Zestig vertegenwoordigers van de security sector en Amerikaanse overheden hebben een taskforce opgezet om ransomware te bestrijden. Dat initiatief is vorige week bekend gemaakt en kan daadwerkelijk een verschil gaan maken.
Zoals wel vaker het geval is geldt ook nu: Europa gaat er hoe dan ook iets van merken. Deze aanpak van de Amerikanen is een bruikbare blauwdruk voor het hele IT kanaal, overheden en eindgebruikers.
Overlast ransomware
De overlast van ransomware is groot. In Nederland is het aantal bekende gevallen een fractie van wat er in het buitenland gebeurt. Al vaker is geconstateerd dat de Nederlandse IT gebruiker iets vaker zijn zaakjes voor elkaar heeft. De kans op een succesvolle besmetting is daarom minder hoog dan in Amerika. Daarheeft ruim 50 procent van de bedrijven het afgelopen jaar te maken gehad met een of meerdere aanvallen. In 73 procent (!) van die gevallen is het de cybercriminelen gelukt de data te versleutelen.
Cijfers voor de overlast (en schade) van ransomware bij overheden in dat land zijn er niet. Wel zijn er met grote regelmaat meldingen van dienstuitval.
Aanval is beste verdediging
Een groep van 60 bedrijven, waaronder AWS,Cisco, McAfee en Microsoft heeft in alle stilte een plan uitgewerkt dat de strijd moet aanbinden met deze plaag. De inbreng van die partijen, daarbij gesteund door Europol als buitenlandse kennisbank en Amerikaanse overheidsdiensten, heeft geleid tot een rapport dat hier te downloaden is.
Het rapport van de taskforce ransomware staat vol met goede analyses en is hier te vinden. De adviezen zijn helder. Die zijn eigenlijk maar op een manier te lezen: de aanval op de keten die ransomware mogelijk maakt is de beste verdediging.
Aansprakelijkheid van het kanaal
Een heel belangrijk punt in het rapport gaat over de verantwoordelijkheid van de ISP. De taskforce adviseert daar het volgende. Partijen die hun klanten actief en naar eer en geweten assisteren bij het veilig maken en houden van de IT omgeving kunnen niet aansprakelijk worden gesteld voor de schade van ransomware aanvallen. Het rapport spreekt over ISP, maar het gaat breder. MSP of IT dienstverlener is een betere term. Die bepaling zou ook kunnen zorgen dat de dienstverlener eerder pro-actief ingrijpt. Daarom is het een belangrijk punt.
Achillespees cryptocurrency exchanges
De achillespees van alle ransomware acties is het betaaltraject. Cryptogeld moet worden aangeschaft en overgemaakt. Vervolgens zal het door de criminelen worden verzameld en uiteindelijk omgeruild voor normaal geld.
Voor de ransomware taskforce is het daarom een uitgemaakte zaak die schakel in de keten aan te pakken. Alle exchanges moeten gaan voldoen aan de KYC (“Know Your Customer”) regels die ook voor reguliere financiële instellingen gelden. Alle bestaande anti-witwas maatregelen moeten ook voor dit soort bedrijven gaan gelden. En wie daar niet aan meedoet moet hard worden aangepakt.
Hier staat dus een pleidooi voor regulering. De reden daarvoor is ook simpel voor wie naar de grafiek kijkt. Van alle bekende lopende ransomware aanvallen heeft 80% een link met slechts 199 bitcoin adressen (of van andere soorten cryptogeld). Vervolgens blijkt dat 25 adressen goed zijn voor 49% van alle betalingen. Het idee is dat deze 25 adressen (en de opvolgers daarvan) uit de lucht halen en houden al een groot deel van de overlast van ransomware elimineert.
Europol dus Europa
Omdat Europol input heeft gegeven en ransomware een internationale plaag is zal het vervolg wel duidelijk zijn. Het Amerikaans initiatief gaat ook buiten de grenzen impact hebben. Dat zal sowieso moeten omdat de exchanges, cloudaanbieders, mailplatformen en dergelijke overal beschikbaar zijn. Daarnaast wil men natuurlijk het waterbedeffect voorkomen. Als die regels gepaard gaan met meer duidelijkheid over de rol en verantwoordelijkheid van de ISP, MSP en andere IT dienstverleners kan dat een goede ontwikkeling zijn.
