Het Openbaar Ministerie (OM), de politie, het Nationaal Cyber Security Centrum (NCSC), Cyberveilig Nederland en diverse private partijen* uit de cybersecuritysector hebben vandaag het convenant ‘Melissa’ ondertekend. Melissa is een samenwerkingsverband tussen deze publieke en private partijen om ransomwareaanvallen te bestrijden. Het gezamenlijke doel is om Nederland een onaantrekkelijk doelwit te maken voor ransomwarecriminelen.
Ransomware is gijzelsoftware waarmee cybercriminelen de gegevens van personen of organisaties versleutelen, zodat ze niet meer toegankelijk zijn. Ook wordt er vaak gevoelige informatie gestolen. Pas na betaling van losgeld (‘ransom’) krijgt men weer toegang tot de gegevens.
Eerste resultaten samenwerkingsverband
Het samenwerkingsverband houdt in dat de partijen op structurele basis informatie met elkaar uitwisselen en actuele ontwikkelingen frequenter delen en bespreken. In het convenant Melissa zijn de juridische, organisatorische en technische afspraken van dit samenwerkingsverband vastgelegd. De samenwerking is in 2021 al gestart en leidde eerder tot succesvolle operaties als Deadbolt, Genesis Market en recentelijk operatie Qakbot. Ook zijn er op tactisch gebied resultaten behaald zoals het maken en delen van statistieken over bijvoorbeeld ransomwareaanvallen, gepubliceerde whitepapers Exfiltratie v3.0 en Ransomware en best practices.
Ontwrichting maatschappij
Ontwrichting maatschappij
Kwetsbaarheid organisaties
Voorkomen is beter dan genezen
Om te voorkomen dat ransomwarecriminelen succesvol toeslaan is het noodzakelijk om systemen goed te beveiligen. Zo helpt het om naast detectie zoals netwerkmonitoring een goed anti-virusprogramma te installeren. Ook een goed rampenherstelplan en software up-to-date houden, kan vaak veel leed voorkomen of beperken. Op de website van het NCSC is onder meer informatie te vinden hoe je preventief kunt handelen en wat te doen om de gevolgen van een aanval te beperken. Wanneer personen of organisaties toch slachtoffer zijn geworden van ransomware is het altijd zinvol zo snel als mogelijk aangifte te doen bij de politie. Aangifte doen helpt om de geleden schade zoveel mogelijk te beperken, nieuwe slachtoffers te voorkomen en criminelen op te sporen. Hoe je aangifte doet en verder moet handelen is te vinden op de website politie.nl.
Uitbouwen samenwerkingsverband
Wenst u meer informatie over NFIR & project Melissa? Neem dan contact met ons op
Q&A’s ondertekening convenant ‘Melissa’
Wat is ransomware?
Ransomware is gijzelsoftware waarmee cybercriminelen de gegevens van personen of organisaties versleutelen, zodat ze niet meer toegankelijk zijn. Pas na betaling van losgeld (‘ransom’) krijg je weer toegang tot de gegevens. Ransomware aanvallen kunnen onze maatschappij ontwrichten: bedrijven worden platgelegd, ziekenhuizen kunnen geen zorg meer verlenen, belangrijke persoonsgegevens worden gestolen van gemeenten of andere organisaties. Deze gestolen gegevens worden verkocht of gebruikt voor andere vormen van (cyber)criminaliteit. Bovendien kan onze nationale veiligheid in gevaar komen als vitale systemen dreigen uit te vallen. Zo kunnen er dus vele mensen en organisaties slachtoffer worden en is de maatschappelijke impact van ransomware aanvallen enorm.
Waarom is een structurele samenwerking nodig?
Er is op dit moment nog te weinig zicht op de omvang van de dreiging van ransomware en andere vormen van cybercriminaliteit voor Nederland. Dit komt onder andere door het gebrek aan informatie(deling) en gezamenlijke analyse door de partijen die een rol vervullen bij het bestrijden van dit type cybercriminaliteit. Partijen hebben allemaal ‘stukjes van de puzzel’, maar deze worden onvoldoende bij elkaar gelegd. Dit staat effectieve bestrijding in de weg.
