Interview: Een kijkje achter de schermen bij Project ‘Melissa’

In oktober vorig jaar werd de handtekening gezet onder een bijzonder samenwerkingsverband. Onder meer het Openbaar Ministerie, het Nationaal Cyber Security Centrum, de politie en Cyberveilig Nederland werken samen met diverse private partijen, waaronder Kennedy Van der Laan, aan de bestrijding van ransomware- en cyberaanvallen. Dat doen ze onder de naam ‘Project Melissa’. Petra Oldengarm, directeur Cyberveilig Nederland, geeft een kijkje achter de schermen van deze samenwerking en vertelt wat organisaties zelf kunnen doen aan hun digitale weerbaarheid. “Vroegtijdige detectie van incidenten is erg belangrijk. Dat wordt nog wel eens over het hoofd gezien”.

Melissa is een naam die in het oog springt en die dan ook vrijwel meteen de aandacht trekt. De betrokken partijen die met elkaar om de tafel gingen, besloten het project naar deze ‘dame’ te vernoemen, vooral ook omdat er een mooie anekdote aan vastzit. “We kwamen er tijdens een tweedaagse sessie in een hotel bij Utrecht achter dat meerdere partners onderhandelden met dezelfde persoon die zichzelf voorstelde als Melissa. Ze zat op een soort telefonische helpdesk,” vertelt Oldengarm. Wie ‘Melissa’ precies is, hebben ze overigens nooit kunnen traceren. Wel heeft die bewuste sessie informatie naar boven gehaald waar de politie in hun recherche op kon voortborduren. “En laat dat nou exact de reden zijn waarvoor we ‘Melissa’ hebben opgericht,” zegt Oldengarm.

De brancheorganisatie, met ruim honderd leden, werkt in het project samen met onder meer Kennedy Van der Laan, het Openbaar Ministerie en het Nationaal Cyber Security Centrum. Het doel van ‘Melissa’ is om kennis en expertise te delen rond ransomware-incidenten en daardoor van elkaar te leren. Oldengarm: “Het belang van een cyberweerbaar Nederland staat voorop. Daar hebben alle partijen zich aan gecommitteerd. Natuurlijk spelen er ook commerciële belangen, maar the greater good om het zo te zeggen, is toch wel de belangrijkste drijfveer.”

Dat het hier gaat om publiek-private samenwerking maakt het extra bijzonder, legt Oldengarm uit. “Je hebt natuurlijk te maken met gegevensdeling die alleen onder strikte voorwaarden mogelijk is. Je mag echt niet alles zomaar naast elkaar leggen, en zeker niet bij dit soort heel gevoelige kwesties. Maar toen we er met Rosalie Brand – partner cybersecurity bij Kennedy Van der Laan – naar gingen kijken, bleek dat er meer mogelijk was dan we dachten. Samen met Rosalie en juristen van de andere deelnemers hebben we de juridische kaders vastgesteld, zodat we goed en effectief met elkaar kunnen samenwerken.” Pas toen die goed en wel waren vastgesteld, kon het project echt van start en in oktober vorig jaar is het in de openbaarheid gebracht. “Het belang van zo’n publiek-private samenwerking is groot”, zegt Oldengarm. “Bedrijven en overheidsorganisaties hebben elk een deel van de beschikbare informatie. Door die verschillende informatiestromen bij elkaar te brengen, kunnen we de puzzel leggen om tot oplossingen te komen.” En het is geven en nemen. “Als cybersecuritybedrijf kan je er zeker je voordeel mee doen, met de zaken die je ter ore komen tijdens onze sessies. Maar het is net zo belangrijk dat je zelf informatie inbrengt, zodat andere partijen er ook iets van opsteken. Het mes snijdt aan twee kanten. Dat hebben we zo met elkaar afgesproken.”

Tijdens de diverse bijeenkomsten geven de deelnemers elkaar presentaties en bespreken ze actuele casussen die spelen op het gebied van ransomware-gerelateerde incidenten. Dat allemaal onder grote vertrouwelijkheid, zegt Oldengarm. Je wilt uiteraard koste wat kost voorkomen dat er zaken uitlekken. “De politie betrekt ons soms bij lopende onderzoeken. Er zijn de afgelopen anderhalf jaar een aantal grote politieoperaties geweest waarbij Melissa-deelnemers waren betrokken. Op die manier hebben we behoorlijk wat impact.”

