Melissa: een samenwerkingsverband ransomwarebestrijding

Ransomware is gijzelsoftware waarmee cybercriminelen de gegevens van personen of organisaties versleutelen, zodat ze niet meer toegankelijk zijn. Pas na betaling van losgeld (‘ransom’) krijg je weer toegang tot de gegevens. Ransomware aanvallen kunnen onze maatschappij ontwrichten: bedrijven worden platgelegd, ziekenhuizen kunnen geen zorg meer verlenen, belangrijke persoonsgegevens worden gestolen van gemeenten of andere organisaties. Deze gestolen gegevens worden verkocht of gebruikt voor andere vormen van (cyber)criminaliteit. Bovendien kan onze nationale veiligheid in gevaar komen als vitale systemen dreigen uit te vallen. Zo kunnen er dus vele mensen en organisaties slachtoffer worden en is de maatschappelijke impact van ransomware aanvallen enorm.

Er is op dit moment nog te weinig zicht op de omvang van de dreiging van ransomware en andere vormen van cybercriminaliteit voor Nederland. Dit komt onder andere door het gebrek aan informatie(deling) en gezamenlijke analyse door de partijen die een rol vervullen bij het bestrijden van dit type cybercriminaliteit. Partijen hebben allemaal ‘stukjes van de puzzel’, maar deze worden onvoldoende bij elkaar gelegd. Dit staat effectieve bestrijding in de weg.

Er is een ketenbrede aanpak nodig, van preventie tot aan opsporing en vervolging. Via het samenwerkingsverband ‘Melissa’ willen we dit realiseren. We willen ransomware en andere gerelateerde vormen van cyberaanvallen effectiever en efficiënter te bestrijden, door de expertise van publieke en private organisaties samen te brengen. Hoe we dat doen? Door betere informatie te delen over dreigingen en incidenten, door beter samen te werken in het geval van incidenten en daarnaast doeltreffende handelingsperspectieven te bieden aan de maatschappij, welke we verkregen hebben uit gezamenlijke ervaringen.

Door relevante informatie met elkaar te delen, krijgen we als samenwerkende partijen een vollediger overzicht van de aanvalsketen, en de daarbij behorende operationele en tactische informatie. Hiermee kunnen we als keten optimaal onze publieke taak uitvoeren, het maatschappelijk belang dienen en schade voorkomen en beperken.

De Politie, het Openbaar Ministerie (OM), het Nationaal Cyber Security Center (NCSC), Cyberveilig Nederland (CVNL) en diverse private partijen uit de cybersecuritysector hebben het afgelopen anderhalf jaar hard gewerkt aan dit publiek-private samenwerkingsverband, genaamd ‘Melissa’. Cybersecuritybedrijven opereren in de frontlinie tegen criminelen en andere kwaadwillenden die grote schade toebrengen aan de Nederlandse belangen en economie. Door beter samen te werken en meer informatie met elkaar te delen kunnen we echt het verschil maken en Nederland een onaantrekkelijk doelwit maken voor cybercriminelen.

Het doel van het samenwerkingsverband Melissa is om Nederland een onaantrekkelijk doelwit te maken voor de ransomware aanvalsketen. Om deze doelstelling te bereiken, gaan we:

• Structureel relevante (tactische en operationele) kennis en informatie delen, zodat aangesloten partijen een beter inzicht in de ransomware aanvalsketen krijgen. Daarmee kunnen we optimaal onze (publieke) taken uitvoeren, het maatschappelijk belang dienen en schade voorkomen en beperken;
• De (publiek-private) samenwerking verbeteren, door kennis en informatie te delen via onder meer door gestandaardiseerde overleggen en aangewezen communicatiekanalen; en;
• Handelingsperspectief bieden aan de maatschappij, door kennisproducten en informatiedocumenten te publiceren.

Binnen het samenwerkingsverband is zowel de juridische, organisatorische als de technische kennis vastgelegd, die nodig is om ransomware aanvallen tegen te gaan. Er worden verschillende unieke specialismen en ervaringen van de verschillende deelnemers gebundeld: advocaten, forensisch specialisten, rechercheurs, officieren van justitie, beleidsmedewerkers, incident responders zijn allemaal verenigd in Melissa.

De samenwerking is vastgelegd in een convenant, welke op 3 oktober 2023 op de ONE conference is ondertekend.

