Je kunt je misschien verdedigen tegen aanvallen van hacktivisten en zelfs georganiseerde criminele bendes. Maar veel succes met het wagen van je kans tegen een natiestaat.
Overheden hebben meer cybermiddelen tot hun beschikking dan een leger aan ransomware-criminelen. Dat geldt ook voor westerse landen. Kijk bijvoorbeeld maar eens naar het datacentrum van de NSA in Utah, ter waarde van 1.5 miljard dollar, dat exabytes aan vertrouwelijke gegevens verwerkt. Dus als een van hen je wil pakken, ongeacht welke vlag ze zwaaien, kun je maar beter een goede verdediging hebben.
De Amerikaanse overheid (zelf geen onbekende met offensieve operaties in cyberspace) luidt al jaren de alarmbel over digitale agressie van natiestaten. In januari 2024 werd Getuigenis voor het Congres door FBI-directeur Christopher Wray, waarin hij onthulde dat het aantal Chinese hackers het aantal FBI-cyberpersoneel 50 keer zo groot is als dat van de FBI. Dergelijke statistieken pleiten voor een verhoging van de investeringen in de bescherming van de nationale infrastructuur, waarschuwde hij.
In het verleden waren overtredingen door buitenlandse overheden vaak economisch van aard. Maar naarmate de geopolitieke spanningen toenemen, nemen de motieven toe. Kort na Wrays getuigenis besloot het Cybersecurity and Infrastructure Security Agency (CISA) waarschuwde dat door de Chinese overheid gesponsorde actoren zich positioneerden in westerse IT-netwerken. Dit zal hen in staat stellen om kritieke infrastructuur in de VS te verstoren of te vernietigen, mochten de twee landen ooit met elkaar in conflict komen. Met de oorlog om Taiwan in het verschiet steeds waarschijnlijker In de komende jaren is dit een duidelijk en actueel gevaar.
Dit zijn initiatieven voor de lange termijn, en niet nieuw. Verhalen over buitenlandse actoren die zich schuilhouden in nationale elektriciteitsnetten doen al jaren de ronde. En een recent CISA-advies waarschuwde dat Volt Typhoon was vijf jaar lang onopgemerkt in de doelnetwerken aanwezig.
Salt Typhoon, een andere Chinese campagne die zich richt op telecommunicatiebedrijven, is "verreweg de ergste telecomhack in de geschiedenis van ons land", aldus Mark Warner, voorzitter van de Senaatscommissie voor Inlichtingen. De aanval trof negen Amerikaanse telecombedrijven, waaronder AT&T, Verizon en T-Mobile, naast andere bedrijven in tientallen landen.
China is niet de enige natiestaat met een agressieve houding in cyberspace. Noord-Korea is berucht om zijn aanvallen op de infrastructuur van cryptovaluta. Het land moet immers ergens het geld vandaan halen voor zijn ongelooflijk zinkende oorlogsschepen.
Rusland is ook actief geweest met groepen, waaronder APT44 (ook bekend als Sandworm), dat verantwoordelijk voor aanvallen op Oekraïne die teruggaan tot 2015, samen met NotPetya uit 2017 en recente aanvallen op Amerikaanse infrastructuur, waaronder een watervoorziening in Texas.
Een pleidooi voor een op dreigingen gebaseerde verdediging
Dreigingen door natiestaten versterken de noodzaak van preventieve cybersecurity, die erop gericht is aanvallers voor te zijn. Het vraagt om een stap verder dan puur reactieve maatregelen zoals softwarepatching en om meer te richten op gedegen dreigingsinformatie en het opsporen van dreigingen op basis van de tools, technieken en processen (TTP's) van tegenstanders.
In plaats van uitsluitend te vertrouwen op de naleving van selectievakjes, moeten zowel overheden als de particuliere sector prioriteit geven aan kritieke activa op basis van de targetingpatronen van de natiestaat.
Om dat te doen, moet je weten wat je vijand doet. Josh Steinman, CEO van cybersecurity Galvanic, was senior directeur cyberbeleid en plaatsvervangend assistent van de president tijdens de eerste Trump-regering. Hij heeft zijn blik strak op China gericht.
