In 2014, toen Rusland een proxy-oorlog lanceerde in Oost-Oekraïne en de Krim annexeerde, en in de jaren die volgden, hamerden Russische hackers op Oekraïne. De cyberaanvallen gingen zelfs zo ver dat het elektriciteitsnet in delen van het land in 2015 werd uitgeschakeld. Russische hackers voerden hun inspanningen tegen Oekraïne op in de aanloop naar de invasie van 2022, maar met opmerkelijk andere resultaten. Die verschillen bevatten lessen voor de Amerikaanse nationale cyberdefensie.

Ik ben een cybersecurity-onderzoeker met een achtergrond als politiek functionaris bij de Amerikaanse ambassade in Kiev en werk als analist in landen van de voormalige Sovjet-Unie. Het afgelopen jaar leidde ik een door USAID gefinancierd programma waarin instructeurs van Florida International University en Purdue University meer dan 125 Oekraïense universitaire cyberbeveiligingsfaculteiten en meer dan 700 cyberbeveiligingsstudenten opleidden. Veel van de faculteiten zijn leidende adviseurs van de overheid of overleggen met organisaties met kritieke infrastructuur op het gebied van cyberbeveiliging. Het programma legde de nadruk op praktische vaardigheden bij het gebruik van toonaangevende cyberbeveiligingstools om gesimuleerde bedrijfsnetwerken te verdedigen tegen echte malware en andere cyberbeveiligingsbedreigingen.

De invasie vond plaats enkele weken voordat de nationale cyberbeveiligingswedstrijd zou worden gehouden voor studenten van de 14 deelnemende universiteiten van het programma. Ik ben van mening dat de training die de faculteit en studenten hebben gekregen in het beschermen van kritieke infrastructuur, heeft bijgedragen aan het verminderen van de impact van Russische cyberaanvallen. Het meest voor de hand liggende teken van deze veerkracht is het succes dat Oekraïne heeft gehad door zijn internet aan te houden ondanks Russische bommen, sabotage en cyberaanvallen.

Wat dit betekent voor de VS

Op 21 maart 2022 waarschuwde de Amerikaanse president Joe Biden het Amerikaanse publiek dat het vermogen van Rusland om cyberaanvallen uit te voeren "redelijk ingrijpend is en eraan komt". Zoals plaatsvervangend nationale veiligheidsadviseur Anne Neuberger uitlegde, was de waarschuwing van Biden een oproep om de Amerikaanse cyberverdediging voor te bereiden.

De bezorgdheid in het Witte Huis over cyberaanvallen wordt gedeeld door cybersecurity-professionals. De Oekraïense ervaring met Russische cyberaanvallen biedt lessen over hoe instellingen, variërend van elektriciteitscentrales tot openbare scholen, kunnen bijdragen aan het versterken van de cyberafweer van een land.

Nationale cyberdefensie begint met overheden en organisaties die risico's evalueren en hun capaciteit vergroten om de nieuwste cyberbeveiligingsbedreigingen het hoofd te bieden. Na de waarschuwing van president Biden raadde Neuberger organisaties aan vijf stappen te nemen:paswoordverificatie met meerdere factoren toepassen, softwarepatches up-to-date houden, back-ups maken van gegevens, oefeningen uitvoeren en samenwerken met cyberbeveiligingsinstanties van de overheid.

Toegangscontrole

Cyberverdediging begint met de toegang tot de informatienetwerken van een land. In Oekraïne hebben hackers de afgelopen jaren slecht beveiligde netwerken binnengedrongen door middel van simpele technieken als het raden van wachtwoorden of het onderscheppen van het gebruik ervan op onveilige computers.

Bij meer geavanceerde cyberaanvallen in Oekraïne werden social engineering-technieken gebruikt, waaronder phishing-e-mails die netwerkgebruikers misleidden om ID's en wachtwoorden te onthullen. Het klikken op een onbekende link kan ook de deur openen naar het opsporen van malware die wachtwoordinformatie kan achterhalen.

De aanbeveling van Neuberger voor het toepassen van wachtwoordverificatie met meerdere factoren erkent dat gebruikers nooit perfect zullen zijn. Zelfs cyberbeveiligingsexperts hebben fouten gemaakt in hun beslissingen om wachtwoorden of persoonlijke informatie op onveilige of misleidende sites te verstrekken. De eenvoudige stap om een ​​login op een goedgekeurd apparaat te verifiëren, beperkt de toegang die een hacker kan krijgen door alleen persoonlijke informatie te verkrijgen.

