Cybersecurity experts komen bijeen op Holland Strikes Back

Op 27 oktober kwamen 245 security professionals bijeen tijdens de tweede editie van Holland Strikes Back, dat dit jaar plaats vond in Den Haag. Bezoekers konden keynotes bijwonen van vooraanstaande sprekers zoals het hoofd van het Nationaal Cyber Security Center (NCSC) Hans de Vries, general manager Richard Borsboom van HackerOne en hoogleraar governance van cybersecurity van de TU Delft Michel van Eeten. Ook diverse ethische hackers kwamen aan het woord.

De dag werd geopend door Ida Haisma, de plaatsvervangster van de op het laatste moment verhinderde Haagse wethouder Van Engelshoven. Na de opening gaf Haisma het stokje over aan Hans de Vries van het NCSC, die het belang van een goed cybersecuritybeleid, publiek-private samenwerking, het delen van kennis en goed onderwijs benadrukte. Hierbij moet een balans worden gevonden tussen vrijheid, veiligheid en de economische kansen die het internet biedt. Tijdens deze keynote werd ook organisator Marc Gauw van de Stichting NLnet gefeliciteerd met het 25-jarig bestaan van deze goede doelen-organisatie. 

Ethische hackers beschikken over veel deskundigheid
Richard Borsboom van HackerOne, een platform dat ethische hackers helpt beloningen te ontvangen voor beveiligingsgaten die zij aan het licht brengen en benadrukte de rol die ethische hackers spelen in cybersecurity. Deze hackers zijn als geen ander in staat beveiligingsgaten op te sporen. Een responsible disclosure beleid dat ethische hackers in staat stelt dergelijke gaten te melden zonder dat zij het risico lopen op vervolging door justitie is volgens Borsboom onmisbaar. 

Radically Open Security kan hierover meepraten. Dit bedrijf bestaat uit ethische hackers en opereert op een non-profit basis. Thijs Bosschaert, Incident Response and Security Professional bij Radically Open Security, legde uit hoe ethische hackers organisaties helpen gaten te vinden in de software, diensten en websites die zij gebruiken en aanbieden. Ook de ethische hacker Victor, beter bekend als 0xDUDE, was op Holland Strikes Back aanwezig. 0xDUDE heeft via responsible disclosure inmiddels ruim 4.300 meldingen gemaakt van beveiligingsgaten. 0xDUDE vertelde over zijn ervaringen als ethische hacker en legde de risico’s uit waarmee hij te maken heeft. 

Stel bedrijven verantwoordelijk
Michel van Eeten richt zich als hoogleraar bij de TU Delft op de governance van cybersecurity. Van Eeten is van mening dat bedrijven die hun digitale beveiliging slecht op orde hebben, moeten worden aangesproken op hun verantwoordelijkheid indien zij gehackt worden, en in sommige gevallen zelfs juridisch moeten worden vervolgd. Vaak zijn immers niet de bedrijven zelf, maar hun klanten het uiteindelijk slachtoffer van cyberaanvallen. Van Eeten verwacht dat een hardere aanpak bedrijven zal stimuleren serieus werk te maken van security. 

Lennert den Teuling, CEO van PC-Extreme en bestuurslid van de Nederlandse branchevereniging voor internet service providers ISPConnect, benadrukte het belang van kennisdeling. Door kennis over securityincidenten en beveiligingsgaten te delen kan proactief actie worden ondernomen, nog voor een bedrijf doelwit is van cybercrime. Hierbij kan gebruik worden gemaakt van allerlei initiatieven, waaronder de open source-oplossing voor abusemanagement AbuseIO. 

DDoS-aanvallen zorgen voor steeds meer problemen 
Distibuted Denial of Service (DDoS)-aanvallen worden een steeds groter probleem, waarschuwde Aiko Pras, hoogleraar Network Operations and Management bij de TU Twente. Bij dergelijke aanvallen gebruiken cybercriminelen een groot netwerk van gehackte machines (een botnet), die een server of website overspoelen met malafide verzoeken en hierdoor onbereikbaar maken. De hoogleraar waarschuwt dat we in de toekomst steeds meer problemen kunnen verwachten met DDoS-aanvallen. Ook wijst Pras op de mogelijkheden die DDoS-aanvallen bieden voor terroristen, die cybercrime in de steeds digitalere wereld als wapen kunnen gebruiken.