Er is een ketenbrede aanpak nodig, van preventie tot aan opsporing en vervolging. Via het samenwerkingsverband ‘Melissa’ willen we dit realiseren. We willen ransomware en andere gerelateerde vormen van cyberaanvallen effectiever en efficiënter te bestrijden, door de expertise van publieke en private organisaties samen te brengen. Hoe we dat doen? Door betere informatie te delen over dreigingen en incidenten, door beter samen te werken in het geval van incidenten en daarnaast doeltreffende handelingsperspectieven te bieden aan de maatschappij, welke we verkregen hebben uit gezamenlijke ervaringen.
Door relevante informatie met elkaar te delen, krijgen we als samenwerkende partijen een vollediger overzicht van de aanvalsketen, en de daarbij behorende operationele en tactische informatie. Hiermee kunnen we als keten optimaal onze publieke taak uitvoeren, het maatschappelijk belang dienen en schade voorkomen en beperken.
De Politie, het Openbaar Ministerie (OM), het Nationaal Cyber Security Center (NCSC), Cyberveilig Nederland (CVNL) en diverse private partijen uit de cybersecuritysector hebben het afgelopen anderhalf jaar hard gewerkt aan dit publiek-private samenwerkingsverband, genaamd ‘Melissa’. Cybersecuritybedrijven opereren in de frontlinie tegen criminelen en andere kwaadwillenden die grote schade toebrengen aan de Nederlandse belangen en economie. Door beter samen te werken en meer informatie met elkaar te delen kunnen we echt het verschil maken en Nederland een onaantrekkelijk doelwit maken voor cybercriminelen.
Waarom heet het samenwerkingsverband ‘Melissa’?
Wat houdt de samenwerking precies in?
Het doel van het samenwerkingsverband Melissa is om Nederland een onaantrekkelijk doelwit te maken voor de ransomware aanvalsketen. Om deze doelstelling te bereiken, gaan we:
- Structureel relevante (tactische en operationele) kennis en informatie delen, zodat aangesloten partijen een beter inzicht in de ransomware aanvalsketen krijgen. Daarmee kunnen we optimaal onze (publieke) taken uitvoeren, het maatschappelijk belang dienen en schade voorkomen en beperken;
- De (publiek-private) samenwerking verbeteren, door kennis en informatie te delen via onder meer door gestandaardiseerde overleggen en aangewezen communicatiekanalen; en;
- Handelingsperspectief bieden aan de maatschappij, door kennisproducten en informatiedocumenten te publiceren.
Binnen het samenwerkingsverband is zowel de juridische, organisatorische als de technische kennis vastgelegd, die nodig is om ransomware aanvallen tegen te gaan. Er worden verschillende unieke specialismen en ervaringen van de verschillende deelnemers gebundeld: advocaten, forensisch specialisten, rechercheurs, officieren van justitie, beleidsmedewerkers, incident responders zijn allemaal verenigd in Melissa.
De samenwerking is vastgelegd in een convenant, welke op 3 oktober 2023 op de ONE conference is ondertekend.
De samenwerking is al in 2022 gestart, wat is er nu precies nieuw?
Er werd al kennis uitgewisseld en gezamenlijk aan producten gewerkt (whitepapers) en ransomware statistieken verzameld en gedeeld. Ook aan de hand van bepaalde onderzoeken of informatie werd al nauw samengewerkt (Operatie Deadbolt en Qakbot), maar met de gemaakte afspraken in het convenant is er een wettelijke basis vastgelegd om structureel informatie met elkaar uit te wisselen. Dat moet er uiteindelijk voor zorgen dat ransomware incidenten voorkomen worden, de impact van een incident kleiner is en de verdachten sneller strafrechtelijke vervolgd kunnen worden.
Kunnen jullie voorbeelden geven van tactische en operationele informatie die wordt uitgewisseld?
De aangesloten partijen delen op structurele (maandelijkse) basis hun informatie over ransomware incidenten met het NCSC. Het gaat voornamelijk om operationele en tactische informatie. Denk hierbij bijvoorbeeld aan: systeemgegevens, zoals adressen van servers, hostingproviders, enzovoorts. Het NCSC verwerkt deze in een rapportage en deelt deze met alle bij Melissa aangesloten partijen.
Dit zijn gegevens die herleidbaar zijn tot een organisatie en niet (zonder meer) tot een natuurlijke persoon. Incidenteel zal de gedeelde informatie ook persoonsgegevens bevatten of herleidbaar kunnen zijn naar een natuurlijk persoon. Deze persoonsgegevens worden verwerkt in de eigen gegevensbestanden van de aangesloten partijen, gebaseerd op de op de partijen van toepassing zijnde wet- en regelgeving. Ook is er sprake van een geheimhoudingsplicht waar ieder bij Melissa aangesloten organisatie zich aan moet houden.
Hoe wordt de informatie gedeeld?
Informatie binnen project Melissa wordt op verschillende manieren gedeeld. De technische informatie wordt gedeeld:
- via een speciaal platform ‘MISP’, welke wordt gehost door Cyberveilig Nederland
- via een speciaal platform ‘Mattermost’ en een maandelijkse enquête via Securened, welke wordt gehost door het Nationaal Cyber Security Center (NCSC)
Daarnaast worden er maandelijks bijeenkomsten georganiseerd, waar de aangesloten partijen verschillende technische, beleidsmatige en juridische ontwikkelingen met elkaar bespreken.
Hoe verhogen jullie de risico’s en kosten voor cybercriminelen?
Dit doen we via verschillende projecten en acties, zoals:
- Kennisuitwisseling en –deling over lopende ransomware zaken via maandelijkse techsessies
- De samenwerking heeft al tot concrete acties geleid: operatie deadbolt en qakbot.
- Door de stukjes informatie bij elkaar te leggen krijgen we een beter zicht op het probleem van ransomware. Daardoor zijn we ook beter in staat om te voorkomen/te bestrijden.
Welke partijen nemen deel aan het samenwerkingsverband?
Het samenwerkingsverband bestaat uit verschillende partijen uit de publieke sector (Politie, Openbaar Ministerie en Nationaal Cyber Security Center) en uit de private sector (Cyberveilig Nederland en enkele van haar leden).
Publieke Partijen:
- de Politie,
- het Openbaar Ministerie (OM),
- het Nationaal Cyber Security Center (NCSC),
Private Partijen:
- Branchevereniging Cyberveilig Nederland (CVNL).
- En de volgende leden op alfabetische volgorde:
- Computest
- DataExpert
- Deloitte
- Fox-IT
- NFIR
- Northwave
- Kennedy en van der Laan
- Tesorion
- Trellix
- Responders
Wat is de looptijd van de samenwerking?
De samenwerking is gestart in 2022 en geformaliseerd op 3 oktober 2023. De looptijd is drie jaar, en deze kan telkens met één jaar verlengd worden.
Richten jullie je met Melissa ook op de bestrijding van ransomware-aanvallen op individuele burgers (particulieren)?
De samenwerking in Melissa is primair gericht op aanvallen op organisaties, of incidenten die de vitale infrastructuur van Nederland raken. Er zijn andere initiatieven voor burgers, waar overigens ook één of meerdere bij convenant Melissa betrokken partijen aan meedoen. Denk bijvoorbeeld aan NoMoreRansom en Alert Online. Uiteraard wordt de kennis en expertise van het project wel meegenomen in de bestrijding van ransomware op burgers.
Worden er persoonsgegevens verwerkt in Melissa?
Binnen het Samenwerkingsverband zullen tactische en operationele gegevens ten aanzien van cyber-aanvallen worden gedeeld. Dit zullen in de meeste gevallen feitelijke gegevens zijn, zoals gebruikte malware en legitieme software en IP-adressen van servers. Er is geen sprake van grootschalige verwerking van persoonsgegevens, maar het kan voorkomen dat de informatie die wordt gedeeld persoonsgegevens bevat. Denk bijvoorbeeld aan communicatie met een verdachte criminele groepering, of een cryptowallet die direct aan persoon verbonden is. De informatie die wordt gedeeld binnen deze samenwerking is op basis van gericht onderzoek en is binnen de wettelijke kaders verkregen.
Mag er informatie worden gedeeld tussen de aangesloten organisaties?
Ja. Het delen van informatie valt binnen de wettelijke kaders van de aangesloten organisaties. Dit ligt vast in:
- Artikel 3 van de Politiewet,
- Artikel 124 van de Wet op de Rechterlijke organisatie (Wet RO);
- Artikel [3] van de Wet beveiliging netwerk- en informatiesystemen (Wbni);
- Het gerechtvaardigd belang van de Private Partijen ingevolge artikel 6 lid 1 sub f AVG en artikel 89 AVG.
