De aanvallen op Q-park (Wannacry), TNT, Maersk en Raab Karcher (NotPetya) maken heel zichtbaar dat ook de logistieke sector kwetsbaar is voor cyberaanvallen. Deze aanvallen zijn groot en hebben enorme impact op de hele Nederlandse infrastructuur. Zeventien (17) containerterminals van APM lagen stil, dit is een kwart van de Rotterdamse containercapaciteit. Na ruim 5 dagen zijn de terminals op Maasvlakte 1 en 2 gedeeltelijk weer open, de administratie wordt met de hand verwerkt. TNT geeft aan nog een week nodig te hebben om hun kritieke systemen online te zetten. Uiteraard heeft dit verstrekkende financiële gevolgen voor deze bedrijven, maar zeker ook voor alle bedrijven in de logistieke keten.
Gewoon betalen?
Bij een “normale” ransomware aanval worden al je bestanden gegijzeld nadat er iemand bijvoorbeeld op een linkje geklikt heeft in een mail. De aanvaller geeft dan aan hoeveel losgeld je moet betalen om je data weer terug te krijgen. Veelal betaal je in bitcoins. Bij ontvangst van de bitcoins krijg je een code waarmee je zelf al je data weer kunt ontsleutelen. You’re back in business!
Maar waarom betalen Maersk, Raab Karcher en TNT dan niet gewoon? Het losgeld kan toch niet zo hoog zijn als de schade nu? Bovendien kunnen ze het toch ook niet maken naar hun klanten? Schepen liggen letterlijk stil en vrachtwagens staan te wachten tot de systemen weer werken. Was het maar zo makkelijk. De aanval op Maersk en TNT blijkt ‘helaas’ geen normale ransomware aanval te zijn.
Geen ransomware maar Wiper Malware
De aanvallen (NotPetya) bij Maersk, Raab Karcher en TNT zijn niet uitgevoerd om geld te verdienen. De aanval is als ransomware gemaskeerd, maar het lijkt te gaan om wiper malware. Bewijs hiervoor is gepresenteerd door verschillende partijen (samengevat op deze pagina door “the grugq”). Wiper walware heeft als enige doel om grote schade aan te richten en bestanden en systemen onbruikbaar te maken. Het is alleen maar mogelijk bestanden terug te halen als je over back-ups beschikt. Het kan zelfs zijn dat ook de back-ups met deze geavanceerde aanval getroffen zijn. Het kan dus zijn dat Maersk, TNT en Raab Karcher een groot deel van hun data kwijt zijn.
Richten cyber criminelen zich op de logistiek?
De NotPetya aanval is uitgevoerd op financiële software (M.E. Doc) dat voornamelijk in Oekraïne gebruikt wordt. Oekraïne is dan ook het eerst en het hardst geraakt. Overheidsgebouwen, banken, energiebedrijven, vliegveld en het metronetwerk zijn platgelegd door de aanval. Het is dan ook aannemelijk dat bij deze aanval “statelijke actoren” in het spel zijn, die zeer gericht en destructief cyberaanvallen uitvoeren. Bij de aanval NotPetya lijkt het er op dat Maersk en TNT collateral damage zijn. Gewoonweg omdat zij ook gebruik maken van de M.E. Doc software: als je zaken doet in Oekraïne, is de kans groot dat je deze software gebruikt voor belastingaangiftes.
Was deze aanval te voorkomen?
Na de WannaCry aanval op Qpark stonden er grote koppen in de kranten met; updaten, updaten, updaten! Ransomware of andersoortige aanvallen kunnen voor een groot deel voorkomen worden door direct software te updaten zodra security-updates beschikbaar komen. Hebben Maersk, Raab Karcher en TNT dit dan nagelaten? Het ironische is dat de malware NotPetya juist in de update van M.E. Doc meegekomen is. Maersk en TNT hebben dus waarschijnlijk door te updaten de malware binnen gebracht. Wel heeft de malware gebruik gemaakt van kwetsbaarheden in Windows, waarvoor al reeds updates beschikbaar waren.
Hoe weerbaar is de logistieke sector tegen cyberaanvallen?
