Lieven Van Rentergem (Check Point) over security: “Waardevolle lessen trekken uit ‘Oceans 11’”

Cybersecurity blijft voor bedrijven een immens grote uitdaging. Eind 2022 werd de Network and Information Security-directieve, of NIS2-richtlijn, vastgelegd door de Europese Unie. Die verplicht bedrijven om meer maatregelen te nemen en incidenten te rapporteren. NIS2 gaat op 17 oktober van dit jaar ook effectief van kracht.

Hoe kan een filmscenario bedrijven bewust maken van hun cyberomgeving en hoe kan het dat zelfs als een bedrijf alle cyberbeveiligingsoplossingen heeft geïmplementeerd, het alsnog slachtoffer wordt van een cyberaanval?

“Hetzelfde overkwam Terry Benedict in Oceans 11, een film die dan wel 23 jaar oud mag zijn, maar het probleem van vandaag nog steeds perfect illustreert”, steekt Van Rentergem van wal. “Ik start met de vraag: hoe kon dit gebeuren? De eigenaar van het casino is een controlefreak, die een hoop securitymaatregelen geïmplementeerd heeft, waaronder toegangscontrole. Hij gebruikt netwerksegmentatie en user-authenticatie, destijds bijzonder vooruitstrevend. Benedict beschikte over allerlei monitoringssystemen, maar toch bleek dat niet voldoende.”

Komt het voorbereidend werk in de film overeen met wat er gebeurt voor een cyberaanval?

“Zeker wel. Eerst en vooral hadden ze hun huiswerk gedaan. Danny Ocean (George Clooney) wil alle details weten: de namen van de bewakers en hoe ze hun koffie drinken… De eerste acties zijn het verkennen van mogelijke zwakke plekken in de beveiliging. In een scène in de film laat iemand ballonnen los om camera’s te blokkeren. En de security zag dat ook. Bij security-incidenten worden twee waarden gehanteerd: severity (de ernst van het incident) en confidence-level (hoe zeker is men dat het weldegelijk een incident is). De ernst van die ballonnen was laag wanneer het zicht van een camera geblokkeerd werd, aangezien dit geen wezenlijke bedreiging vormde voor de werking van het casino. Toch stuurden ze iemand op pad om de ballonnen weg te nemen omdat het incident daadwerkelijk plaatsvond.”

Uiteindelijk raken de ‘Oceans 11’ binnen door een pasje te stelen van een werknemer. Kan het in een bedrijf ook zo eenvoudig gaan?

“Ja, vaak ligt een menselijke fout aan de basis van een securitybreuk. In de film durfde de bewaker niet te melden dat zijn pasje gestolen was, omdat het in een stripclub gebeurde. Op de werkvloer kan er ook schaamte zijn als iemand op een foute link geklikt heeft of informatie doorgaf. Met die gebruikersnaam en dat wachtwoord (of met het pasje uit de film) verschaffen criminelen zich toegang tot het netwerk. Ze installeren dan meteen een ‘command and control’. Ook in de IT-wereld zie je dat: toestellen van users worden gecompromitteerd door malware en het eerste wat die gaat doen is volledige ‘command and control’ overhevelen naar de thuisbasis van de hackers. Stel dat het toestel waarmee ze toegang kregen even offline gaat, dan kunnen ze weer een ‘call home’ maken om de connectie te herstellen.”

“Daarna gingen ze over tot de aanval zelf”, gaat Van Rentergem verder. “Dat is een fysieke representatie van hoe malware werkt. In de film hadden ze een heel flexibele kerel in een kleine container gestoken en die naar binnen gerold in het casino. Dat lijkt heel erg op een ‘sideloading attack’ en is een soort cyberaanval waarbij de malware als een deeltje van een officiële applicatie wordt binnengeloodst”, legt de security engineer uit. “Malafide personen gaan de software van het programma of besturingssysteem waarin ze de malware willen meesturen niet helemaal herschrijven. Ze gaan een klein deeltje van de app converteren en daar een malware in plaatsen. De antivirusdetectie kan daar overheen kijken en zeggen dat er een legitieme software geïnstalleerd wordt. Die laat de actie toe en zo wordt de malware geïnjecteerd.”

Verderop in de film wordt Linus (Matt Damon) betrapt in de kluis en toch kan de diefstal doorgaan. Kan je die vergelijking doortrekken bij een cyberaanval?

“In de film wil een securitymedewerker ingrijpen, maar op dat moment liet een van die andere 11 zich voor dood vallen in die controleruimte en creëerde hij een hoger incident. Daardoor is er geen gevolg gegeven aan het eerdere incident. Stel: ze hadden genoeg mensen in die controleruimte, dan hadden ze die actie erbij kunnen nemen. Daarmee wil ik verwijzen naar de uitdagingen waar bedrijven vandaag mee te kampen hebben: een tekort aan personeel en opgeleide securityspecialisten om noodsituaties te kunnen opvangen. In de film zien we ook hoe de security overspoeld wordt door incidenten”, weet Van Rentergem.