Het voorkomen van ransomware-aanvallen of het beperken van de gevolgen van zo’n aanval speelt een grote rol binnen ‘Melissa’. Immers, als bedrijven en organisaties ermee te maken krijgen, kunnen de financiële consequenties niet te overzien zijn. Oldengarm noemt een recent voorbeeld van een belangrijke operatie die potentieel veel leed heeft voorkomen. “Een van onze deelnemers ontdekte bij een specifieke ransomwarefamilie, genaamd Cactus, dat er een bepaalde methode werd gebruikt om in te breken. Daarop bleek dat andere deelnemers een soortgelijk patroon zagen. Via ons netwerk hebben we toen een scan laten uitvoeren naar de kwetsbaarheid van organisaties in Nederland, maar ook in het buitenland.” Het project wist een groot aantal van deze onderzochte organisaties op tijd te waarschuwen, aldus Oldengarm. “Op die manier konden ze voorkomen dat ze slachtoffer werden. Of ze zaten in de beginfase van de aanval zodat de schade kon worden beperkt.”

Elk jaar komt er een dreigingsbeeld uit van het Nationaal Cyber Security Centrum, waarin een aantal ontwikkelingen en trends op het gebied van cybersecurity- en weerbaarheid in kaart worden gebracht. Op moment van schrijven is de editie van 2024 in de maak, dus veel kan er nog niet over gezegd worden. Maar Oldengarm ziet wel dat een aantal trends zich doorzet. Oldengarm: “We zien al geruime tijd dat de ransomware-aanvallen een bedreiging vormen voor de nationale veiligheid, en dat is een belangrijk motief om samen te werken. Maar dat is niet het enige waar cybercriminelen zich mee bezig houden. Zo is er in toenemende mate CEO-fraude – een vals betaalverzoek aan medewerkers die van een CEO lijkt te komen – en Whatsapp-fraude – waarbij oplichters geld van WhatsApp-gebruikers proberen af te troggelen. En er zijn natuurlijk DDoS-aanvallen. Verder gaat er steeds meer dreiging uit van statelijke actoren, die ook vaker spioneren uit economisch belang. Het gaat om landen die een offensief cyberprogramma hebben dat zich direct richt op de westerse wereld.”

Ook op juridisch vlak zit er nog heel wat aan te komen, weet de directeur van Cyberveilig Nederland. De bekendste is de NIS2-richtlijn, de opvolger van de huidige Network and Information Systems Directive (NIS). Die komt uit ‘Brussel’, wordt op dit moment omgezet naar nationale wetgeving en gaat in Nederland de Cyberbeveiligingswet heten. De NIS2 schrijft voor dat veel meer bedrijven dan voorheen zich moeten beveiligen en daarbij aanspraak kunnen maken op de hulp van de overheid. De teller staat nu op 8.000 essentiële bedrijven en organisaties die onder deze nieuwe wetgeving vallen, zegt Oldengarm. “De wet zal namelijk ook gelden voor lokale overheden zoals gemeenten en voor meer bedrijven in vitale sectoren, zoals de voedselketen bijvoorbeeld.”

Ze verwacht dat daarmee de digitale weerbaarheid zal toenemen door deze bredere wetgevingsscoop. “Er is een heel rijtje voorwaarden waaraan je moet voldoen. Dat maakt het al een stuk concreter dan NIS. En de reikwijdte is ook wel bijzonder. Je moet er als bedrijf en organisatie, anders dan voorheen, voor zorgen dat ook je toeleveranciers in de keten ‘veilig’ zijn. Dat is behoorlijk ingrijpend.” Als organisatie kun je zelf veel doen aan je digitale weerbaarheid, geeft Oldengarm aan. “In de NIS2-richtlijn staan allerlei maatregelen om incidenten te voorkomen. Maar wat er niet in staat – en daar ben ik wel verbaasd over – is de vroegtijdige detectie van incidenten. Je wilt die het liefste al in een vroeg stadium signaleren. Hoe eerder je een incident op het spoor komt, hoe groter de kans dat je grote schade kan vermijden.” Je moet flink in die detectie investeren, vindt ze. “Het wordt nog wel eens over het hoofd gezien, ook in Europees perspectief."

Verder kijkt iedereen in de cybersecuritysector met interesse naar wat het nieuwe kabinet gaat doen. Oldengarm las het regeerakkoord op hoofdlijnen: “Ik denk dat de inspanningen voor een afdoende cyberweerbaarheid overeind zullen blijven. Je ziet dat bezuinigingen met name andere sectoren raken.”

Daartegenover staat dat ze wel vindt dat er meer moet worden geïnvesteerd. Dat was ook de oproep van Cyberveilig Nederland aan het vorige kabinet. “Maar ja, aan de andere kant: het is nooit genoeg natuurlijk, als het om geld gaat. Ik ben in elk geval blij dat er meer aandacht is voor dit dossier in de politiek, in het bijzonder in de Tweede Kamer en hopelijk leidt dat tot voldoende aandacht voor dit dossier in de toekomst.”