- De Wet beveiliging netwerk- en informatiesystemen (Wbni);
Gemeenten en politie worden ernstig belemmerd door de privacywet, was in dit artikel te lezen. Hoe past het samenwerkingsverband Melissa binnen de privacywet?
Er is een wettelijke basis voor de publieke organisaties om informatie met elkaar te delen. Ook is Cyberveilig Nederland aangewezen door het ministerie van Justitie en Veiligheid als schakelorganisaties (OKTT) vanuit de Wet Bescherming Netwerk en Infrastructuur (wbni).
Daarnaast beschikken private partijen zoals Data Expert, Deloitte, Fox-IT, NFIR, Northwave en Tesorion over een vergunning om informatie (en persoonsgegevens van strafrechtelijke aard) met elkaar te delen (op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus).
Responders.NU is op dit moment bezig een aanvraag op te starten om een dergelijke vergunning te verkrijgen. Voor Computest, Kennedy Van der Laan (advocatuur) en Trellix geldt dat zij niet over een dergelijke vergunning beschikken en naar de aard van hun werkzaamheden (op dit moment) ook niet voor een dergelijke vergunning in aanmerking komen. Zij hebben echter wel een geheimhoudingsverklaring (advocatuur) of hebben een bestendige samenwerking met één van de publieke partijen op het gebied van ransomware.
Wat heeft de samenwerking tot dusver al bereikt?
Kennis en kunde wordt met elkaar gedeeld en partijen weten elkaar snel te vinden. Er zijn ook enkele concrete producten en (opsporings) successen geboekt vanuit deze samenwerking:
- Er zijn twee whitepapers verschenen, waarmee kennis en expertise wordt gedeeld (en inzicht en handelingsperspectieven worden geboden):
- Er zijn door de politie en het OM verschillende successen geboekt in de opsporing en vervolging, in onder meer de onderzoeken:
- Er worden maandelijks informatie over ransomware aanvallen met elkaar gedeeld die worden verwerk in een statistiek.
- Er zijn verschillende werkmethodes en instructies aangescherpt, zoals een verbeterd aangifteproces
Hoe wordt de samenwerking geëvalueerd?
Ieder jaar wordt op bestuurlijk niveau de voortgang besproken, en doelstellingen geëvalueerd.
Waarom is dit deze samenwerking er nu pas? Ransomware is toch al veel langer een groot probleem?
Iedere organisatie – zowel publiek als privaat – was al bezig met het oplossen van de problematiek van ransomware, en werd er ook samengewerkt. Via het samenwerkingsverband ‘Melissa’ wordt nu op structurele basis deze informatie, kennis en expertise onderling uitgewisseld. Dat moet uiteindelijk er voor zorgen dat incidenten voorkomen worden, de impact van een incident verkleint en de verdachten sneller strafrechtelijke vervolgd kunnen worden.
Wordt of is dit een internationaal samenwerkingsverband?
Zowel het OM, de Politie als het NCSC werken al internationaal samen, en ook een aantal bij Melissa aangesloten private partijen werken al internationaal. Veel kennis en expertise die vanuit project Melissa wordt opgebouwd, zal dan ook gedeeld worden met deze internationale samenwerkingsverbanden.
Waarom richten jullie je met deze samenwerking alleen op ransomware en niet op andere cybercrimefenomenen?
Ransomware wordt door de Nederlandse overheid als een dusdanig groot probleem gezien, omdat dit tot maatschappelijke ontwrichting leidt, en risico’s kent voor onze nationale veiligheid. Ook de betrokken private partijen zien dat het gros van de cybersecurity incidenten die organisaties treft door ransomware komt.
Kan ik als private partij aansluiten bij het samenwerkingsverband?
Dat is op termijn mogelijk. Momenteel bestaat de samenwerking uit genoemde publieke organisaties en cybersecurity bedrijven die zijn aangesloten bij Cyberveilig Nederland. Het is zeker de bedoeling om het project te verbreden naar andere organisaties die actief informatie willen uitwisselen over ransomware.
Er zijn echter een aantal toetredingseisen opgesteld. Zo moeten de betrokken private partijen een in Nederland aanvaardbaar keurmerk en/of recherchevergunning hebben, of een wettelijk kader hebben voor geheimhouding (zoals advocaten).Ook private partijen welke een samenwerking hebben met het NCSC, de Politie of het OM op het gebied van het vergroten van de weerbaarheid of de opsporing en vervolging, kunnen worden toegelaten.
