Het cybersecuritypanel, verplicht bij elk groot fintech-evenement, geeuwt meestal. Het onderwerp zorgt meestal ook voor saaie berichtgeving. Dit komt omdat mensen niets interessants zeggen.
Ja, we horen over de nieuwste exploit die de krantenkoppen haalt, of horen het laatste miljardenbedrag dat dit de industrie kost. Maar zou je het eigenlijk niet liever hebben over AI of crypto, of over het nieuwste verhaal over financiële inclusie?
Want laten we eerlijk zijn, we hebben de enge waarschuwingen gehoord. We hebben naar dezelfde metronomische waarschuwingen geluisterd of de snikkende verhalen gehoord over de dame van de inkoop die op een onschuldig ogende e-maillink klikte. En we weten dat grote banken een biljoen dollar uitgeven aan iets dat ‘cyberbeveiliging’ of IT-infrastructuur of bedrijfsherstelsystemen wordt genoemd.
Het is de aard van het bedrijfsleven, zowel op het gebied van technologie als financiën, om naar deze dingen te gapen. Het zijn kosten. Niemand wil met deze onzin te maken krijgen. En hoewel de boodschap – ja, absoluut, heel belangrijk – belangrijk is, gaan de aandacht en de budgetten naar het najagen van ‘klantervaring’ en het ontmoeten van dopamine-gedreven onmiddellijke bevrediging. Dat is wat de aandacht trekt en geld oplevert.
Alarm slaan
Eindelijk heeft iemand een verslag gemaakt van wat er feitelijk aan de hand is op cybergebied, een verslag dat goed is onderzocht, zich ontvouwt als een actiefilm en werkelijk angstaanjagend is.
Dit is hoe ze me vertellen dat de wereld eindigt by New York Times verslaggever Nicole Perlroth is dat account. (Bloomsbury Publishing, Londen, 2021; het boek heette zojuist de Financial Times'businessboek van het jaar.)
Perlroth duikt in de wereld van zero-day exploits en de overheden, technologiebedrijven en schimmige makelaars die daarin handelen. Meestal praten ze ook niet met haar. (Haar verhalen over journalistieke vernedering, zoals de conferentie waar ze een dikke groene glowstick om haar nek moest dragen zodat iedereen wist dat ze giftig was, zijn voor haar zowel grappig als pijnlijk bekend. GravFin.)
Maar na verloop van tijd leert ze het ritme en zoekt ze uit wie er zal praten, en uiteindelijk komen mensen met informatie naar haar toe. Perlroth blijft gefrustreerd door de ondoorzichtigheid van het verkopen van de exploits van vitale technologie, maar ze heeft genoeg van het verhaal verzameld om een duidelijk en angstaanjagend argument te kunnen uiteenzetten.
Waardevolle exploits worden zero-days genoemd (vaak uitgesproken als ‘oh-days’, vertelt ze ons). Dit zijn bugs en kwetsbaarheden waarvan een technologieleverancier als Microsoft of Apple niet weet dat ze bestaan, en dus geen patch voor de code heeft ontwikkeld. Iedereen die over dergelijke informatie beschikt, bevindt zich al in het systeem en de leverancier heeft geen dagen om dit te repareren.
Sommige zero-days zijn niet substantieel en kunnen een laagwaardige hacker in staat stellen een website te beschadigen. Anderen kunnen vijandige regeringen de mogelijkheid bieden om ‘aan het metaal’ te schuilen, de fysieke microprocessors van een apparaat te doorgronden en gegevens te stelen of te monitoren. Een iOS-zero-day kan miljoenen dollars opleveren, maar er zijn niet alleen criminelen of Noord-Koreanen op de markt. De Amerikaanse National Security Agency, de Britse GCHQ en anderen zijn ook grote kopers.
Boemerang
De NSA heeft waarschijnlijk meer dan enig ander agentschap gedaan om deze markt te creëren. Het wil zero-day-hacks voor zichzelf houden, zodat het kan inbreken in Gmail en iPhones om te spioneren. De NSA ontwikkelde ook de meest geavanceerde zero-days ter wereld en was een tijdlang ongeëvenaard op het gebied van cyberwapens.
