De Verenigde Staten stonden op het punt zich terug te trekken uit een van de belangrijkste fundamenten van wereldwijde cybersecurity: de financiering van de CVE-database. Hoewel de VS inmiddels hebben ingestemd met een tijdelijke verlenging van elf maanden, blijft het onderliggende signaal onveranderd. Voor Europa is dit opnieuw een geopolitieke wake-upcall. Want stel dat de Amerikanen er daarna wél de stekker uittrekken, hoe zorgen we dan voor een oplossing, en belangrijker nog: hoe nemen we als Europa eindelijk zelf de regie?

De enorme afhankelijkheid

Overheden, softwareleveranciers, securitybedrijven en CERT’s overal ter wereld vertrouwen op CVE-nummers als dé standaard om kwetsbaarheden te beheren. Zonder die referentie weet niemand meer wat écht urgent is, waar de grootste risico’s zitten of wat je als eerste moet patchen.

“En toch: al sinds 1999 draait vrijwel alles achter de schermen op Amerikaanse kosten”, benadrukt Jort Kollerie, strategic advisor bij Orange Cyberdefense. “In totaal is er zo’n 75 tot 125 miljoen dollar in gestoken in 25 jaar tijd. Een relatief klein bedrag, als je bedenkt hoeveel de wereld er dagelijks op bouwt.”

Publieke data geeft geen garanties

De gegevens uit de CVE-database zijn grotendeels openbaar. “Maar dat betekent nog niet dat je het beheer zomaar ergens anders onderbrengt”, legt Kollerie uit. “Achter de database schuilt een complex systeem van duizenden CVE Numbering Authorities (CNA’s) en vaste internationale afspraken. Dit netwerk is gebaseerd op jarenlange samenwerking en een stevige reputatie als neutrale partij.” Bovendien kan de Amerikaanse overheid de overdracht van data vertragen of blokkeren als onderdeel van bredere geopolitieke druk. Kortom: dit is niet zomaar een technisch project, maar een strategisch én diplomatiek dossier.

Wie het beheer wil voortzetten, moet ook meer in huis hebben dan alleen toegang tot de data. Het vereist een stevige technische infrastructuur, ervaren mensen, een centraal coördinatiepunt en het vertrouwen van internationale softwareleveranciers, securitybedrijven en CERT’s.

„Een Europees alternatief is mogelijk. Dat lukt alleen met een stevige voorbereiding en uitvoering. Als we echt werk willen maken van digitale autonomie, zullen we niet langer alleen maar moeten roepen om meer grip op cybersecurity, maar ook bereid zijn om zelf flink te investeren in mensen, middelen en verantwoordelijkheid.”-Jort Kollerie

Wat is er nodig voor een Europees alternatief?

De CVE-database wordt beheerd door MITRE, een onafhankelijke Amerikaanse non-profitorganisatie. Een Europees initiatief is geen simpele kopie van wat zij doen. Het vraagt om politieke daadkracht, langetermijninvesteringen en vooral: vertrouwen vanuit de internationale securitygemeenschap. Een succesvolle voortzetting van de CVE-functie in Europa vereist volgens Kollerie onder meer de volgende bouwstenen:

1. Een Europese beheerorganisatie met mandaat en gezag

Er moet een centrale instantie worden aangewezen die de dagelijkse operatie coördineert, vergelijkbaar met de rol van MITRE. ENISA (het Europees Agentschap voor Cybersecurity) ligt voor de hand vanwege haar bestaande rol in Europese cybersecurity-coördinatie. Die rol moet worden uitgebreid met een formeel mandaat en voldoende capaciteit, zowel technisch, organisatorisch als juridisch. Dit orgaan moet kunnen optreden als neutrale partij tussen lidstaten, bedrijven en onderzoekers.

2. Een robuust netwerk van CNA’s binnen Europa

CVE-nummers worden wereldwijd uitgegeven door CVE Numbering Authorities (CNA’s): organisaties die meldingen verifiëren en publiceren. Europa heeft al enkele CNA’s, maar dat netwerk is incompleet en versnipperd. We moeten toewerken naar een representatief, goed georganiseerd netwerk van nationale CERTs, leveranciers en onderzoeksinstellingen die als CNA kunnen optreden. Dat vraagt om standaarden, procedures en onderlinge afstemming.

