“Ransomware was in zekere zin een zegen, omdat het verbeteringen in de cyberbeveiliging afdwong”: analyse van een leidinggevende van Amazon

Een nieuwe studie waarschuwde deze week dat de Latijns-Amerikaanse financiële sector nog steeds te kampen heeft met een specifiek type cyberaanval: ransomware . Dit is een kwaadaardig programma ( malware ) dat informatie versleutelt, zodat deze ontoegankelijk wordt voor de eigenaren, en vervolgens losgeld eist. Het is de afgelopen vijf jaar een bron van hoofdpijn geweest voor bedrijven, staten en instanties over de hele wereld.

Ransomware heeft een lange geschiedenis. Hoewel de oorsprong teruggaat tot eind jaren 80, is het pas de afgelopen tien jaar een cybercriminele business geworden. Het is zo wijdverbreid dat deze ransomwaregroepen leden hebben die zich toeleggen op het versleutelen van informatie, financiën en zelfs wat zij "technische ondersteuning" noemen: een chat waarin onderhandelingen worden geopend om, in het beste geval voor het slachtoffer, het gevraagde bedrag te verlagen. Ze hebben zelfs merken opgebouwd met bekende namen in de branche.

Hoewel er in 2024 verschillende grote operationele verstoringen waren, zoals de LockBit en BlackCat (ALPHV) -groepen, blijft het een actieve dreiging . Hoewel het minder in de media is verschenen, zijn er in 2025 al verschillende gevallen geweest, waarvan sommige op sociale media circuleerden en andere in het nieuws kwamen.

Maar net als elke crisis bood ransomware ook een kans: “In sommige opzichten was ransomware een zegen , omdat het gebruikers dwong om betere cyberhygiëne in acht te nemen.”

Dit is Mark Ryland , leider van een team van cloudbeveiligingsexperts bij Amazon Web Services (AWS), de cloudcomputingdivisie van Amazon . Hij fungeert als plaatsvervanger van de 'CISO', een functie die grote bedrijven en overheden steeds vaker overwegen voor hun bedrijfsvoering: Chief Information Security Officer, de persoon die reageert op een cyberbeveiligingsincident, maar ook verantwoordelijk is voor het ontwerpen van toegangsbeleid, accountbeheer en de procedures die uiteindelijk bijdragen aan de beveiliging van een bedrijf.

En juist die kaart maakt het verschil als het gaat om een ​​aanval of om de vraag hoe je erop moet reageren: weten welke maatregelen je moet nemen om ransomware te voorkomen, duidelijk zijn dat je voorbereid moet zijn als het toch gebeurt en een 'security by design'-beleid hanteren, zoals ervoor zorgen dat een systeem niet toestaat dat het wachtwoord '1234' wordt gekozen.

Ryland sprak hierover met Clarín tijdens re:Inforce , het op cybersecurity gerichte evenement van AWS in Philadelphia, VS, om uit te leggen wat de huidige trends op het gebied van cyberaanvallen zijn.

─Hoe blijf je op de hoogte van de technologische vooruitgang en de snelheid waarmee deze plaatsvindt?

─Ik denk dat als je een natuurlijke nieuwsgierigheid hebt, je gemotiveerd wordt om te proberen beter te begrijpen wat er aan de hand is. Een groot deel van mijn werk bestaat uit het praten met niet-technische doelgroepen over technologie, dus ik moet op de hoogte blijven van de nieuwe tools die worden gebruikt, zodat ik me op mijn gemak voel bij het samenvatten of vereenvoudigen van ideeën. En ik zeg dit omdat er vereenvoudigingen zijn die misleidend zijn en andere die goed zijn. Het is ook een beetje een kunst.

─Worden trends, zoals kunstmatige intelligentie, tegenwoordig niet ook overdreven gehypet?

─ De hypecyclus van Gartner is altijd een factor om rekening mee te houden wanneer een nieuwe technologie op de markt komt. Ik ben nogal sceptisch over elke technologie die wordt verkocht als de oplossing voor al onze problemen. Sterker nog, ik dwaal af, maar ik was sceptisch over blockchain . Ik had nooit gedacht dat het alles zou oplossen wat ze beloofden, zoals het volgen van de verzending van goederen van de ene kant van het land naar de andere.

─Eigenlijk wel, want we hadden al databases die daar heel goed voor werkten. Blockchain was totaal niet wat het beloofde . Het is goed voor cryptovaluta, digitale valuta, maar niet veel meer. Bijna alle toepassingen daarbuiten waren onzin, en ik herinner me dat IBM, Accenture en Gartner allemaal over blockchain praatten en consultancyprojecten aan bedrijven verkochten om blockchain te gebruiken voor dingen die ze met een gewone database ook hadden kunnen doen.

─ Ransomware is de afgelopen jaren het belangrijkste onderwerp geweest in de cybersecuritybranche. Wat is de huidige status?