In de logistiek lopen bedrijven een serieus risico op schade door cyberaanvallen. Vliegvelden en havens zijn een interessant doelwit voor statelijke actoren. Maar ook in de keten van de logistiek zelf schuilt een risico. Veel bedrijven delen informatie met elkaar of hebben informatieprocessen volledig gedigitaliseerd. Naast alle operationele, efficiency en financiële voordelen, ontstaat hier ook een onderlinge afhankelijkheid. Virussen en malware kunnen zich makkelijker verspreiden en bovendien ben je ook in cyber security zo sterk als de zwakste schakel in de gehele keten. Soms kun je bijvoorbeeld niet altijd alle beveiligingsupdates doorvoeren, gewoonweg omdat de software nog niet compatible is. Daarnaast wordt een systeem dat veel afhankelijkheden kent, snel “broos”. Wat gebeurt er als in een complex en intra-afhankelijk systeem, één van de onderdelen faalt? Falen dan meteen ook andere onderdelen, of is het systeem flexibel genoeg om goed met dit falen om te gaan?
Hoe kan je beschermen tegen cyberaanvallen?
Een aanval kan je moeilijk voorkomen, maar je kan wel maatregelen nemen om minder kwetsbaar te zijn en de impact te verkleinen. In principe gelden hiervoor 5 belangrijke stelregels:
- Updaten, updaten, updaten!
Updates worden uitgebracht om gevonden kwetsbaarheden in software op te lossen. Dit klinkt heel gemakkelijk, maar in praktijk is het niet zo overzichtelijk of gemakkelijk. Iedere update brengt ook weer risico’s met zich mee. Soms worden deze updates bewust niet uitgevoerd omdat men minder angstig is voor het risico van een security breach dan voor het uitvallen van systemen. Soms draait er specifieke software op een machine of server die niet werkt met de laatste versie van het besturingssysteem en software. In dit geval kan de update dus niet uitgevoerd worden. Daarbij heeft niet ieder bedrijf een beleid voor updaten van de software of doen ze dit een keer per maand op ‘’Update Dinsdag’’. Een kwetsbaarheid kan in dit geval bijvoorbeeld zomaar wekenlang misbruikt worden. Kortom, een goed beleid voor het updaten van software is – en wordt steeds belangrijker. - Back-up
Door regelmatig, en waar nodig zelfs continu back-ups te draaien, beperk je de gevolgen van een aanval aanzienlijk. De data blijft van jou en is snel weer terug te zetten. Op deze manier hoef je bij een ransom-aanval criminele organisaties niet te betalen om je data terug te krijgen, je kan dit gewoon terug zetten. Natuurlijk is het wel van belang je updates regelmatig te testen, en te zorgen dat de back-up-systemen voldoende gescheiden zijn van de systemen die zij back-uppen. In het geval van een infectie, wil je niet dat je back-up-systeem ook direct geïnfecteerd wordt. - Gebruik een virusscanner
Het is belangrijk om antivirussoftware up-to-date te houden, ook al worden nieuwe varianten van malware niet altijd direct herkend. Als leveranciers updates uitbrengen voor een specifiek type malware dan kunnen besmette systemen sneller worden achterhaald. - Segmenteer je netwerk
Een eenvoudige maar effectieve beschermingsmethode is segmentering van het netwerk. Bij segmentatie verdeel je je netwerk in losstaande onderdelen die niet (of slechts beperkt) met elkaar kunnen communiceren. Door deze segmentatie blijft de malware-infectie beperkt. Immers, slechts een deel van je netwerk wordt geraakt, het andere deel blijft in operatie. - Security Awareness bij medewerkers
Het trainen van uw medewerkers is net zo belangrijk als het updaten van software, back-ups draaien en je netwerk segmenteren. Op een linkje klikken, vreemde software installeren, wifi via gratis hotspots, hergebruik van wachtwoorden, het kan uw systemen kwetsbaar maken. Als medewerkers meer bewust zijn van de risico’s en voorzichtiger om gaan met data en toegang maakt het de kans aanzienlijk kleiner dat uw bedrijf slachtoffer wordt van een aanval.
Tenslotte
Computest verwacht dat het aantal aanvallen in de aankomende jaren alleen maar zal toenemen. Cyberaanvallen zijn een serieuze bedreiging voor de business continuity. Je kunt niet voorkomen dat je aangevallen wordt, maar je kunt wel de kans verkleinen en de impact verkleinen. Als specialist in cybersecurity blijven wij de ontwikkelingen goed in de gaten houden en doen er alles aan om onze klanten te helpen zich te beschermen. Wij voeren securitytesten uit, geven advies over hoe je je beter kan beschermen en geven securitytrainingen. Neem gerust contact met mij zodat ik je kan koppelen aan een van onze securityspecialisten: khaas@computest.nl of 06 81 53 30 25.