3. Heldere governance-afspraken over eigenaarschap en transparantie

Een database voor kwetsbaarheden moet wereldwijd vertrouwen genieten. Dat lukt alleen met volledige transparantie over hoe kwetsbaarheden worden gevalideerd, toegewezen en gepubliceerd. Governance betekent ook: wie beheert de data? Welke criteria gelden voor opname? Hoe voorkomen we politieke beïnvloeding of vertraging? Zonder duidelijk en internationaal gedragen regels zullen leveranciers en CERT’s buiten Europa afhaken.

4. Een technische infrastructuur die schaalbaar en betrouwbaar is

De bestaande MITRE-infrastructuur verwerkt tienduizenden meldingen per jaar. Europa zal zelf een platform moeten bouwen voor intake, verificatie, nummering en publicatie van de kwetsbaarheden. Dat moet veilig, snel en schaalbaar zijn, met open interfaces zodat leveranciers en andere stakeholders snel updates kunnen integreren in hun tooling en producten.

5. Structurele financiering vanuit EU-niveau en/of lidstaten

De kosten voor MITRE’s beheer van CVE bedragen naar schatting slechts 3 tot 5 miljoen dollar per jaar. Toch is ad-hoc financiering geen optie. Er moet een structureel budget komen, zodat het beheer stabiel, onafhankelijk en professioneel kan worden ingericht. Europese financiering via de EU-begroting ligt voor de hand, eventueel aangevuld met bijdragen van lidstaten of publieke-private samenwerkingen met leveranciers.

6. Toegang tot de bestaande database en kennisinfrastructuur

Hoewel CVE-gegevens grotendeels openbaar zijn, zijn de bijbehorende tools, processen en netwerken dat niet. Een Europese beheerder moet ofwel formele afspraken maken met MITRE over datatoegang en overdracht, of op basis van de publieke data een eigen structuur opnieuw bouwen. Dat laatste kost tijd en vergroot de kans op inconsistentie. Zonder samenwerking met MITRE of de Amerikaanse overheid dreigt een dubbele administratie, of erger: internationale desintegratie van het systeem.

Er zijn in Europa wel al eerste stappen gezet. Zo heeft ENISA inmiddels de European Vulnerability Database (EUVD) gelanceerd, een eigen openbare database voor kwetsbaarheden. De database bevindt zich nog in bèta en is zeker nog geen volwaardig alternatief voor CVE. Toch laat Europa hiermee wel zien dat er een politiek en strategisch besef is ontstaan waar digitale veiligheid niet alleen afhankelijk mag zijn van de Amerikaanse infrastructuur. Echter zit er nog een flinke kloof tussen besef en een volwassen alternatief. En die moet volgens Kollerie nu snel overbrugd worden.

Europa in actie

“De acties van de VS laten zien dat onze digitale infrastructuur kwetsbaar is, hoe betrouwbaar dat land tot nu toe ook is geweest”, vindt Kollerie. “Als we als Europa serieus werk willen maken van digitale soevereiniteit, dan begint dat hier. Door niet langer gebruik te maken van de Amerikaanse goodwill, maar wel door zelf het heft in handen te nemen.”

In Libanon en Syrië vielen in Hezbollah-kringen minimaal elf doden en zo’n 2.700 gewonden doordat en masse een nieuw type pieper (pager) tot ontploffing werd gebracht. Beschuldigende vingers wijzen naar Israël, al ontbreekt bewijs. ‘Israël is hiertoe in staat’, meent securityexpert Jort Kollerie, waarbij hij in herinnering brengt dat de militaire grootmacht in het verleden mobiele telefoons op afstand liet ontploffen.

Het is het nog te vroeg om met zekerheid te zeggen om wat voor situatie het hier gaat. ‘Belangrijke vraag is of Israël hier bevestigend op zal reageren en daarmee de aanslag zal opeisen’, aldus Kollerie, die als strategisch adviseur werkzaam is bij Orange Cyberdefense. ‘Met deze aantallen lijkt het er op dat de supply chain mogelijk gecompromitteerd is geweest of de zending is onderschept. Mogelijk zijn toen de piepers gemodificeerd met als doel op afstand gelijktijdig te ontploffen via een gecodeerd bericht.’