─Rapporten geven aan dat de trend niet meer groeit, maar het is zeker nog niet af . Het algemene gevoel – en de cijfers – geven aan dat het in ieder geval niet toeneemt.

─Wat heeft ransomware de industrie volgens jou geleerd?

─Ik ga iets controversieels zeggen. In zekere zin was ransomware een zegen, omdat het gebruikers dwong tot betere cyberhygiëne . Het onderliggende probleem is dat we in werkelijkheid jarenlang met systemen werkten die gemakkelijk te hacken waren; het verschil is dat er vroeger geen cybercriminaliteitsindustrie was om er geld mee te verdienen. Een aanvaller kon binnendringen, maar waarom zouden ze dat doen als er geen manier was om er geld mee te verdienen?

─Maar denk je dat er iets is veranderd sinds de ransomware?

─Nou, ik denk dat het een vreselijke overgangsrite was, een tol die de industrie moest betalen . Het was pijnlijk om te doorstaan, maar ik denk dat bedrijven over het algemeen sterker zijn geworden in het verbeteren van de basisprincipes, door te werken aan onderwijs met interne phishingtests, hun perimeters en firewalls te versterken en betere back-ups te maken. Steeds meer bedrijven en overheidsinstanties werden zich bewust van het probleem en begonnen bijvoorbeeld de toegang van gebruikers te beperken, zodat ze geen toestemming hadden om een ​​back-up te verwijderen, zelfs de meest bevoorrechte beheerders niet.

─Paradoxaal genoeg had het een positief effect op de industrie.

─En ik denk dat er meer bewustzijn is. Bedrijfsleiders begonnen ook te begrijpen dat cybersecurity geen optie is. CEO's en senior managers begonnen zich af te vragen: "Wat doen we met ransomware?" Bedrijven waren nooit goed in het patchen van systemen (updaten) en het trainen van gebruikers. En na de ransomware-gevallen begonnen de zaken te verbeteren. Ik geef toe dat het vreemd was, maar de crises die ransomware veroorzaakte, creëerden ook kansen om werkwijzen en systemen te verbeteren.

─ Twee jaar geleden bespraken we hoe aanvallers de AWS-infrastructuur gebruiken om phishingcampagnes te hosten. Hoe is dit probleem ontstaan ​​en heb je het kunnen oplossen?

─Nou, dat is nog steeds een probleem, maar we zijn beter geworden in het detecteren en blokkeren van die accounts. Daar komen AI en machine learning om de hoek kijken, die ons helpen om beter onderscheid te maken tussen legitieme en kwaadaardige campagnes. Het gevaar ligt altijd op de loer: ik kan een fietsenwinkel hebben en mijn klanten e-mailen over het laatste nieuws, maar er is altijd de mogelijkheid dat mijn account wordt gehackt en mijn platform wordt misbruikt om spam te versturen.

─De industrie propageert een filosofie van "veilig ontwerp". Wat houdt dat in?

─In de huidige omgeving is het gebruik van technologie die al ingebouwde beveiligingsstandaarden heeft, idealiter de beste optie. Zie het zo: als ik een startup ben die bijvoorbeeld een slimme broodrooster maakt, wil of kan ik waarschijnlijk niet zwaar investeren in cybersecurity. Maar als een leverancier me een oplossing biedt die al veilig is, gebruik ik die. Ik kan het zelfs op de markt brengen: "automatische updates", "sterke wachtwoorden", enzovoort. Dit verhoogt de algehele beveiliging; daar verwijst 'veilig door ontwerp' naar. Door die mentaliteit aan te nemen, blijf je altijd een stap voor in een ecosysteem dat met de dag verandert.

─Je zei eerder dat je sceptisch was over de toepassingen en reikwijdte van blockchain. Is jou iets soortgelijks overkomen met AI?

─In eerste instantie leek het me inderdaad alsof er veel sprake was van een "rebranding" van iets wat we al kenden. Het is absoluut een technologie die iets nieuws brengt, en we zien nu pas de toepassingen ervan; het is niet hetzelfde als de blockchain waar ik het over had. Maar ik moet wel onderscheid maken tussen wat nuttig is en wat niet. Deze week heb ik overheidsregulatoren in Washington gesproken, en ik zeg ze altijd dat ze hun verwachtingen van AI wat moeten bijstellen. Het zal zeker een grote impact hebben op onze banen , maar ik denk dat mensen nog steeds hun gezonde verstand moeten gebruiken om te bepalen of een uitkomst nuttig is of niet.

─Nou, laten we een voorbeeld nemen. Als ik een AI vraag om een ​​marketingvoorstel voor me te schrijven, maar ik heb nog nooit in die branche gewerkt, dan is de kans klein dat ik iets nuttigs zal vinden in wat de AI me kan bieden. Als ik niet kan beoordelen waar het nuttig voor is, dan raken we misschien wel experts tekort die kunnen beoordelen of iets nuttig is of niet. Er schuilt een risico in het gebruik ervan.