“Ik denk dat de Chinese Communistische Partij en hun militaire inlichtingendienst zich al in een positie bevinden die we zouden omschrijven als een oorlogssituatie”, zei hij tijdens een bijeenkomst van de Commissie voor Toezicht en Overheidsvernieuwing gehoor over de zouttyfoon in april. "Ze geloven dat dit de houding is die ze 24/7 zouden moeten aannemen, en ze gebruiken taal om ons duidelijk te maken dat ze niet in die positie zitten."
Steinman sprak ook over offensieve veiligheid, iets dat de eerste regering van Trump aanmoedigde door beperkingen op militaire operaties in cyberspace op te heffen.
"Door een agressievere houding aan te nemen om die aanvallers aan te vallen, strooien we zand in hun wielen. We dwingen ze om tijd en moeite te steken in hun verdediging tegen onze tegenaanvallen", zei hij. "Die aanvallen kunnen op nationaal niveau worden beheerd, of ze kunnen het lastige landingspunt binnen het bedrijf zijn waar die cybercriminelen het op gemunt hebben."
Duizend kleine huisjes
Andere deskundigen op de hoorzitting deden suggesties voor ontwijkende maatregelen die zowel publieke als private organisaties zouden kunnen nemen. Deze omvatten onder meer investeren in next-generation infrastructuur in plaats van alleen bestaande kwetsbaarheden te repareren.
Dr. Edward Amarosa, CEO van TAG InfoSphere en professor aan de New York University, was voorheen senior vicepresident en CISO bij AT&T. "Het zoeken naar hiaten en het oplossen ervan is niet de manier om hieruit te komen. Ik denk dat we een compleet nieuwe infrastructuur moeten ontwerpen en een manier moeten vinden om uiteindelijk de transitie te maken", zei hij tegen wetgevers. "In onze wereld zouden we dat 'next-generation infrastructure' noemen, en ik denk dat we dat moeten doen. Het klinkt misschien als een enorme stap voorwaarts, maar ik zie geen andere manier."
Amarosa beschreef het als 'een huis in duizend stukken breken', waardoor het moeilijker wordt om alles in één keer aan te vallen. Hoewel hij het niet specifiek noemde, sluit dit direct aan bij de principes van zero-trust architectuur, die afstappen van de geharde perimeterbenadering voor het beveiligen van veel individuele activa.
Zero trust is een concept dat officieel is goedgekeurd door CISA in zijn Zero Trust volwassenheidsmodel, samen met richtlijnen voor het versterken van telecommunicatienetwerken door middel van robuuste netwerksegmentatie. Het adviseerde over dit laatste in zijn antwoord op De telecommunicatie-infrastructuur van Salt Typhoon is aangetast.
NIST biedt ook een fundamenteel zero-trustbeleid kader met zeven kernbeginselen voor de verdediging van de natiestaat. Het voorzag ook in leiding bij de implementatie van deze architectuur als reactie op Executive Order 14028, uitgevaardigd tijdens het Biden-tijdperk, waarin de invoering van zero-trust-beveiliging werd verplicht gesteld.
Samenwerking is de sleutel
Wat kunnen CISO's nog meer doen? Het implementeren van robuuste end-to-end encryptie is een must, aldus professor Matt Blaze van Georgetown Law. Hij wees erop dat aanvallen op infrastructuur hierdoor zinloos worden en alleen de eindpunten nog verdedigd hoeven te worden. Er is echter altijd de dreiging van quantum computing om rekening mee te houden, waarmee landen elkaars asymmetrisch versleutelde sleutels proberen te kraken. Andere verdedigingsmaatregelen zijn onder meer het gebruik van AI en geavanceerde technologieën om cyberdreigingen te detecteren en te voorkomen.
Deskundigen hebben ook het belang van samenwerking in deze context benadrukt. Publiek-private samenwerking is essentieel, omdat bedrijven en overheden zo informatie kunnen uitwisselen in een meer inlichtingengedreven veiligheidsbeweging.
Maar de andere vorm van samenwerking is die welke plaatsvindt tussen bevriende landen en die zo belangrijk is bij de verdediging tegen een gemeenschappelijke vijand. er steeds wankeler uitzien onder een zeer insulair Amerikaans bestuur. Die verzwakking van de Amerikaanse banden met landen die voorheen goede vrienden waren, zou de term 'zero trust' wel eens een nieuwe, duistere betekenis kunnen geven.
