Noors staatsfonds gehackt: lessons learned?

Cybercriminelen hebben geduld, pas na maanden slaan ze echt toe. Hoe beperkt u het risico van een hack?

Een serie blogs over IT & risicomanagement.

Maandenlang van een afstand geobserveerd en geanalyseerd worden, en pas na weken doorhebben dat je op slinkse wijze beroofd bent. Het klinkt als een spannende film, maar werd realiteit voor het Noorse staatsfonds Norfund, dat er medio mei achter kwam slachtoffer te zijn van een grootschalige cyberaanval. Wat kunnen wij van deze hack leren?

Door Niels Huijpen. Hij is consultant bij adviesbureau Charco & Dique, en was toezichtspecialist bij de AFM en IT Auditor bij de Gemeente Amsterdam.

Hoe gingen de hackers te werk?

Norfund is een fonds dat de Noorse overheid helpt bij het ontwikkelen van duurzame oplossingen in ontwikkelingslanden door hen te voorzien van (micro)financieringen. Als 's werelds grootste staatsfonds is Norfund een mooie prooi voor cybercriminelen. Voor een opbrengst van maar liefst 10 miljoen dollar zijn cybercriminelen graag bereid om hun best te doen.

Na te hebben ingebroken op de mailserver van Norfund, hebben hackers maandenlang het mailverkeer tussen Norfund en haar partners bestudeerd en informatie verzameld. Op deze manier hebben ze zich verdiept in de processen van de vermogensbeheerder en geleerd hoe men werkt en zich gedraagt, tot aan de toon van de e-mailberichten toe. Het persbericht van 13 mei van Norfund zei hierover: "The defrauders manipulated and falsified information exchange between Norfund and the borrowing institution over time in a way that was realistic in structure, content and use of language. Documents and payment details were falsified."

Na het aanmaken van een eigen mailaccount bij Norfund, konden de cybercriminelen contact opnemen met een gegadigde voor een lening in Colombia. In de mail schreven zij dat de lening vertraagd was in verband met de coronacrisis. Norfund zelf ontving - via een nepmail, ook wel e-mail spoofing genoemd - berichten van de leningnemer uit Colombia, maar dan met valse informatie van de criminelen. Zo leek het voor Norfund alsof er niets aan de hand was, terwijl er ondertussen geld overgemaakt werd naar een Mexicaanse rekening beheerd door de cybercriminelen.

Hoewel de fraude plaatsvond op 16 maart werd deze pas op 30 april, bij een tweede fraude poging, ontdekt.

Mitigerende maatregelen

Ook u loopt als vermogensbeheerder het risico om slachtoffer te worden van cybercriminaliteit. Het is dan ook niet voor niets, dat de AFM financiële ondernemingen regelmatig oproept om extra aandacht te hebben voor beveiligingsrisico's.

Als ex-toezichthouder weet ikzelf dat organisaties het lastig vinden om een risicoanalyse concreet te maken. Mijn tip is om te blijven redeneren vanuit risico's naar duidelijke scenario's, zoals de hack in deze casus.

Enkele concrete maatregelen die u kunt treffen ter voorkoming van cybercriminaliteit:

  • Leid uw personeel op en informeer hen over de bedreigingen van 'Business Email Compromise' zoals in deze casus.
  • Beveilig e-mail accounts met 'two-factor authentication'.
  • Evalueer regelmatig de ingezette technologie, het beleid en procedures op mitigerende maatregelen.
  • Als u uw IT heeft uitbesteed is beveiliging niet vanzelfsprekend. Beoordeel daarom ook uw afspraken (en periodieke) rapportage op de aanwezigheid van specifieke mitigerende maatregelen.

Naast het feit dat de gevolgschade van cybercrime enorm kan zijn en u daarom wilt weten wat de mate van beheersing is binnen uw organisatie, hebben ook de toezichthouders verwachtingen van financiële ondernemingen wat betreft informatiebeveiliging. Zowel de AFM als DNB hebben documenten gepubliceerd met richtlijnen. Zo publiceerde de AFM eind 2019 de  'principes voor informatiebeveiliging' en werkt de DNB al jaren met haar Good Practice Informatiebeveiliging (pdf).

De blogs in deze serie: