Wat hebben we geleerd van WannaCry en Petya?

Hoewel WannaCry en Petya ook in Nederland voor veel ellende hebben gezorgd, is het voor velen toch een ver-van-mijn-bed-show. Ook bij Vigour Consulting hadden we er geen slapeloze nachten van, totdat Petya ook bij ons toesloeg. Hoewel de schade bij ons relatief beperkt is gebleven, beschouwen wij de aanval als een wake-up call. Welke lessen kunnen we eruit trekken, zowel op individueel niveau als maatschappijbreed?

Knipoog naar James Bond-film

De namen zijn overigens goed gekozen. WannaCry behoeft geen toelichting. Petya is een gebruikelijke naam in Rusland en lijkt daarmee onschuldig, al geeft het wel aan in welke hoek de herkomst van de malware gezocht moet worden. Minder onschuldig wordt het wanneer Petya als knipoog wordt gezien naar de Bond-film Goldeneye waarin een kwaadaardige satelliet van Sovjet-Russische makelij de bijnaam Petya heeft meegekregen. Beide vormen van malware leggen op pijnlijke manier onze kwetsbaarheid en afhankelijkheid van computers bloot. En hoewel we niet aan luchtfietsen doen door te denken dat cybercrime uit te bannen valt, is er veel onnodige schade veroorzaakt. Zo werden reeds beschikbare patches te laat of niet geïnstalleerd terwijl de virussen (what’s in a name?) al een tijdje op een server stonden.

Doofpot

Daarnaast speelt de manier waarop bepaalde hogere instanties ermee zijn omgegaan een bedenkelijke rol. Zo werd het zogenoemde EternalBlue-lek, waar beide misbruik van maken, oorspronkelijk gevonden door de Amerikaanse inlichtingendienst NSA en vervolgens in de toch al uitpuilende Amerikaanse doofpot gestopt. Pas toen een groep hackers de hacksoftware van de NSA wist te stelen, werd het lek bij Microsoft gemeld. Ook beursgenoteerde bedrijven staan met het oog op de aandelenkoers niet te springen om wereldkundig te maken dat men slachtoffer is geworden. Al is zoiets nooit binnen vier muren te houden zoals weer is gebleken. Dat cybercrime ook bij Meld Misdaad Anoniem kan worden gemeld zal geen potten breken. Pittige sancties zoals bij de Meldplicht Datalekken in het kader van Wet Bescherming Persoonsgegevens kunnen dat misschien wel.

In onze vorige blog hielden we een pleidooi voor een Ministerie van ICT. Misschien kunnen we nog aantal tegenstanders op andere gedachten brengen?