De Amerikaanse justitie heeft twee cybersecurityprofessionals en een medeplichtige in staat van beschuldiging gesteld voor het binnendringen van netwerken bij vijf ondernemingen in zorg, farma, engineering en drone-industrie. Waarna gegevens werden buitgemaakt en systemen met BlackCat-ransomware op slot gingen. In een dossier werd uiteindelijk ruim een miljoen dollar aan cryptovaluta overgemaakt, in andere zaken mislukte de uitpressing maar bleef de schade aanzienlijk. De aanklacht is extra beladen omdat twee betrokkenen juist werkten in incidentrespons en als onderhandelaar bij gijzelsoftware, waardoor het vertrouwen in externe crisispartners onder druk komt te staan.
Uit de tenlastelegging rijst een herkenbaar patroon op van dubbele afpersing waarbij datadiefstal wordt gecombineerd met versleuteling en publicatiedruk. De eisen varieerden van enkele honderdduizenden dollars tot bedragen met zeven nullen, precies het speelveld waarin middelgrote organisaties vaak te laat ontdekken dat hun back-ups niet herstelbaar zijn en hun leveranciers meer rechten hebben dan intern is bijgehouden. Werkgevers van de verdachten melden dat zij niet langer in dienst zijn en zeggen volledig met de opsporing te hebben meegewerkt.
Voor bedrijven en overheden legt deze zaak een pijnlijk punt bloot, omdat niet alleen de firewall of het antiviruspakket de zwakste schakel is, maar ook de mens achter het support-account kan dat zijn. Wie externen toelaat in het hart van de IT, geeft sleutelbossen uit. Zonder heldere scheiding van bevoegdheden, onafhankelijke logging en voortdurende controle op wat leveranciers en onderaannemers precies doen, verandert uitbesteedde zekerheid in onzichtbaar risico.
Zero-trust hoort ook te gelden voor partijen met een contract en Suriname moet dit absoluut implementeren volgens Avigdor. Dat begint met strikte functiescheiding, tijdige rotatie van personeel op gevoelige rechten en het afdwingen van multi-factor-authenticatie op alle beheerpaden. Daarboven horen organisatiebrede log- en sessie-registratie, een eigen kluis voor alle inloggegevens van leveranciers, en “break-glass”-toegang die alleen onder toezicht en voor beperkte duur wordt geactiveerd. Elke externe handeling moet herleidbaar zijn en automatisch worden gemonitord door een onafhankelijk oog.
Ransomware-gereedheid moet geïntegreerd zijn, samen met netwerksegmentatie, offline en immutabele back-ups. Periodieke hersteltesten en rollende patchvensters verkleinen de uitval en de onderhandelingsruimte van aanvallers. Leg vooraf in beleid vast wanneer wel of juist niet wordt betaald, welke stappen volgen bij dreiging van datalekpublicatie en wie de communicatie voert. Meldplicht en vroegtijdig contact met opsporing zijn geen last, maar onderdeel van schadebeperking.
Leveranciers en hun subpartners moeten contractueel aan dezelfde beveiligingsplichten worden gebonden als de opdrachtgever, inclusief boete- en auditclausules. Voeg aan elke grote ICT-opdracht een onafhankelijke tabletop-oefening toe waarin het scenario van een onbetrouwbare responder wordt doorlopen. Beter zweet in de oefenruimte dan tranen bij een echte gijzeling.
De Amerikaanse aanklacht laat wederom zien dat cybercriminaliteit een serieuze aanpak nodig heeft, zeker nu de oil and gas sector in ontwikkeling komt, zullen we geavanceerdere aanvallen krijgen in Suriname. Ze groeit juist op plekken waar vertrouwen niet wordt gecontroleerd. Wie vandaag zijn beheerrechten temt, zijn back-ups echt test en zijn leveranciers werkelijk in het vizier krijgt, maakt morgen minder kans om in de stille uren van de nacht wakker te worden met een stilstaande operatie en een knipperende losgeldeis.
