En karriär inom cybersäkerhet var förmodligen det sista som John Fokker tänkte på när han rusade över Indiska oceanen med sina andra marinister mot ett skepp besatt av pirater. Men som det visar sig finns det ett överraskande antal likheter mellan de två disciplinerna.
Nu chef för cyberutredningar på säkerhetsföretaget McAfee, striden Fokker befinner sig i idag är mer virtuell än fysisk, men höga insatser ändå.
I en värld där cyberbrott är alltmer lukrativt och alltmer sofistikerat, är nu angripare och försvarare engagerade i evig konflikt, var och en försöker överlista och övermanövra den andra.
Medan han erkänner att hans väg till cybersäkerhet var en atypisk väg, berättade Fokker för TechRadar Pro att hans erfarenhet av militären faktiskt gav honom den perfekta jordning.
”När du tar bort alla tekniska element är ransomware väldigt mycket som en gisslingsförhandlingssituation. Speciellt när man tittar på det känslomässiga tillståndet hos hotaktörer och offer, sade han.
”Ransomware är en av få cyberattacker där du som offret interagerar med cyberbrottslingen. Ur psykologisk synvinkel är det väldigt intressant; alla vill ha något från någon annan. ”
En unik jordning
Ett jobb med Royal Dutch Marine Corps var för Fokker en motgift mot det trassla på kontorsjobbet som han tillträdde efter examen med datavetenskap. Det handlade inte nödvändigtvis om striden, mer om att göra något annorlunda.
Han tillbringade åtta år som marin totalt, varav de senaste fem med Special Operations Branch som arbetar med terrorism, motverkan och gisslan, som tog honom över hela världen.
I norra Afghanistan, där han var stationerad en tid, fick Fokker i uppdrag att återuppbygga provinsen, vilket innebar att man hjälpte lokala civila med att bygga infrastruktur som skolor och vattengropar och hålla ingenjörerna säkra i processen.
Vid en annan utstationering i Somalia var han en del av ett team baserat på ett marinfartyg, vars uppgift var att övervaka pirataktiviteter i området.
”Vi gjorde en hel del närmare rekognosering på natten för att se var de viktigaste lägren var och vem som var redo att segla ut; det var mycket underrättelser, ”sa han. “Om det fanns någon indikation på att ett piratfartyg skulle segla ut eller fungera till sjöss, eller om det fanns en gisslan, skulle vi ingripa.”
Så glamoröst som det här låter, sa Fokker att han så småningom tröttnade på livsstilen, som höll honom borta från hemmet under några veckor varje år. Han valde att passera en roll som rankningsofficer i Marine Corp till förmån för en annan smak av strid.
”Jag såg vad som hände i världsskiftet”, berättade han. “Även om jag inte var aktivt inom cybersäkerhetsområdet kunde jag se att detta var framtiden.”
Cybersäkerhet ringer
Även om Fokker hade siktat på ett jobb inom cybersäkerhet övergick han inte omedelbart till det civila livet, utan tog istället en roll som expert för digitala utredningar hos den nederländska nationella polisen.
Som en del av det organiserade brottslaget gick han efter narkotika, lönnmördare och andra brottslingar av en liknande klass, knackade på sina telefoner och analyserade inspelningarna. Men ibland hamnade han i lunden i en skogskläder i syfte att “sniffa deras Wi-Fi”, vilket bevisar att cyberundersökningar inte alla sker bakom ett skrivbord.
Han spelade också en roll i olika malwareutredningar och botnet-borttagningar under sin tid hos polisen. Trots landets små storlek är holländarna enligt Fokker hjärtat av många internationella cyberbrottsutredningar.
“Nederländerna är litet, men många internetstomme upphör i landet, så det är ett centralt knutpunkt och det finns mycket webbhotell,” sa han. “Från första början har den nederländska polisen varit inblandad i många utredningar, bara för att det är där cyberbrottslingar är värd för sina system.”
Men medan polisen hanterar det allvarligaste cyberbrottet som finns – de ”svåra sakerna”, som Fokker kallade det – är omfattningen av deras inflytande i vissa avseenden begränsad. Det största problemet är att endast en liten andel av cyberbrottsoffer lämnar in en formell rapport, vilket begränsar omfattningen av polisutredningar.
“[The police’s] syn på cyberbrott är inte nödvändigtvis ofullständig, berättade Fokker, “men det kan begränsas till de rapporter som kommer på deras tallrik. Och det totala hotlandskapet kan faktiskt vara mycket större. ”
För att illustrera hans poäng, gick han in mot de officiella siffrorna från Internet Crime Complaint Center (IC3), som tyder på att e-postkompromiss mellan företag är den mest hotande formen av attack. Men alla som arbetar inom cybersäkerhet kommer att berätta att skadorna från ransomware är mycket större; det rapporteras bara inte via officiella kanaler.
Ett annat problem är att delning av underrättelser kan vara utmanande, eftersom regeringsenheter hindras av specifika processer och internationell politik.