Deze actie is volgens Kollerie een onderdeel van hybride oorlogsvoering met als doel om, naast conventionele militaire aspecten, de vijand te destabiliseren door middel van fakenieuws, propaganda, sabotage, drones en cyberoorlog. ‘Als Israël hier achter zit, wil het overduidelijk laten zien wat hun slagkracht en mogelijkheden zijn. Maar vooral ook hoe slim de Israëliërs zijn met het uitschakelen van doelen op afstand.’

Golf

Op dinsdag 17 september vond er in Libanon en Syrië een golf aan mini-explosies plaats die erop lijkt te zijn gericht om de militante Libanese beweging Hezbollah een slag toe te brengen. De Israëlische geheime dienst Mossad zou enkele maanden geleden een kleine hoeveelheid explosieven in vijfduizend piepers hebben geplaatst. Deze ‘pagers’ zouden door Hezbollah zijn besteld. Ongeveer drieduizend daarvan ontploften tegelijkertijd toen een gecodeerd bericht naar ze werd gestuurd.

De piepers zouden zijn gemaakt door het Taiwanese bedrijf Gold Apollo. Dat ontkent betrokkenheid en wijst naar het Hongaarse bedrijf BAC Consulting. Dit bedrijf geeft in licentie producten van Gold Apollo, waaronder een pager van het type AR924, dat de explosies heeft veroorzaakt. BAC Consulting heeft niet gereageerd. Het bedrijf werkt veelvuldig met overheden samen in projecten in oorlogsgebied en ‘probleemlanden’. Zo werkt het met de Nederlandse overheid samen in een acceleratorprogramma in Libië.

Meer dan batterij

‘Deze piepers zijn waarschijnlijk op een of andere manier aangepast om dit soort explosies te veroorzaken’, analyseert onderzoeksdeskundige Mikko Hypponen van WithSecure in The New York Times. Hypponen is ook cybercrime-adviseur bij Europol. ‘De omvang en kracht van de explosie wijzen erop dat het niet alleen de batterij was.’

Samen met mijn collega Tamara Hendriksen ( ) waren we uitgenodigd om een 'keynote' te verzorgen voor het 10e jubileum van de Advanced Threat Summit in Warschau (Polen). Het Advanced Threat Summit (22-24 November 2023) is een van de grotere events in Polen dat zich volledig richt op digitale veiligheid. Met buurland Oekraïne zitten de Polen niet stil ten aanzien van zowel analoge als digitale beveiliging en weerbaarheid. Daarmee was 'Cyberwarfare' een passend onderwerp en werd mede daarom goed ontvangen:

I would like to thank you very much for your commitment and participation in the 10th anniversary edition of the Advanced Threat Summit 2023 conference! I hope that the conference met your expectations! It was an exceptionally successful edition with over 700 on-site and online participants! Of course, you are also an important part of this success, which brought record results in every part of this event. We held an surveys under the participants and your presentation was rated as follows (on a scale of 1 - 5, where 5 is the highest rating):

• Content value: - 4,43
• Quality of presentation: 4,57
• Average: 4,50

Congratulations on a very good result!

We hebben het in deze podcast met regelmaat over hackers. Vaak groeperingen met criminele bedoelingen. Ze zitten vaak achter geld en gegevens aan, met bedrijven en personen als slachtoffer. Echter speelt er op internationaal niveau ook van alles. Veel landen hebben eigen divisies met hackers, om hun geopolitieke opponenten dwars te zitten, informatie te stelen of hun eigen positie in de wereld te verbeteren. Maar wie zijn die zogenaamde ‘statelijke actoren’? Hoe gaan ze te werk? Hoe zijn ze ingericht? Tamara Hendriksen en Jort Kollerie van Orange Cyberdefense hebben de afgelopen tijd onderzoek verricht naar deze landen, en gaan je vertellen hoe de vork in de steel zit.

Aflevering 9:

Cyberwarfare

Een podcast van Jesse Hendriks oprichter Gruzzy Recruitment en gasten Tamara Hendriksen & Jort Kollerie van Orange Cyberdefense. Deze aflevering is te beluisteren via:

Today we had the pleasure of talking to Cyber Security and Privacy evangelist - Jort Kollerie. Jort is a seasoned professional who is currently Manager of Security Architecture & Security Services at Orange Cyberdefense. In this episode, we talked about his evangelist role, the ever-evolving threat landscape, his management style and why there should be no competition between cyber security companies.

Episode 14:

We are partners in crime, fighting cybercrime!

