Cyber terrorisme in Nederland

59
Cyber terrorisme in Nederland Sijmen Ruwhof IT Security Consultant / Ethisch Hacker 5 juli 2016

Transcript of Cyber terrorisme in Nederland

Cyber terrorisme in Nederland

Sijmen RuwhofIT Security Consultant / Ethisch Hacker

5 juli 2016

• Sinds 1997 bezig met hacking (legaal).

• Sinds 2005 professioneel als hackerIT Security Consultant.

• 600+ beveiligingsonderzoeken uitgevoerd.

Inbreken bij overheid, banken en bedrijven om ze vervolgens te helpen lekken te dichten.

Wie is Sijmen Ruwhof?

Waar ik zoal voor werk

• Wat is cyber terrorisme?

• Wat het NCSC en AIVD erover publiceren.

• Terroristische doelen.

• Terroristen.

• Kwetsbaarheid van ICT.

• Kans op een aanslag.

• Weerbaarheid versterken.

• Er is een aanslag! Help!

Inleiding

Wat is cyber terrorisme?

Er zijn heel veel definities. De mijne:• Politiek gemotiveerde aanval door subnationale

groepering via ICT (internet), zoals grootschaligeverstoring of manipulatie van computers en -netwerken.

• Een digitale aanslag resulteert in negatieve manifestatie in fysieke wereld.

Cyber crime = Financieel gewin door individuen.Cyber warfare = Overheden die elkaar aanvallen.

Definitie

• Digitale aanvallen zijn aantrekkelijk alternatief voor en aanvulling op conventionele aanvallen.

• Grote impact tegen lage kosten en afbreukrisico’s.

• Belangrijke maatschappelijke processen komen tot stilstand als bijbehorende ICT-systemen en analoge alternatieven niet beschikbaar zijn.

Cyber terrorisme

Sijmen says:“Niet een kwestie of, maar wanneer een

grootschalige cyber terroristische aanslag in Nederland gebeurt.”

Nationaal Cyber Security Centrum

Kernbevindingen:

• Beschikbaarheid wordt belangrijker nu alternatieven voor ICT-systemen verdwijnen.

• Kwetsbaarheden in software zijn de achilleshielvan digitale veiligheid.

• Cyber crime & digitale spionage grootstedreiging: “Geopolitieke ontwikkelingen hebben belangrijke invloed op ontwikkeling van dreiging.”

Cyber security beeld 2015

Dreigingsmatrix (1/2)

NCSC: “Terroristen vormen nog geen grote dreiging, maar hun capaciteiten groeien wel.”

Dreigingsmatrix (2/2)

• Potentie op cyber vlak groeit.

• Terroristen hebben (nog!) beperkte technischecapaciteiten.

• Geen aanwijzingen voor concrete dreiging met grote impact.

• Jihadisme grootste dreiging op dit moment.

Terroristische dreiging

NCSC: “Tot nu toe bleven digitale aanvallen met

jihadistische motieven in Nederland beperkt tot kleinschalige aanvallen waar weinig kennis en

menskracht voor nodig was.”

Cyber terrorisme in Nederland

• Geopolitieke ontwikkelingen.

• Intra- en internationale conflicten.

• Aanslagen.

• Incidenten.

Aanleiding voor digitale aanval

Algemene Inlichtingen en Veiligheidsdienst

• Tot 2014 gebruikten jihadistische hackers eenvoudige digitale aanvalsmethoden met beperkte impact:

– Verbale intimidatie.

– Verspreiding propaganda.

• Aandacht vooral defensief van aard: encryptie & TOR.

Jaarverslag 2015

AIVD (2016):“Digitale aanvallen zijn goedkoop, effectief, efficient

en kunnen vele male vaker en omvattenderuitgevoerd worden dan fysieke uitvoeringen.”

• Sinds juni 2014 is (cyber) kalifaat uitgeroepen:

– Versnelde professionalisering.

– Verhoging kennisniveau.

– Betere organisatie.

– Centrale aansturing van hackersgroeperingen.

– Offensiever en gerichter.

Jaarverslag 2015

• Wapenfeiten:

– Defacements: propaganda.

– Publiceren persoonsgegevens militairen & ambtenaren: benoeming potentiële doelwitten.

– Groter doel: angst zaaien.

Jaarverslag 2015

Overige veiligheidsorganisaties

Troels Oerting says (2014):“Cruciale infrastructuur kan een doelwit zijn.

Hebben we gelukkig nog niet meegemaakt, maar moeten we ons wel op voorbereiden.”

Europol

Gilles de Kerchove says (2016):“Binnen korte tijd kunnen terroristen mogelijk

inbreken in kritische infrastructuur. Regering moetdringend investeren in cyber veiligheid. Anders is

aanslag binnen 5 jaar waarschijnlijk een feit.”

Belgische antiterreurcoördinator

Terroristische doelen

• Publieke opinie beïnvloeden en domineren:

– Intimideren en shockeren (shock & awe).

– Manipulatie.

– Propaganda verspreiden.

– Radicaliseren.

• Samenleving ontwrichten.

Terroristische doelen

• Water gerelateerd (dijken, sluizen, stuwdammen).

• Voedsel.

• Energiecentrales (kernenergie).

• Verkeer (stoplichten, bruggen, treinen, vliegtuigen).

• Financiële infrastructuur (banken).

• Internet (just-in-time, auto’s, DNS, etc.).