Softwarekwetsbaarheden

De programmeurs die apps en netwerken ontwikkelen, worden beloond door de prestaties en functionaliteit te verbeteren. Het probleem is dat zelfs de beste ontwikkelaars kwetsbaarheden vaak over het hoofd zien als ze nieuwe code toevoegen. Om deze reden moeten gebruikers software-updates toestaan, omdat dit de manier is waarop ontwikkelaars ontdekte zwakheden repareren zodra ze zijn geïdentificeerd.

Voorafgaand aan de invasie van Oekraïne identificeerden Russische hackers een kwetsbaarheid in de toonaangevende datamanagementsoftware van Microsoft. Dit was vergelijkbaar met een zwakte in netwerksoftware waardoor Russische hackers in 2017 de NotPetya-malware op Oekraïense netwerken konden ontketenen. De aanval veroorzaakte wereldwijd naar schatting $ 10 miljard schade.

Slechts enkele dagen voordat Russische tanks Oekraïne in februari 2022 begonnen over te steken, gebruikten Russische hackers een kwetsbaarheid in de marktleidende software voor gegevensbeheer SQL om op Oekraïense servers "wisser"-malware te plaatsen die opgeslagen gegevens wist. De afgelopen vijf jaar hebben Oekraïense instellingen hun cyberbeveiliging echter aanzienlijk versterkt. Het meest opvallende is dat Oekraïense organisaties zijn overgestapt van illegale bedrijfssoftware en hun informatiesystemen hebben geïntegreerd in de wereldwijde cyberbeveiligingsgemeenschap van technologiebedrijven en gegevensbeschermingsinstanties.

Als gevolg hiervan identificeerde het Microsoft Threat Intelligence Center de nieuwe malware toen deze op Oekraïense netwerken begon te verschijnen. Dankzij de vroege waarschuwing kon Microsoft een patch over de hele wereld verspreiden om te voorkomen dat de servers door deze malware worden gewist.

Back-up van gegevens

Ransomware-aanvallen zijn al vaak gericht op openbare en particuliere organisaties in de VS. De hackers sluiten gebruikers uit van de datanetwerken van een instelling en eisen betaling om weer toegang tot hen te krijgen.

Wiper-malware die is gebruikt bij de Russische cyberaanvallen op Oekraïne werkt op dezelfde manier als ransomware. Pseudo-ransomware-aanvallen vernietigen echter permanent de toegang van een instelling tot haar gegevens.

Het maken van een back-up van kritieke gegevens is een belangrijke stap in het verminderen van de impact van wiper- of ransomware-aanvallen. Sommige particuliere organisaties zijn zelfs begonnen gegevens op twee afzonderlijke cloudgebaseerde systemen op te slaan. Dit verkleint de kans dat aanvallen een organisatie de gegevens kunnen ontnemen die ze nodig hebben om te kunnen blijven functioneren.

Drillingen en samenwerking

De laatste reeks aanbevelingen van Neuberger is om voortdurend cyberbeveiligingsoefeningen uit te voeren en tegelijkertijd samenwerkingsrelaties met federale cyberdefensie-instanties te onderhouden. In de maanden voorafgaand aan de Russische invasie profiteerden Oekraïense organisaties van de nauwe samenwerking met Amerikaanse instanties om de cyberbeveiliging van kritieke infrastructuur te versterken. De bureaus hielpen Oekraïense netwerken te scannen op malware en ondersteunden penetratietests die hackertools gebruiken om te zoeken naar kwetsbaarheden die hackers toegang tot hun systemen kunnen geven.

Kleine en grote organisaties in de VS die zich zorgen maken over cyberaanvallen, moeten een sterke relatie zoeken met een breed scala aan federale instanties die verantwoordelijk zijn voor cyberbeveiliging. Recente regelgeving vereist dat bedrijven informatie over cyberaanvallen bekendmaken aan hun netwerken. Maar organisaties moeten zich tot cyberbeveiligingsautoriteiten wenden voordat ze een cyberaanval ervaren.

Amerikaanse overheidsinstanties bieden best practices voor het trainen van personeel, waaronder het gebruik van tabletop en gesimuleerde aanvalsoefeningen. Zoals de Oekraïners hebben geleerd, kunnen de cyberaanvallen van morgen alleen worden tegengegaan door zich vandaag voor te bereiden.