A podcast by Laurens Jagt, founder of CS Recruitment and guest Jort Kollerie of Orange Cyberdefense. This episode can be listened to via:

The act of cyberwarfare sounds like another Hollywood blockbuster movie. But in fact it is reality and a big concern for the digital world of today and the future. Based on several incidents from the past, the growing sophistication and aggressiveness of nation-state actors, acts of cyberwarfare could heavily impact countries around the globe. What do we see on this topic and why you should care?

Together with Tamara Hendriksen (Information Security Officer) we did a keynote at Orange Cyberdefense Live! event in Antwerp (Belgium).

Jort Kollerie from Orange Cyberdefense joins Arno to talk all things security. As the manager of security architecture and services for a firm that helps companies identify and respond to threats online, Jort has relevant advice for B2B organizations looking to protect their data. He talks about the most prominent threats businesses face today such as ransomware, IoT/OT attacks and supply chain attacks. He discusses protections and solutions IT Leaders can employ to face these challenges in 2023 and beyond.

Season 1, Episode 14:

Staying One Step Ahead of Cyber Threats in B2B

A podcast by Arno Ham, CPO of Sana Commerce and guest Jort Kollerie of Orange Cyberdefense. This episode can be listened to via:

Premier Mark Rutte en veel andere ministers moesten de voorbij weken toegeven regelmatig privémailadressen en -telefoons te gebruiken voor zakelijke gesprekken. De reden? Veiligheidsrestricties maakten werken met goedgekeurde apparaten praktisch onmogelijk. It-managers zijn soms geneigd vanuit de techniek te denken en medewerkers van een organisatie te dwingen tot gebruiksonvriendelijke oplossingen. Terwijl een gemakkelijk te volgen wachtwoordbeleid hartstikke veilig kan zijn.

Wachtwoorden vormen al sinds de uitvinding ervan een probleem voor gebruikers ervan. In elke organisatie van elke branche, wereldwijd, hebben mensen moeite om lange, complexe wachtwoorden te onthouden. It-beleidsvoerders werken al decennia met de aanname dat een wachtwoord per se complex moet zijn. Iets als ‘ediVgdgrnei’ is volgens hun denkwijze een beter wachtwoord dan ‘Verdediging’. Beide bestaan uit dezelfde letters, maar je kunt wel raden welk wachtwoord iemand beter onthoudt. Ze zijn allebei best veilig, maar kunnen véél beter.

Cybercriminelen die een organisatie password sprayen proberen in te loggen met een al bekende username en elke mogelijke combinatie van wachtwoorden. Zie het ‘raden’ naar het wachtwoord als het draaien aan een cijferslot. Elke letter is een cijfertje, en door hoofdletters en leestekens toe te voegen vergroot je het aantal mogelijk ‘letters’. Hoe langer de reeks, des te meer combinaties moet de password-bot nagaan en des te meer tijd is hij kwijt goed te gokken. Het is een simpele rekensom.

Tweehonderd jaar

"Quantum computing zou ervoor kunnen zorgen dat die miljoenen jaren een kwestie van dagen of minuten wordt" Het wachtwoord ‘Verdediging' heeft een hoofdletter en telt elf karakters. Volgens securityspecialist Hive Systems doet een computer er in 2022 gemiddeld vijf maanden over dit wachtwoord te kraken. Voeg een ‘1’ toe ('Verdediging1', twaalf tekens), en dit springt naar tweehonderd jaar. Een eerste advies voor organisaties die worstelen met hun wachtwoordbeleid luidt daarom: maak een wachtwoord langer, niet complexer, en voeg een cijfer en zelfs spaties toe. ‘Verdediging1’ is dan nog onnodig kort: ‘CyberSecurity01’ zou volgens Hive Systems pas in 46 miljoen jaar te kraken zijn.

„Quantum computing zou ervoor kunnen zorgen dat die miljoenen jaren een kwestie van dagen of minuten wordt”-Jort Kollerie

Waar deze versimpeling aan voorbijgaat, is dat a) bekende combinaties als woorden wat gemakkelijker te raden zijn, en b) de rekenkracht van computers nog altijd exponentieel groeit. Over een aantal jaar zijn ook bovenstaande voorbeelden helaas niet veilig genoeg meer. Quantum computing zou ervoor kunnen zorgen dat die miljoenen jaren een kwestie van dagen of minuten wordt. Organisaties moeten daarom een dubbel slot op hun deur schroeven, en medewerkers zich twee (of méér) keer laten identificeren.