─Stephen Schmidt, Chief Security Officer van Amazon, zei vorige week op een andere conferentie dat cybercriminelen AI gebruiken om hun aanvallen te verbeteren. "Er zijn geen bots die elkaar aanvallen," zei hij . Klopt dat?

─ Het is een goede samenvatting van de situatie, ja. Ik zou eraan toe willen voegen dat degenen die systemen verdedigen er ook gebruik van maken om te programmeren, hun code te reviewen, penetratietests van systemen uit te voeren en de responstijden te verbeteren. AI is ook erg nuttig voor het sorteren van informatie die je al hebt, dus het helpt je patronen of aanvalsvormen te detecteren die je misschien niet had opgemerkt. AI is goed in het vastleggen van semantiek , daarom is het niet alleen erg goed in het helpen van aanvallers, maar ook van degenen die systemen verdedigen. Als het goed wordt gebruikt, is het een zeer krachtig hulpmiddel.

─Is AI geschikt voor malware- (virus-)analyse?

─Zolang het door een expert wordt gebruikt, ja . Dat is het antwoord. Onze teams gebruiken het om vergelijkbare malwarefamilies te analyseren; het helpt overeenkomsten en verschillen te begrijpen. En eerlijk gezegd, ze behalen goede resultaten.

─De trend is nu om te praten over ' agenten ' in de industrie, dat wil zeggen AI die, naast analyseren, 'beslissingen neemt'. Welke rol speelt cybersecurity in deze discussie?

─Dat is de volgende stap in het gebruik van AI bij dreigingsanalyse: actie ondernemen. Als ik een AI programmeer om te analyseren, kan ik hem vervolgens vragen een bug (fout in het systeem) te verhelpen.

─Het is in uitvoering. Een concreet voorbeeld is een wedstrijd die wordt georganiseerd door DARPA, de Amerikaanse Defense Advanced Research Projects Agency. Ze promoten een wedstrijd die officieel wordt aangekondigd op Black Hat , met belangrijke prijzen (de eerste plaats wint bijvoorbeeld een half miljoen dollar). Het doel is om een ​​systeem te ontwikkelen dat open-sourceprojecten kan analyseren, kwetsbaarheden kan detecteren en deze automatisch kan corrigeren. Het interessante is dat DARPA, zodra de teams hun systeem hebben ingediend, het test met andere projecten dan die welke tijdens de training zijn gebruikt om de mogelijkheden ervan te evalueren.

─Het is dus geschikt voor zware werklasten.

─Zeker, bijvoorbeeld om vervelende taken te plannen, automatisch te laten updaten, etc. Het bespaart tijd.

─Welke negatieve of problematische kant ziet u in deze ontwikkelingen op het gebied van kunstmatige intelligentie?

─Er zit een keerzijde aan, daar bestaat geen twijfel over. Phishing-aanvallen worden bijvoorbeeld steeds geavanceerder . Een van de fenomenen die me het meest opvalt, is wat " varkensslachting " wordt genoemd: langdurige oplichting waarbij aanvallers zich voordoen als een betrouwbaar iemand om toegang te krijgen tot geld of informatie. Deze vorm van misleiding groeit in een alarmerend tempo en wordt natuurlijk aangestuurd door AI-tools. Veel van deze actoren opereren vanuit landen zoals Maleisië of de Filipijnen, in bijna-slavernijomstandigheden, en dankzij AI kunnen ze perfect in het Engels communiceren, zelfs nepstemmen simuleren en reproduceren.

─Stemklonen en deepfakes zijn problemen waar geen oplossing voor lijkt te zijn.

─Ja, zonder twijfel is het tegenwoordig al mogelijk om een ​​voicemailbericht te ontvangen dat precies klinkt als dat van je baas, met de vraag om geld over te maken of toegang te krijgen tot bepaalde systemen. En als je niet getraind bent om dit allemaal te vermoeden , kun je gemakkelijk in deze oplichterij trappen. Daarom is het essentieel dat gebruikers een veel geavanceerdere training krijgen.

─Ik denk dat het niet genoeg is om te zeggen: "Klik niet op verdachte links." We hebben simulatietraining nodig, desnoods zelfs in virtual reality, zodat mensen weten dat ze elk verzoek dat de status van een systeem wijzigt of geld overmaakt, altijd via een ander kanaal moeten bevestigen.

─Welk advies zou u de gemiddelde gebruiker geven om de basisprincipes van cybersecurityhygiëne in acht te nemen?

─ Zelfs als je een bericht ontvangt van iemand die precies lijkt op iemand die je kent – ​​of het nu een collega, je baas of je moeder is – denk dan altijd twee keer na en controleer ergens anders voordat je actie onderneemt: voordat je op 'Accepteren' klikt, voordat je een link opent, of zelfs voordat je een nieuwe ontvanger aan je adresboek toevoegt en op 'Verzenden' klikt. Aarzel nooit.