Er werd al kennis uitgewisseld en gezamenlijk aan producten gewerkt (whitepapers) en ransomware statistieken verzameld en gedeeld. Ook aan de hand van bepaalde onderzoeken of informatie werd al nauw samengewerkt (Operatie Deadbolt en Qakbot), maar met de gemaakte afspraken in het convenant is er een wettelijke basis vastgelegd om structureel informatie met elkaar uit te wisselen. Dat moet er uiteindelijk voor zorgen dat ransomware incidenten voorkomen worden, de impact van een incident kleiner is en de verdachten sneller strafrechtelijke vervolgd kunnen worden.

De aangesloten partijen delen op structurele (maandelijkse) basis hun informatie over ransomware incidenten met het NCSC. Het gaat voornamelijk om operationele en tactische informatie. Denk hierbij bijvoorbeeld aan: systeemgegevens, zoals adressen van servers, hostingproviders, enzovoorts. Het NCSC verwerkt deze in een rapportage en deelt deze met alle bij Melissa aangesloten partijen.

Dit zijn gegevens die herleidbaar zijn tot een organisatie en niet (zonder meer) tot een natuurlijke persoon. Incidenteel zal de gedeelde informatie ook persoonsgegevens bevatten of herleidbaar kunnen zijn naar een natuurlijk persoon. Deze persoonsgegevens worden verwerkt in de eigen gegevensbestanden van de aangesloten partijen, gebaseerd op de op de partijen van toepassing zijnde wet- en regelgeving. Ook is er sprake van een geheimhoudingsplicht waar ieder bij Melissa aangesloten organisatie zich aan moet houden.

Informatie binnen project Melissa wordt op verschillende manieren gedeeld. De technische informatie wordt gedeeld:

• via een speciaal platform ‘MISP’, welke wordt gehost door Cyberveilig Nederland
• via een speciaal platform ‘Mattermost’ en een maandelijkse enquête via Securened, welke wordt gehost door het Nationaal Cyber Security Center (NCSC)

Daarnaast worden er maandelijks bijeenkomsten georganiseerd, waar de aangesloten partijen verschillende technische, beleidsmatige en juridische ontwikkelingen met elkaar bespreken.

Dit doen we via verschillende projecten en acties, zoals:

• Kennisuitwisseling en –deling over lopende ransomware zaken via maandelijkse techsessies
• De samenwerking heeft al tot concrete acties geleid: operatie deadbolt en qakbot.
• Door de stukjes informatie bij elkaar te leggen krijgen we een beter zicht op het probleem van ransomware. Daardoor zijn we ook beter in staat om te voorkomen/te bestrijden.

Het samenwerkingsverband bestaat uit verschillende partijen uit de publieke sector (Politie, Openbaar Ministerie en Nationaal Cyber Security Center) en uit de private sector (Cyberveilig Nederland en enkele van haar leden).

Publieke Partijen:

• de Politie,
• het Openbaar Ministerie (OM),
• het Nationaal Cyber Security Center (NCSC),

Private Partijen:

• Branchevereniging Cyberveilig Nederland (CVNL).
• En de volgende leden op alfabetische volgorde:
  • Computest
  • DataExpert
  • Deloitte
  • Fox-IT
  • NFIR
  • Northwave
  • Kennedy en van der Laan
  • Tesorion
  • Trellix
  • Responders

De samenwerking is gestart in 2022 en geformaliseerd op 3 oktober 2023. De looptijd is drie jaar, en deze kan telkens met één jaar verlengd worden.

De samenwerking in Melissa is primair gericht op aanvallen op organisaties, of incidenten die de vitale infrastructuur van Nederland raken. Er zijn andere initiatieven voor burgers, waar overigens ook één of meerdere bij convenant Melissa betrokken partijen aan meedoen. Denk bijvoorbeeld aan NoMoreRansom en Alert Online. Uiteraard wordt de kennis en expertise van het project wel meegenomen in de bestrijding van ransomware op burgers.

Binnen het Samenwerkingsverband zullen tactische en operationele gegevens ten aanzien van cyber-aanvallen worden gedeeld. Dit zullen in de meeste gevallen feitelijke gegevens zijn, zoals gebruikte malware en legitieme software en IP-adressen van servers. Er is geen sprake van grootschalige verwerking van persoonsgegevens, maar het kan voorkomen dat de informatie die wordt gedeeld persoonsgegevens bevat. Denk bijvoorbeeld aan communicatie met een verdachte criminele groepering, of een cryptowallet die direct aan persoon verbonden is. De informatie die wordt gedeeld binnen deze samenwerking is op basis van gericht onderzoek en is binnen de wettelijke kaders verkregen.