Tweefactorauthenticatie

Wat je wachtwoordbeleid ook is: een juiste combinatie van gebruikersnaam en wachtwoord is meestal genoeg om ‘binnen’ te komen. Dit zien wij in assessments die wij bij organisaties uitvoeren: soms zijn wel zestig tot zeventig procent van de wachtwoorden snel te kraken en is er géén ‘tweefactorauthenticatie (2fa) ingesteld: een externe app die een gebruiker twee keer laat bewijzen écht te zijn, wie hij zegt te zijn. 2fa negeren is een vergissing, want als organisatie wil je niet dat dat je digitale veiligheid van één pijler afhankelijk is.

Met 2fa trek je een externe beveiliger aan de mouw die als het ware de tweede deur beveiligt. Ben je binnen, dan moet je nog langs deze uitsmijter om bij de kroonjuwelen van de organisatie te kunnen. Voor hackers en andere cybercriminelen zijn ze haast niet te passeren: ze zouden dan (naast de eerste inlogggegevens die ze buit maakten) ook in de telefoon van de gebruiker moeten komen, of de 2fa-tool van Google, Microsoft of welke aanbieder dan ook moeten kraken. Dat lukt ze niet.

Luie inbrekers

"Raad jouw collega's aan een lang, maar gemakkelijk wachtwoord te kiezen en maak 2fa noodzakelijk" Cybercriminelen zijn vaak luie inbrekers. Als ze zien dat een password spray niet snel werkt, en dat ze bij een zeldzame doorbraak alsnog tegen 2fa aanlopen, gaan ze vaak op zoek naar een gemakkelijker doelwit. Cybersecurity is dan ook een kwestie van je basis goed op orde hebben. Lange, unieke wachtwoorden in combinatie met 2fa stuurt ze naar organisaties die de deur wél op een kier hebben staan. Tijd is namelijk geld, óók in de wereld van de cyberaanvallers.

„Raad jouw collega's aan een lang, maar gemakkelijk wachtwoord te kiezen en maak 2fa noodzakelijk”-Jort Kollerie

Voor it’ers is de oproep dan ook simpel. Wil je dat jouw collega’s geen maatregelen omzeilen en gewoon veilig werken? Raad ze dan aan een lang, maar gemakkelijk wachtwoord te kiezen en maak 2fa noodzakelijk. Zo houd je inbrekers buiten de deur, maar hoef je ook niet zelf eens in de paar maanden een account te resetten omdat een gebruiker 'AJbdau**bXadANh' niet kon onthouden. Het is hierbij belangrijk je medewerkers mee te nemen in dit proces en ze te vertellen wáárom het belangrijk is een goed wachtwoord te hebben. Organisaties hebben meer waardevolle data dan ooit. De digitale deur dichthouden heeft daarom de hoogste prioriteit, en werknemers willen niet degene zijn die hem op een kiertje zet.

Jort neemt ons mee in een klein reisje door de tijd. Hoe ziet Cyber Security er over 5 jaar uit? Wat zijn de trends en waar zijn we dan het meest mee bezig? Hij heeft de wijsheid hierover zeker niet in pacht, maar hij wil wel een aantal voorspellingen doen. Aan de hand van de thema’s Machine Learning & AI, Deception Technology en Survivorship’s Bias bespreken we hoe de branche er over 5 jaar mogelijkerwijs uitziet!

Aflevering 4:

Een tijdreis: Hoe kan Cyber Security er over 5 jaar uitzien?

Een podcast van Jesse Hendriks oprichter Gruzzy Recruitment en gast Jort Kollerie van Orange Cyberdefense. Deze aflevering is te beluisteren via:

Gemiddeld duurt het 280 dagen dat er een datalek wordt opgemerkt en/of wordt gemitigeerd. Ransomware blijft maar groeien en zal steeds innovatiever en agressiever ingezet worden door criminelen. Organisaties zetten steeds meer en intelligentere verdedigingsmechanismen in om deze te bestrijden. Een grote kanttekening is dat de mens hierdoor een steeds grote rol speelt bij aanvallen. Het dreigingslanschap zal blijven veranderen en brengt steeds andere risico’s met zich mee. Ziet u het grote plaatje nog en heeft u een idee wat uw aanvalsoppervlak is?