De roof op het casino is uiteindelijk succesvol. Welke lessen kunnen bedrijven daaruit trekken?

“Het ontbrak de casino-uitbater niet aan security-oplossingen, maar de samenwerking tussen al die systemen was er niet”, legt de security engineer uit. “Dat is hetgeen waar we bij Check Point op focussen. Het collaboratieve stuk is bijzonder belangrijk in een hedendaagse cybersecuritystrategie. Bedrijven hebben nu een verzameling van individuele oplossingen: er is geen communicatie binnen de verschillende onderdelen van de endpoint-beveiliging, zoals antivirusscanners en firewalls. Het belangrijkste is dat ondernemingen tot een oplossing komen waarbij alle IT-systemen met elkaar gaan communiceren. Bij Check Point maken we al die systemen beheersbaar vanuit één cloudplatform, waardoor een naadloze integratie mogelijk wordt van verschillende securityoplossingen die centraal kunnen beheerd worden en beveiliging bieden. Ik verwijs graag naar de analogie met een brand. Als het brandalarm afgaat, dan geldt dat niet alleen voor de ruimte waarin het brandt, maar voor het hele gebouw. Waarom zou dat verschillen in een cybersecurityomgeving?”

Wat kunnen bedrijven dan concreet ondernemen?

“Zoals we in Oceans 11 zien, is de zwakke schakel eigenlijk de mens. Ten eerste is de cybersecurity-afdeling bij bedrijven vaak onderbemand of IT-medewerkers zijn niet voldoende getraind. Ten tweede is er het menselijke aspect: mensen maken nu eenmaal fouten. Met bewustwordingstrainingen kunnen we werknemers bewuster maken van de gevaren. Vaak klikken ze nog op mails en links van niet-geverifieerde afzenders of doen ze blindelings een transactie op vraag van iemand die zich voordoet als hun baas. We zijn er bij Check Point ook van overtuigd dat je bepaalde tools moet voorzien om de gebruikers te beschermen.”

Maakt artificiële intelligentie cybersecurity nog complexer?

Absoluut. Kijk naar de ChatGPT’s van deze wereld. Het maakt het bijzonder gemakkelijk om heel doelgericht mensen om de tuin te leiden. Dat kunnen heel gepersonaliseerde en geloofwaardige e-mails zijn via social engineering en automatisering. Phishingmethodes worden dus nog geavanceerder. Hackers kunnen nu makkelijker de mailbox testen of je nog out-of-office bent en de boodschap naar HR daarop aanpassen… Dergelijke zaken kunnen met AI versnellen en cybercriminelen kunnen creatief en innovatief worden met methodes die we vandaag misschien nog niet hebben gezien…”

Op 17 oktober gaan de NIS2-richtlijnen van kracht. Welke impact kunnen die hebben?

“Dat gaat zeker iets veranderen. Voornamelijk aan de bewustwording. In tegenstelling tot andere nieuwe technologie, zoals cloud en AI, kan cybersecurity niet rechtstreeks de kosten drukken, waardoor het voor veel bedrijven geen prioriteit is. Cybersecurity zal door NIS2 uiteindelijk niet meer als een kostenpost gezien worden. Er gaat duidelijker geïnvesteerd moeten worden in IT-beveiliging. Bedrijven moeten plannen hebben klaarliggen van hoe ze moeten reageren op een cyberaanval. Zo’n strategie is er bij de meeste ondernemingen nog niet. Ze zijn nu verplicht om binnen de 24 uur te communiceren over een cyberaanval en na 72 uur moet er een gedetailleerd incidentrapport klaarliggen. De impact op de samenleving gaat groter zijn omdat de oorspronkelijke NIS enkel op de basisnutsdiensten gericht was. Onder NIS2 vallen nog meer overheidsdiensten, maar ook postbedrijven, afvalbeheerders, verpakkingsdiensten en hun toeleveranciers. Tot slot zorgt NIS2 er ook voor dat bedrijven hun IT-werknemers beter gaan moeten trainen”, weet de security engineer.

En wat als een bedrijf de richtlijnen niet naleeft?

“Bij een cyberaanval is er steeds een meldingsplicht. Als zou blijken dat bedrijven niet de nodige maatregelen hebben getroffen om een cyberaanval te kunnen opvangen, dan gaan ze mogelijk gestraft worden. Ik weet niet hoe hard die straf omgezet zal worden, maar er zullen zeker financiële gevolgen zijn. Ik verwacht harde straffen voor bedrijven die onder NIS2 vallen en bewust weigeren hieraan te voldoen. Het blijft wel de vraag of ze eerst een voorbeeld gaat stellen of een aanpassingsperiode inlast. Ook al is het een Europese richtlijn, het is een Belgische wet, dus de straf zal door België bepaald worden. Zowel EU als België hebben een aandeel hierin, want dergelijke straffen kunnen een keerzijde hebben: elke euro die aan een boete wordt gegeven, is mogelijk een euro die niet meer geïnvesteerd wordt in cybersecurity”, besluit Van Rentergem.