Tot de zomer van 2016, toen een nog onbekende groep genaamd de Shadow Brokers de code van de NSA stal en deze aan de wereld begon vrij te geven. Deze aanvallen van Chinese, Russische, Saoedische, Iraanse en criminele aard op banken, kerncentrales, mediabedrijven, ziekenhuizen – op alles.
De les voor financiën en technologie is dat hoe meer we digitaliseren, hoe groter de blootstelling aan hackers is.
De Verenigde Staten zijn het meest gedigitaliseerde land en daarom het meest kwetsbare. Haar eigen wapens worden nu tegen haar gebruikt. De Russen en anderen hebben het vermogen om het licht uit te doen, elektriciteitscentrales op te blazen, geheimen te stelen en informatie te vernietigen.
Vermoedelijk hebben de VS ook hun vijanden geïnfiltreerd. Perlroth vertelt hoe de NSA inbrak in Huawei. Amerikaanse klachten tegen het Chinese technologiebedrijf, hoe terecht ook, negeren dit feit vaak.
De VS hebben (voor zover wij weten) geen massale campagnes gevoerd om bedrijven te stelen. Perlroth beschrijft ook de poging van de VS tot interne controle en limieten, scrupules die rivaliserende staten niet vertonen. Maar er is hier geen verhaal van ‘goeden versus slechteriken’. Daar zijn we te ver voorbij.
Het oppervlak uitrekken
GravFin schrijft over de opkomst van de interneteconomie in Azië en de enorme kansen die dit betekent voor fintechs en voor de banken die flexibel genoeg zijn om op deze groei in te spelen. COVID en werken op afstand – alles verwijderen – versnelt dit.
Maar hoe meer Azië digitaliseert, hoe kwetsbaarder de bedrijven, overheden en individuen zijn voor cyberaanvallen.
Eén gebied waar ze niet op ingaat is blockchain, en of decentralisatie zinvolle bescherming biedt. Maar cryptonados moeten voorzichtig zijn. Het is waar dat een wijdverspreid netwerk zoals Bitcoin of Ethereum niet is gehackt. Maar het is bewezen dat het maar al te gemakkelijk is om crypto te stelen. Ransomware-aanvallers zijn daarentegen grote fans van bitcoin.
De les is groenblijvend. Het is onwaarschijnlijk dat elk bedrijf dat groei najaagt – het ‘beweeg snel en maak dingen kapot’-ethos van Silicon Valley – aandacht zal besteden aan de bescherming van de infrastructuur. Hetzelfde geldt voor de financiële dienstverlening, waar de bedrijfsvoering een kostenpost is.
De Big Tech-bedrijven in Silicon Valley waren hetzelfde, totdat aanvallen zoals Microsoft en Google dwongen zich sterk op beveiliging te concentreren. Microsoft, ooit een grapje, geniet nu het schoorvoetende respect van zero-day brokers.
Hoewel Perlroth ervan overtuigd is dat we op het punt staan The Big One te ervaren, de hack die de beschaving ten val brengt, suggereert ze niet dat mensen het zomaar opgeven.
Integendeel, ze eindigt met een zeer korte lijst van dingen die bedrijven en individuen kunnen doen: serieus bezig zijn met het ontwerpen van code die veilig is, ontwikkelaars op open-sourceplatforms belonen om bugs te identificeren, aandringen op meervoudige authenticatie voor elk apparaat of platformsoftware, en een aantal cruciale processen offline halen (zoals verkiezingen).
Het beste aan Perlroths boek is dat het zo verdomd leesbaar is. We zitten tegenwoordig niet veel meer in het vliegtuig, maar dit leest als een luchthavenroman. Voor iedereen die het nieuws volgt, zal een groot deel van haar verhaal bekend voorkomen, zoals de recente NotPetya-aanval die Maersk platlegde, naast vele andere organisaties. Perlroth brengt de punten in kaart.
