SURFcert: al dertig jaar samen sterk tegen cybercriminaliteit
SURFcert bestaat dit jaar dertig jaar. Wat is er in de afgelopen jaren veranderd en wat maakt SURFcert zo belangrijk? Wij vroegen het aan Teun Nijssen, SURFcert-lid van het eerste uur die 25 jaar deel heeft uitgemaakt van SURFcert en Thijs Kinkhorst, die sinds acht jaar lid is van het team.
Om adequaat te kunnen handelen bij cybercrime-incidenten heeft SURF zijn eigen computer emergency response team (CERT): SURFcert. Dit team bestaat uit tien leden, waarvan er vijf werkzaam zijn bij de aangesloten instellingen van SURF en vijf bij SURF. Dat SURFcert al dertig jaar bestaat laat zien dat cybercriminaliteit zeker niet alleen van deze tijd is.
Hoe is SURFcert ontstaan?
Teun vertelt: “SURFcert is ontstaan na het eerste worm-incident ter wereld: de Morris-worm. Dit is kwaadaardige software die zichzelf automatisch uitvoert op de computer van het slachtoffer, en zich vervolgens ook autonoom verspreidt naar andere computers. De gebruiker merkt daar niets van. Het doel van dergelijke malware is om apparaten discreet te beschadigen of te vernietigen. Het infiltreert apparaten door misbruik te maken van beveiligingslekken die niet opgemerkt zijn door beheerders.
De Morris-worm gooide 10% van het toenmalige internet plat. Dit was in 1988, een tijd dat internet nog heel erg klein was. Al snel kwamen er meer incidenten. Deze waren niet groot, maar deden wel zeer. We waren er simpelweg niet op voorbereid. Dit leidde tot het inzicht dat dergelijke incidenten vaker zouden voorkomen en dat we ze niet konden bestrijden met ad-hoc activiteiten. We moesten dit gaan organiseren, automatiseren en standaardiseren.
Op de SURFnet-relatiedagen in 1991 werd gepolst wie daar tijd in wilde steken. Een stel server- en netwerkbeheerders kwamen daar bij elkaar om kennis te delen over cybersecurity. Vanuit daar is het idee gekomen om gelijkgestemden bij elkaar te brengen die naast hun baan bereid waren om incidenten te behandelen. Zo is SURFcert ontstaan. Ik heb me hiervoor aangemeld en was daarmee SURFcert-lid van het eerste uur.”
Wat biedt SURFcert op dit moment voor de aangesloten instellingen?
Thijs: “SURFcert houdt de aangesloten instellingen veilig. We informeren hen als we beveiligingsproblemen detecteren of als die bij ons gemeld worden. Wij kunnen ze helpen om beveiligingsproblemen op te sporen en op te lossen en waarschuwen en handelen ook als zij bijvoorbeeld een beveiligingsprobleem voor anderen veroorzaken. Dit wordt bijvoorbeeld veroorzaakt door besmette machines of een openstaande server die potentieel gebruikt kan worden voor een DDoS-aanval.
De meeste meldingen die wij krijgen betreffen besmette machines en DDoS-aanvallen waarvan de instelling doelwit is geworden. Daarnaast zijn er een aantal meldingen geweest van ransomware. Gelukkig kunnen we die op één hand tellen, maar dat zijn dan wel meteen grote incidenten. Denk aan de incidenten op de Universiteit Maastricht of ROC Mondriaan.
Ook is SURFcert oprichter van SCIRT. Binnen deze community komen security professionals van de verschillende instellingen samen om kennis en informatie te delen.”
Hoe kom je bij SURFcert terecht en hoe ziet de samenwerking eruit?
Wanneer we Thijs vragen hoe hij bij SURFcert terecht is gekomen, antwoordt hij: “Ik hield mij binnen SURF al een tijdje bezig met security, ook binnen de community. Op een gegeven moment werd ik gevraagd lid te worden van SURFcert en mijn expertise toe te voegen aan het team. “Wat ik ook heel fijn vind is dat SURFcert niet iets van SURF alleen is. Door de samenstelling is het echt een samenwerking van SURF en de leden, waarin elkaar helpen centraal staat”. Daarnaast zijn wij een kenniscentrum. Instellingen kunnen bij ons terecht voor algemene, maar ook voor acute vragen. Wij zijn 24/7 bereikbaar voor de aangesloten instellingen als er een security-probleem is.”
Teun vult aan: “De teamleden van SURFcert werken in wisseldiensten waarin ze zeven dagen 24/7 beschikbaar zijn voor de ondersteuning bij incidenten. Daarna neemt een collega het over en draagt alle lopende incidenten over. Het is heel intensief en dan is een team dat veerkracht heeft in moeilijke omstandigheden essentieel. Wij houden de teamspirit vast door te weten wat er bij elkaar speelt, tijd in elkaar te investeren, regelmatig samen te komen en activiteiten te organiseren die los staan van onze werkzaamheden.
Waarom is SURFcert zo belangrijk voor de aangesloten instellingen?
Teun: “Je kunt in deze tijd echt niet meer zonder. Organisaties weten vaak niet dat ze risico’s lopen. Je hebt securityspecialisten nodig in een organisatie. Daarnaast is belangrijk dat de mensen die incidenten behandelen volledig op elkaar ingespeeld zijn. Je kunt niet zomaar mensen bij elkaar zetten in de hoop dat het opgelost wordt of de schade beperkt wordt. Mensen die onderdeel zijn van een CERT, moeten toegang hebben tot de kennis die zij nodig hebben en moeten in het vakgebied erkend en bekend zijn. Je bent pas een CERT als je geaccrediteerd bent door FIRST, de belangrijkste organisatie en erkend wereldleider op het gebied van incident respons.
Om awareness te creëren heeft SURFcert de tweejaarlijkse cybercrisisoefening OZON in het leven geroepen. Deze oefening beantwoordt de vraag: hoe reageert een instelling als zij doelwit is van een aanval? Een heel nuttige oefening waarbij deelnemers heel bewust stilstaan bij de acties die ze moeten ondernemen om hun organisatie beter te beveiligen.”
Wat is er veranderd in de dertig jaar dat SURFcert bestaat?
Teun vertelt: “Vroeger kreeg je eerst te horen dat er kwetsbaarheden waren. Je kon je daarop voorbereiden en de juiste acties plannen. Het kwaad groeit echter harder dan we hebben kunnen bijbenen. In de begintijd van SURFcert hadden we de illusie dat we de oorlog konden winnen. Tegenwoordig worden veel kwetsbaarheden al misbruikt voor ze bekend zijn, waardoor we alleen maar reactief bezig kunnen zijn.
Een andere belangrijke verandering is dat vroeger nog nooit iemand had gehoord van ransomware: het versleutelen van gegevens die pas na betaling van losgeld weer worden vrijgegeven. Na het eerste grote ransomware-incident in Nederland in 2019, waar SURFcert een belangrijke rol had in het beperken van de schade en het herstel na het incident, kwamen met name bestuurders erachter hoe belangrijk awareness en preventie zijn. Dit is dan ook een belangrijk keerpunt geweest.”
Thijs vult aan: “De strijd die wij voeren is echt veranderd. Toen ik in 2014 begon bij SURFcert waren de incidenten nog niet zo gecriminaliseerd. Waar voorheen een student uit verveling of nieuwsgierigheid een DDoS-aanval uitvoerde, vinden dergelijke aanvallen nu plaats vanuit professionele teams van criminelen. Hun doel is om zoveel mogelijk geld te verdienen. De taak van het SURFcert is om te voorkomen dat deze besmettingen plaatsvinden of te helpen om de schade zoveel mogelijk te beperken.”
Hoe pak je een incident nu aan? Teun: “Je begint met de kennis die je al hebt. Doordat er een vergelijkbaar incident is geweest in het verleden, kun je de opgedane kennis weer toepassen. Is dit niet het geval dan communiceren we dit met het team en vragen wij om hulp. Mocht niemand binnen het team het incident kennen dan kun je vertrouwen op FIRST (Forum of Incident Response and Security Teams). Hier kunnen we informatie in vertrouwen delen en advies vragen. Of we vragen het aan andere securityspecialisten waarna iemand aan de slag gaat om de schade te beperken.
Wat doen jullie zelf om bij te blijven en je kennis bij te spijkeren?
Thijs: “Er zijn verschillende conferenties en we werken nauw samen op nationaal en Europees niveau via verschillende community’s van CERT-teams. Dat netwerk is voor ons essentieel. Elke individueel teamlid neemt eigen specifieke kennis mee. Juist daardoor hebben we verschillende expertises binnen het team. Overigens houden we niet alleen onze eigen kennis bij, maar helpen we ook onze leden om geïnformeerd te blijven over de laatste ontwikkelingen in het vakgebied. We organiseren bijvoorbeeld cursussen voor voor CERT-teams van SURF-instellingen, maar ook van andere Nederlandse organisaties.”
Hoe denk je dat cybercrime er over vijf jaar uitziet?
Thijs: "Ik vrees dat de georganiseerde cybercriminaliteit niet meer weggaat en dat dit zelfs voor veel mensen een manier wordt om in hun levensonderhoud te voorzien. Daarom moeten we ons continu blijven ontwikkelen. Zo moeten we intensiever samenwerken met SURFsoc: deze dienst monitort instellingen continu, waardoor wij snel en adequaat kunnen handelen en onze instellingen beter kunnen beschermen. Maar daarnaast is het belangrijk dat de instellingen zich ervan bewust worden dat zij zelf verantwoordelijk zijn en blijven voor cybersecurity."
Meer weten over de dienstverlening van SURFcert?