Onverwacht onverzekerd

De eerste uren zijn chaotisch, maar beheersbaar. De crisisorganisatie draait. Externe specialisten worden ingevlogen. Juristen kijken mee. Communicatie bereidt statements voor. Alles volgens het draaiboek. Totdat in de dagen daarna blijkt dat veel data is ‘gegijzeld’ en dat ook je logging- en monitoringdata ontoegankelijk is geworden. Geen SIEM-logs. Geen forensische sporen. Geen audittrail. Alsof niet alleen je bedrijfsvoering is geraakt, maar ook je geheugen is gewist.

Geen data meer om forensisch te kunnen onderzoeken wat er precies voor en tijdens de aanval gebeurde. Hoe kwamen ze binnen? Waren ze al lange tijd binnen? Is er lateraal bewogen? Was er sprake van privilege escalation? En misschien nog belangrijker: had je signalen kunnen zien? En dan komt de tweede klap.

De verzekeraar vraagt om bewijs. Bewijs dat je vóór de aanval je zaken op orde had. Dat je compliant was met de afgesproken normen. Dat je patchbeleid op orde was. Dat multi-factor authenticatie daadwerkelijk was afgedwongen. Dat kwetsbaarheden tijdig waren opgelost. Dat je monitoring actief was en alerts werden opgevolgd.

En dat bewijs . . . zat in de logs.

De aanval op je data is ook een aanval op je bewijs

Dit scenario is niet theoretisch. Het is al meerdere malen gebeurd. Ransomwaregroepen weten inmiddels dat back-ups, loggingservers en monitoringplatforms strategische doelwitten zijn. Wie het geheugen wist, ontneemt het slachtoffer niet alleen herstelmogelijkheden, maar ook juridische en financiële armslag.

Bij de aanval op Maersk in 2017, onderdeel van de wereldwijde NotPetya-uitbraak, werd de complete IT-infrastructuur ontwricht. Duizenden servers en werkstations moesten opnieuw worden opgebouwd. Directorystructuren en configuraties gingen verloren. De schade liep in de honderden miljoenen dollars. Ook Merck & Co. werd door NotPetya getroffen. Wat volgde was een juridische strijd met verzekeraars over de vraag of de aanval onder een ‘oorlogsclausule’ viel. Uiteindelijk kreeg Merck gelijk, maar het debat draaide om aantoonbaarheid en polisinterpretatie. En bij Colonial Pipeline zagen we hoe een ransomware-aanval niet alleen operationele impact had, maar ook politieke en juridische druk veroorzaakte. Incident response, aansprakelijkheid en verzekering kwamen samen in een publiek debat.

Wat zelden wordt besproken, is de stille onderhandeling achter de schermen: kun je aantonen dat je vooraf in control was?

De parallel met de luchtvaart

Na de Tweede Wereldoorlog groeide de commerciële luchtvaart explosief. Maar bij veel crashes kon achteraf niet worden vastgesteld wat de oorzaak was. Met het toestel ging ook de informatie verloren over wat er vóór en tijdens het incident gebeurde.

De introductie van de flight recorder – de zwarte doos – veranderde dat fundamenteel. Uiteindelijk werd deze verplicht in commerciële vliegtuigen. Niet alleen om van incidenten te leren, maar ook als randvoorwaarde voor certificering en verzekerbaarheid. Zonder aantoonbare registratie geen luchtwaardigheidscertificaat. En zonder certificaat geen verzekering. Internationale standaarden, onder regie van onder meer de International Civil Aviation Organization, zorgden ervoor dat incidentdata werd gedeeld en geanalyseerd.

Geen data, geen analyse. Geen analyse, geen verbetering. Geen verbetering, geen verzekerbaarheid.

Waar is de zwarte doos van het datacenter?

In de digitale wereld zijn logging- en monitoringdata onze flight recorders. Maar ze zijn zelden crashbestendig ontworpen. Ze draaien in hetzelfde netwerk, onder hetzelfde identity-domein, soms zelfs met dezelfde beheerdersaccounts.

Moderne aanvallers begrijpen dat perfect. Ze verwijderen back-ups. Ze wissen logs. Ze schakelen beveiligingsagents uit. Ze bereiden hun aanval voor met het doel niet alleen te versleutelen, maar ook te ontkennen. Niet alleen om herstel te bemoeilijken, maar om bewijs uit te wissen. Wie niet kan aantonen wat er gebeurde, kan ook moeilijk aantonen dat hij compliant was.

Overleeft je logging de aanval?