Pras vindt het dan ook de hoogste tijd dat we ons hier beter tegen gaan wapenen en noemt hierbij onder andere het Trusted Networks Initiative, een laatste redmiddel tegen zeer grote DDoS-aanvallen. Hierbij kiezen deelnemers tijdens extreme aanvallen ervoor zichzelf af te sluiten van het reguliere internet en nog uitsluitend via het Trusted Networks Initiative beschikbaar te zijn. Voor dit initiatief zijn ook de bekende grote Nederlandse internetaanbieders uitgenodigd, waardoor hun klanten tijdens DDoS-aanvallen alsnog de websites van vitale organisaties als banken, zorg-, energie- en overheidsinstellingen kunnen blijven bereiken. 

Schoolserver uit de lucht schieten
Uiteraard zijn niet alleen banken en overheidsinstellingen doelwit van cyberaanvallen, maar ook onderwijsinstellingen. Xander Jansen, security specialist bij SURF, wijst op het gevaar dat DDoS-aanvallen opleveren voor de onderwijssector. Scholen maken in toenemende mate gebruik van digitaal lesmateriaal dat via internet wordt aangeleverd. Waar scholieren vroeger nog claimden dat hun huiswerk was opgegeten door de hond, kiezen zij er vandaag de dag steeds vaker voor om met een DDoS-aanval de server waarop het lesmateriaal staat uit de lucht te schieten. Scholieren hebben hiermee het perfecte excuus om hun huiswerk niet te hoeven maken.

Dat ethische hackers van grote meerwaarde zijn voor cybersecurity, bewijst Ricky Gevers, ooit begonnen als ethische hacker. Hij is inmiddels actief bij het bedrijf RedSocks, waar hij Chief Intelligence Officer is. RedSocks is een Nederlands bedrijf dat zich heeft gespecialiseerd in het detecteren van malware op netwerken van klanten. Gevers wierp in zijn presentatie licht op een flink  aantal recente cyber-incidenten, waarvan sommige zelfs nog volop in onderzoek zijn. Hij nam het publiek hierbij mee in de denkwijze van hackers, legde uit hoe hij zelf als hacker opereerde en benadrukte dat hij daarbij altijd koos voor het ‘ethische’ pad. Als inmiddels een succesvol CIO van een snelgroeiende startup is hij een mooi voorbeeld voor de vele jonge hackers die deze keuze nog moeten maken.

Technologieën en tools om cybercrime tegen te gaan 
Gelukkig zijn er vandaag de dag veel technologieën en tools beschikbaar die helpen cybercrime buiten de deur te houden. Pavel Minarik, Chief Technology Officer bij INVEATECH, wees bezoekers op tools die beheerders helpen verdachte activiteiten op netwerken in kaart te brengen. Meten is in dit geval weten. Als bekend is dat er verdachte activiteiten gaande zijn op het netwerk kan er ingegrepen worden. Als de signalering en dus de kennis over verdachte activiteiten missen, kan men alleen achteraf de schade in kaart brengen.   

Holland Strikes Back 2015 laat zien dat de oorlog tegen cybercriminelen nog lang niet is gewonnen. De dreiging van cybercriminaliteit wordt steeds groter, zeker als het gaat om DDoS-aanvallen. Het is dan ook noodzakelijk snel te handelen en doortastende maatregelen te nemen om ons beter te wapenen tegen cybercriminaliteit. Een evenement als Holland Strikes Back is hierbij onmisbaar. De grote opkomst op de recente editie onderstreept de grote behoefte voor een intensieve kennisuitwisseling op dit gebied, en doet vermoeden dat we volgend jaar wederom een Holland Strikes Back kunnen verwachten.