Ransomware, sabotage en spionage
Uit de begeleidende teksten van de EO (Executive Orders) van de president en meerder wetsvoorstellen blijkt duidelijk dat voor Washington ransomware, sabotage en spionage niet los van elkaar te zien zijn. Dat is een belangrijke en correcte koerswijziging. Voorheen was te horen dat ransomware het werk van criminelen was. Sabotage en spionage was het exclusieve domein van niet bevriende mogendheden.
Vanuit de security community is er al langer op gewezen dat die tweedeling niet opgaat. Bij cybercrime op deze schaal zijn er geen duidelijke grenzen te trekken. Er is ook gewoon te veel bewijs dat combinaties van twee of drie verschillende acties plaatsvinden. Verklaarbaar is dat ook. Als ergens een netwerk gekraakt is, ligt het in principe voor iedereen open. Een makkelijker doelwit dan een pand waarvan het slot uit de voordeur is gehaald en waarbij die deur ook nog eens open staat is amper voor te stellen.
Achillespees
Om de aanvallers van elk van de drie type acties te kunnen bestrijden is het nodig de achillespees van elk van het te vinden. Nog mooier is het als blijkt dat ze dezelfde zwaktes delen.
Maar zelfs als die gevonden zijn is er nog niet direct een oplossing in zicht. Het verschijnsel terug-hacken is leuk om mee te dreigen. De praktijk is anders, al was het maar omdat het redelijk onontgonnen terrein is, juist ook in juridisch opzicht.
Optie een – de geldkraan
Er zijn de afgelopen periode twee opties voorbijgekomen die in ieder geval kunnen helpen ransomware aanvallen minder aantrekkelijk te maken. Een daarvan is al omgezet in beleid. Alles dat cryptogeld faciliteert raakt gefaseerd aan banden gelegd. Voor de buitenwacht is dat nog niet goed zichtbaar, maar de mogelijkheden van crypto exchanges in alle westerse landen en de grote economieën van Azië (m.u.v. China) worden beperkt.
Evenmin valt het erg op dat bepaalde betaaldiensten, in het bijzonder AliPay en WePay, het in Amerika erg moeilijk hebben. De volgende stap is dat reguliere banken in de VS daar geen zaken meer mogen doen.
Het mag duidelijk zijn dat met deze acties vooral de partijen die ransomware mogelijk maken getroffen worden.
Optie twee – de meldplicht
De tweede optie die betrekkelijk eenvoudig in te voeren is, is een strikte meldplicht. In principe geldt zoiets al, maar de vrijblijvendheid wordt er nu met wetgeving uitgehaald. Concreet betekent het dat zowel gebruikers als aanbieders van diensten in staat moeten zijn onregelmatigheden te constateren en vervolgens te melden.
Doel van strikte meldplichten in Amerika is niet alleen eerder op de hoogte komen van ransomware aanvallen of andere bedreigingen en door die tijdwinst beter te kunnen reageren. Het gaat er vooral om dat er structureel monitoren de norm wordt. Voor IT dienstverleners, zoals MSPs, is dit punt heel belangrijk. In Amerika worden zij gedwongen de oren en ogen te leveren om de veiligheid van het land te garanderen.