Bij de eerste DDoS-aanval in 2016 was het bedrijf nog niet goed voorbereid op een dergelijke aanval, erkent Rick Sulman, directeur van Speakup. Dat was een leermoment voor het bedrijf. Speakup heeft vervolgens maatregelen genomen om ervoor te zorgen dat als er een DDoS-aanval plaatsvindt, de dienstverlening er zo min mogelijk last van heeft.
Het bedrijf werd eind 2019 opnieuw getroffen door een DDoS-aanval. Gelukkig verliep het toen veel beter. “We hebben een aantal maatregelen genomen waardoor we er de laatste keer minimaal last van hadden.”
‘Onze dienst is van groter belang dan bijvoorbeeld een krantensite’
Dankzij die maatregelen kon Speakup vorig jaar veel sneller reageren op de cyberaanval. “Het eerste is dat je er zeker van moet zijn dat je een DDoS-aanval snel kunt detecteren. Er moet dus eerst vastgesteld worden dat het om een DDoS gaat.” Dat doet Speakup onder meer met behulp van een extern bedrijf. Het netwerk wordt continu gemonitord en 24-uur per dag kan er bij calamiteiten worden ingegrepen.
Daarna is het belangrijk om zo snel mogelijk maatregelen te nemen om ervoor te zorgen dat de impact van de aanval beperkt wordt. Speakup maakt daarvoor gebruik van de Nationale DDoS Wasstraat (NaWas). NaWas is een initiatief van de stichting Nationale Beheersorganisatie Internet Providers (NBIP). “De DDoS-aanval op zich kunnen wij niet stoppen, maar de aanval wordt zo snel mogelijk omgeleid”, vertelt Sulman. “Zie het als een overvolle snelweg, waarvan we alle auto’s verplicht laten omrijden langs een controlepost van de politie. Alleen legitiem mag doorrijden. Daardoor hebben wij en onze klanten geen last meer van de aanval.” Dit gebeurt dus in samenwerking met de NBIP.
Vandalisme
Die goede voorbereiding op mogelijke DDoS-aanvallen is hard nodig. Uit cijfers van zowel Cisco als de NBIP blijkt dat DDoS-aanvallen steeds vaker voorkomen en steeds groter in omvang worden. De gemiddelde omvang van een DDoS-aanval is 1 Gbps. Maar er zijn ook uitschieters naar aanvallen van 400 Gbps. Volgens Sulman is een DDoS-aanval een vrij simpele aanval omdat de aanvallen eenvoudig via internet besteld kunnen worden. “De aanvaller kan slecht beschermde IoT-apparaten gebruiken of slecht geconfigureerde servers op internet, waardoor de aanval heel sterk is en uit veel kanten komt”, vertelt Nick Bouwhuis, NOC-medewerker bij Speakup. “Het is moeilijk om de bron van de aanval te achterhalen.”
Een DDoS-aanval is een vorm van vandalisme in het kwadraat
Bedrijfsrisico
Waar de aanval vandaan komt en welke intentie het heeft, is vaak moeilijk te achterhalen. “Je weet nooit zeker wat het motief is van de aanvaller. Dat kan gewoon kattenkwaad zijn, maar ook iemand die er doelgericht op uit is om je dienstverlening onderuit te halen”, aldus Bouwhuis. “DDoS-aanvallen zijn voor ons een behoorlijk bedrijfsrisico”, zegt Sulman. Hij geeft daar ook een voorbeeld van: “Als je een telefoongesprek voert dat plotseling wordt onderbroken of als een huisartsenpost tijdelijk telefonisch niet bereikbaar is door een DDoS-aanval dan is dat veel ernstiger dan als een website even niet te bezoeken is. In dat opzicht is onze dienst van groter belang dan bijvoorbeeld de website van een krant.”
Het probleem met DDoS-aanvallen is dat je niet weet hoe lang ze duren, zegt Sulman. “Als het even is, kom je daar wel overheen. Maar als de aanvaller merkt dat onze dienstverlening onderuit gaat door de aanval dan gaat hij natuurlijk door.” Als de aanval wordt omgeleid en hij merkt dat er geen impact is, dan zal hij er ook mee stoppen, denkt Sulman. Overigens heeft Speakup na beide DDoS-aanvallen aangifte gedaan bij de politie. “Ik heb het idee dat de aangifte nu alleen maar wordt gebruikt om een optelsom te maken van hoeveel cyberaanvallen er zijn geweest, want er gebeurt verder niets mee.“ Het goede nieuws is wel dat aangifte doen makkelijker wordt gemaakt. Binnenkort kan er online aangifte van cybercriminaliteit worden gedaan.
[Dit artikel is eerder gepubliceerd in ChannelConnect magazine 2-2020]