Ja. Het delen van informatie valt binnen de wettelijke kaders van de aangesloten organisaties. Dit ligt vast in:

• Artikel 3 van de Politiewet,
• Artikel 124 van de Wet op de Rechterlijke organisatie (Wet RO);
• Artikel [3] van de Wet beveiliging netwerk- en informatiesystemen (Wbni);
• Het gerechtvaardigd belang van de Private Partijen ingevolge artikel 6 lid 1 sub f AVG en artikel 89 AVG.
• De Wet beveiliging netwerk- en informatiesystemen (Wbni);

Er is een wettelijke basis voor de publieke organisaties om informatie met elkaar te delen. Ook is Cyberveilig Nederland aangewezen door het ministerie van Justitie en Veiligheid als schakelorganisaties (OKTT) vanuit de Wet Bescherming Netwerk en Infrastructuur (wbni).

Daarnaast beschikken private partijen zoals Data Expert, Deloitte, Fox-IT, NFIR, Northwave en Tesorion over een vergunning om informatie (en persoonsgegevens van strafrechtelijke aard) met elkaar te delen (op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus).

Responders.NU is op dit moment bezig een aanvraag op te starten om een dergelijke vergunning te verkrijgen. Voor Computest, Kennedy Van der Laan (advocatuur) en Trellix geldt dat zij niet over een dergelijke vergunning beschikken en naar de aard van hun werkzaamheden (op dit moment) ook niet voor een dergelijke vergunning in aanmerking komen. Zij hebben echter wel een geheimhoudingsverklaring (advocatuur) of hebben een bestendige samenwerking met één van de publieke partijen op het gebied van ransomware.

Kennis en kunde wordt met elkaar gedeeld en partijen weten elkaar snel te vinden. Er zijn ook enkele concrete producten en (opsporings) successen geboekt vanuit deze samenwerking:

• Er zijn twee whitepapers verschenen, waarmee kennis en expertise wordt gedeeld (en inzicht en handelingsperspectieven worden geboden):
  • Whitepapers ransomware
  • Whitepaper data-exfiltratie
• Er zijn door de politie en het OM verschillende successen geboekt in de opsporing en vervolging, in onder meer de onderzoeken:
  • Deadbolt
  • Genesis Market
  • Quakbot
• Er worden maandelijks informatie over ransomware aanvallen met elkaar gedeeld die worden verwerk in een statistiek.
• Er zijn verschillende werkmethodes en instructies aangescherpt, zoals een verbeterd aangifteproces

Ieder jaar wordt op bestuurlijk niveau de voortgang besproken, en doelstellingen geëvalueerd.

Iedere organisatie – zowel publiek als privaat – was al bezig met het oplossen van de problematiek van ransomware, en werd er ook samengewerkt. Via het samenwerkingsverband ‘Melissa’ wordt nu op structurele basis deze informatie, kennis en expertise onderling uitgewisseld. Dat moet uiteindelijk er voor zorgen dat incidenten voorkomen worden, de impact van een incident verkleint en de verdachten sneller strafrechtelijke vervolgd kunnen worden.

Zowel het OM, de Politie als het NCSC werken al internationaal samen, en ook een aantal bij Melissa aangesloten private partijen werken al internationaal. Veel kennis en expertise die vanuit project Melissa wordt opgebouwd, zal dan ook gedeeld worden met deze internationale samenwerkingsverbanden.

Ransomware wordt door de Nederlandse overheid als een dusdanig groot probleem gezien, omdat dit tot maatschappelijke ontwrichting leidt, en risico’s kent voor onze nationale veiligheid. Ook de betrokken private partijen zien dat het gros van de cybersecurity incidenten die organisaties treft door ransomware komt.

Dat is op termijn mogelijk. Momenteel bestaat de samenwerking uit genoemde publieke organisaties en cybersecurity bedrijven die zijn aangesloten bij Cyberveilig Nederland. Het is zeker de bedoeling om het project te verbreden naar andere organisaties die actief informatie willen uitwisselen over ransomware.
Er zijn echter een aantal toetredingseisen opgesteld. Zo moeten de betrokken private partijen een in Nederland aanvaardbaar keurmerk en/of recherchevergunning hebben, of een wettelijk kader hebben voor geheimhouding (zoals advocaten).Ook private partijen welke een samenwerking hebben met het NCSC, de Politie of het OM op het gebied van het vergroten van de weerbaarheid of de opsporing en vervolging, kunnen worden toegelaten.