• Medische sector (ziekenhuizen).

Kritische infrastructuur

Internet of things

Terroristen

• Cyber kalifaat is de hackerdivisie van IS.

• Capaciteit en kennis ontbreekt, maar willen welen doen hun best.

• Inlichtingendienst GCHQ van VerenigdKoningkrijk neemt 1.900 extra mensen aan om tegen het cyber kalifaat te beschermen (11-’15).

• Vermeende cyber kalifaatleider Junaid Hussein (21) is 8-’15 omgekomen via drone-aanval.

Islamitische staat

• Nog weinig resultaat:

– Gehackte Twitter-accounts.

– Franse TV-zender TV Monde (nav. Charlie Hebdo):zenders, website, Facebook-pagina gehackt.

Cyber kalifaat

Kwetsbaarheid van ICT

• Digitalisering.

• Centralisering.

• Schaalvergroting & mondialisering.

• Vergroting complexiteit.

• Aansluiting op internet.

• Automatisering & kostenreductie.

• Specialisatie & uitbesteding.

Trends die doorzetten

Sijmen says:“Standaard zijn ICT-componenten onveilig, tenzij

*jij* er moeite voor doet.”

Budget is conjunctuur gevoelig

• Spear phishingmails.

• Vergeten infrastructuur.

• Ontbreken van beveiligingsupdates.

• Zeer groot gebrek aan kennis over cyber security.

• Security niet hoog op managementagenda.

• Security testing en monitoring ontbreken.

Beveiligingsrisico’s

Kans op een aanslag

Vooralsnog laag:• Cyber terrorisme met grote impact is nog nooit

gebeurd.• Ontbreken van noodzakelijke vaardigheden:

aanvallen zijn moeilijk uit te voeren. • Cyberaanvallen hebben (vooralsnog!) een

beperktere psychologische impact in vergelijking met fysieke aanvallen.

• Internet nu voornamelijk gebruikt door terroristen om ideologie te verspreiden.

Kans op een aanslag

In de nabije toekomst hoog:

• Terroristische organisaties zoals IS hebben veelgeld en kunnen professionele black hat hackers inhuren (via black markets).

• Bijna alles wordt met internet verbonden.

• Potentie is gigantisch: ons hele leven wordt verdigitaliseerd.

• Staat van cyber security is momenteel zéérslecht, en wordt nog véél slechter.

Kans op een aanslag

Sijmen says:“Er hoeft maar één ervaren IT-er zich bij het cyber

kalifaat aan te sluiten om de dreiging acuut te maken. Laat staan een ervaren security expert, dat

zou catastrofaal kunnen zijn.”

Weerbaarheid versterken

Sijmen says:“Traditioneel terrorisme is moeilijk te stoppen.

Tegen cyber terrorisme is veel makkelijker te beschermen.”

• Wacht niet tot een aanslag/aanval is uitgevoerd!

• Threat intelligence.

• Security monitoring.

• Redundante & gesegmenteerde ICT-infrastructuur.

• Anti-DDoS-bescherming.

• Security awareness!

Counter cyber terrorisme

• Medewerkers opleiden.

• Beleid opstellen en laten auditen.

• Verantwoordelijkheden helder beleggen.

• Beveiliging in ontwerp en proces meenemen.

• Risicoanalyses uitvoeren.

• Beveiligingstesten uitvoeren.

Cyber security

Sijmen says:“Het uitgangspunt inzake cyber security is dat wat

niet benoemd en gevraagd is, ook niet geleverd wordt.”

Vanuit klantperspectief:

• Stel vragen!

– Vraag naar testrapport.

– Vraag naar procesgang.

• Benoem maatregelen in offerte en functioneel ontwerp.

Benoemen en vragen stellen

• Momentopname: hoe staat het ervoor?

• Inventarisatie van actuele beveiligingsrisico’s.

– Startpunt om risico’s op te lossen.

– Accepteer bewust restrisico’s.

• Bij hoge/kritische risico’s:

– Indicatie dat processen niet goed lopen.

– Onderbouwing voor budgetaanvraag.

Nut van beveiligingstesten

Sijmen says:“Gelukkig zijn de meeste beveiligingslekken

eenvoudig op te lossen.”

• Initieel voordat software naar productie gaat.

• Periodiek productie testen:

– Jaarlijks handmatige test.

– Per 1 tot 3 maanden geautomatiseerde test.

• Scoping:

– Alles wat internet-facing is.

– Op intern netwerk: de belangrijkste assets.

Wanneer beveiligingstesten?

Er is een aanslag! Help!

• Escaleer richting management.

• Schakel/huur direct ervaren cyber security experts in.

• Neem contact op met het NCSC.

• Formeer security incident response team.

Wat te doen

• Heel lastig!

• Geeft nooit 100% zekerheid.

• Vaak wordt aanslag opgeëist door groepering.

Attributie

AIVD says (2016):“Digitale aanvallen kunnen veelal anoniem worden

uitgevoerd, of vrij gemakkelijk aannemelijk de verantwoordelijkheid van worden ontkend.”

Attributie

• Kans op aanslag is nog laag, maar in de nabije toekomst hoog.

• Impact van goed uitgevoerde aanval is nu al best heel hoog.

• Een organisatie kan zich goed tegen cyber terrorisme beschermen.

Samenvattend

Secundity

www.secundity.nl

Sijmen Ruwhof

twitter.com/sruwhof