd, is de aanwezigheid van malware op het netwerk.

Het is dan ook zeer terecht dat de Autoriteit Persoonsgegevens in zijn richtlijn datalekken stelt dat bij een infectie met malware moet worden verondersteld dat een datalek kan zijn opgetreden. Met andere woorden: een infectie met malware moet worden behandeld als een datalek en moet dan ook altijd worden gemeld aan de Autoriteit Persoonsgegevens (4).

De nieuwe openheid van ondernemingen over besmettingen met ransomware geeft wel te denken over de naleving van de Meldplicht Datalekken op dit punt. Volgens de Autoriteit Persoonsgegevens werden er in het eerste kwartaal van 2016 iets meer dan 1000 meldingen van datalekken gedaan (5). Als ik alleen al nadenk over hoeveel Nederlandse ondernemingen ik, als één persoon, al heb horen klagen over ransomware en ik houd rekening met het feit dat ransomware slechts 1% van alle malware is, dan weet ik zeker dat besmettingen met malware –of het nou om ransomware of om andere malware gaat- nauwelijks worden gemeld.

Nu komen bedrijven niet graag uit voor verwijtbare fouten. En een malware-infectie en/of datalek is bijna altijd terug te voeren op één of meerdere verwijtbare fouten. Bij Mossack Fonseca is het datalek in de publiciteit gekomen en de eerste reactie van het bedrijf is om een externe hacker de schuld te geven dat die de wet heeft overtreden (6). Dat Mossack Fonseca zelf een verantwoordelijkheid heeft om informatiebeveiliging als serieuze taak op te vatten, wordt in alle toonaarden ontkend.

In Nederland is het ook nog steeds denkbaar dat bedrijven die een datalek niet melden zich met dergelijke argumenten verdedigen. ‘Wist ik niet’ of ‘begrijp ik niet’ liggen op de loer. Het is naar mijn idee dan ook hoog nodig dat de Autoriteit Persoonsgegevens begint met het uitdelen van boetes aan bedrijven die de verplichte meldplicht van datalekken (inclusief malware-infecties) niet naleven. Pas wanneer het pijn gaat doen in portemonnees, gaat informatiebeveiliging pas echt een prioriteit worden bij ondernemers. En als informatiebeveiliging en IT-beveiliging een prioriteit worden, zullen we vanzelf een daling van het aantal infecties met ransomware en andere malware gaan zien.

Eddy Willems, Security Evangelist bij G DATA

(1) https://securelist.com/analysis/kaspersky-security-bulletin/73038/kaspersky-security-bulletin-2015-overall-statistics-for-2015/

• (2) https://www.virusbulletin.com/testing/vb100/latest-rap-quadrant/
• (3) http://www.wired.com/2016/04/security-week-panama-papers-law-firm-seriously-shoddy-security/
• (4) https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/beleidsregels_meldplicht_datalekken.pdf
• (5) https://www.security.nl/posting/466908/AP+ontvangt+1000+meldingen+over+datalekken
• (6) http://www.computerweekly.com/news/450280745/Panama-Papers-stolen-by-hackers-says-Mossack-Fonseca