Daarom moet de vraag niet zijn óf je logging hebt. De vraag is: overleeft je logging de aanval. Een oplossing die hier expliciet op inspeelt is de ICT Blackbox van DigiCorp Labs. De kern daarvan is het onuitwisbaar vastleggen van bewijs dat je compliant was – vóór en tijdens een incident.

Met behulp van het gepatenteerde NFD-principe (Non-Fungible Data Entry) worden logging-acties cryptografisch verankerd op een blockchain. Niet als kopie van je volledige logbestand, maar als unieke, onveranderbare vingerafdruk van elke relevante gebeurtenis. Wat wordt vastgelegd?

• De hash van de logging- of monitoringactie

• De verwijzing naar waar de volledige data extern is opgeslagen (uitwijk of co-locatie)

• Wie op dat moment verantwoordelijk was voor het proces

• Welke governance-structuur en welk beleid op dat moment geldig was

• Onafhankelijke tijdstempels

Daarmee ontstaat een audittrail die niet kan worden gemanipuleerd zonder sporen na te laten. En dit is geen theorie meer. Afgelopen jaar zijn meerdere ICT Blackbox-oplossingen in productie genomen bij overheidsorganisaties. De belangstelling in de markt blijkt groot te zijn. Niet alleen vanuit security-perspectief, maar ook en vooral vanuit juridisch en verzekeringstechnisch oogpunt.

De oplossing is ontwikkeld op het Japanse data-platform van Hitachi Vantara. Daarmee bestaat er geen directe afhankelijkheid van Amerikaanse cloudproviders en geen potentiële beïnvloeding door wetgeving zoals de Amerikaanse Data Act of de Patriot Act. Voor veel Europese organisaties is digitale soevereiniteit inmiddels net zo belangrijk als technische veiligheid.

Het betreft een volledig gecertificeerde fysieke oplossing die lokaal bij een colocator kan worden geplaatst. Desgewenst kan spreiding plaatsvinden over meerdere locaties in Europa. Decentralisatie en geografische spreiding vergroten immers de zekerheid dat logging- en monitordata behouden blijven, zelfs bij een grootschalig incident.

Spreiding is geen luxe. Het is risicobeheersing.

Juridische houdbaarheid: leren van het verleden

Certificatie is bij dit soort oplossingen vaak het langste traject. Niet omdat de techniek zo complex is, maar omdat achteraf geen twijfel mag bestaan over de echtheid van de data. De vastlegging moet aantoonbaar:

• Niet manipuleerbaar zijn geweest

• Niet door administrators zijn aangepast

• Niet achteraf zijn herschreven

De financiële wereld heeft eerder geleerd wat er gebeurt wanneer data manipuleerbaar blijkt. Denk aan de Libor-affaire rond ICE Benchmark Administration, waar rentetarieven werden beïnvloed door menselijke interventie en belangenverstrengeling. Data die juridisch doorslaggevend is, moet boven iedere twijfel verheven zijn. Een gecertificeerde, cryptografisch verankerde vastlegging zorgt ervoor dat auditdata de juridische toets kan doorstaan. Niet alleen technisch aantoonbaar, maar ook bestuurlijk en juridisch verdedigbaar. Dat is een fundamenteel verschil met traditionele logging.

Van herstel naar aantoonbaarheid

Waar traditionele security zich richt op preventie en herstel, voegt een ICT Blackbox een derde dimensie toe: aantoonbaarheid. Forensisch: reconstructie blijft mogelijk, bestuurlijk: zorgplicht is aantoonbaar ingevuld, verzekeringstechnisch: claimpositie is onderbouwd en tenslotte juridisch: data is gecertificeerd en manipulatieresistent

In een tijd waarin cyberverzekeringen kritischer worden en premies stijgen, is aantoonbare beheersing geen luxe maar noodzaak. Misschien moeten we daarom de vraag anders stellen. Niet: hebben we logging? Maar: overleeft onze logging de aanval? En nog belangrijker: kunnen wij onafhankelijk aantonen dat die logging authentiek was?

De luchtvaart leerde dat veiligheid begint met registratie. De financiële sector leerde dat manipulatie funest is. De digitale wereld leert nu dat verzekerbaarheid begint met onweerlegbaar bewijs. Wie zijn digitale zwarte doos niet extern en gecertificeerd borgt, loopt het risico niet alleen zijn data te verliezen – maar ook zijn dekking.

En dan is de grootste schadepost niet de ransomware. Maar het moment waarop je ontdekt dat je onverwacht onverzekerd bent.

Door: Hans Timmerman (foto)