”Just nu kan jag lägga på telefonen med dig och ringa NCAA eller FBI så kan jag dela information utan problem. I polisen gör de olika reglerna och de internationella fördragen den typen av samarbete mycket hårdare, berättade Fokker.
På McAfee, inom den privata sektorn, säger han att han åtnjuter en nivå av flexibilitet och dynamik som inte var tillgänglig för honom i den tidigare rollen.
“Jag tycker att det är det bästa jobbet i världen”, sa han. ”Vi får jaga cyberbrottslingar, ta reda på vad som händer och skydda våra kunder. Och om vi har värdefull information som kan leda till tillskrivning eller vara till hjälp för polisen, kommer vi under vissa omständigheter att dela den. ”
På frågan om det någonsin finns en motvilja i branschen att dela information med andra säkerhetsleverantörer på grund av konkurrens mellan dem skrattar Fokker.
”Ingen vill stjäla teknik eller kritisera andra människor”, säger han. ”Alla har faktiskt en bit av pusslet och vi försöker alla arbeta tillsammans för att skapa en så komplett bild som möjligt. Det är inte så skönt som du kan föreställa dig. ”
En annan typ av gisselförhandlingar
Mycket av Fokkers tid idag ägnas åt att tänka på en typ av cyberhot särskilt: ransomware.
Enligt alla typer av studier blir ransomware-attacker mer detaljerade, effektivare och mer lukrativa för operatörer, som har blivit modiga och kräver högre och högre lösenavgifter.
En rapport författad av forskare vid Coveware fann till exempel att den genomsnittliga lösenbetalningen nådde en heltidshöjd under första kvartalet 2021, till 220 298 dollar. Uppgången tillskrevs en särskilt opportunistisk grupp, kallad CloP, som utnyttjade en specifik sårbarhet för att ta tag i uppgifterna från en rad organisationer.
Nyligen gjorda uppgifter från Kaspersky visar att ransomware också blir alltmer riktat, med attacker mot högt profilerade offer som företag och myndigheter växer med 767% jämfört med året innan.
Det som dock fascinerar Fokker är det psykologiska elementet i ransomware-attacker och den konstiga dynamiken som upprättats mellan angriparen och offret.
”Som med gisselsituationer i verkliga livet är offren mycket utsatta de första minuterna och timmarna efter en attack. Ofta försöker de få tag på sig och ibland fatta överhastiga beslut utan att ta sig tid att utvärdera vad som händer, förklarade han.
Det finns en del av strategin för att mildra ransomware som inte gäller traditionella skadliga attacker, säger han. Det är inte bara ett tekniskt problem utan ett psykologiskt problem som kräver att offret ”målar upp kriminella” och reagerar därefter.
“Jag har också sett många fall av cyber Stockholm Syndrome, där offren som slutar förhandla är tacksamma mot gärningsmannen”, berättade Fokker. “Det är nästan som en riktig gisselsituation där någon bildar en känslomässig band med sin gripare.”
Att betala eller inte betala
År 2017, i ett försök att hjälpa de många offren för ransomware, grundade Fokker ett projekt som heter No More Ransom, som arkiverar gratis dekrypterare som kan hjälpa människor att återställa sina data utan att bibehålla lösenkraven.
Tjänsten växte snabbt och blev den första ransomwareportalen som byggdes av samarbetet mellan brottsbekämpning och den privata sektorn. passande, med tanke på Fokkers personliga karriärväg.
No More Ransom erbjuder för närvarande dekrypteringsverktyg för en rad olika ransomware-stammar, som Avaddon, Zigggy, Fonix, Judge och Darkside, med mer som läggs till hela tiden. Det hjälper också människor att diagnostisera vilken typ av infektion de lider av, genom att korskontrollera information med kända skadliga webbadresser och Bitcoin-adresser.
När det inte finns någon dekrypterare tillgänglig blir frågan om man ska förhandla med angriparen eller inte. Enligt webbplatsen No More Ransom är rådet aldrig att betala lösen, punkt.
”Att betala lösen rekommenderas aldrig, främst för att det inte garanterar en lösning på problemet. Det finns också ett antal problem som kan gå fel av misstag. Det kan till exempel vara fel i skadlig programvara som gör krypterad data oåterkallelig, även med rätt nyckel, ”står det på FAQ-sidan.
”Dessutom, om lösen betalas, visar det för cyberbrottslingar att ransomware är effektivt. Som ett resultat kommer cyberbrottslingar att fortsätta sin verksamhet och leta efter nya sätt att utnyttja system. ”
Fokker medger dock att den komplexa blandningen av faktorer som spelar innebär att problemet inte är så klippt och torrt i verkligheten, särskilt för företag.
”I skyttegraven får vissa företag ett annat hot, eftersom det blir ett affärsbeslut. De kan till exempel befinna sig i en situation där de skulle behöva säga upp anställda om de vägrade att betala lösen och data läcktes ut. Det finns massor av företag som befinner sig i en situation där de inte har något annat val än att betala. ”
Det slutgiltiga målet, säger han, är att tillvägagångssättet för cybersäkerhet mognar till den punkt där ransomwareoffer inte längre behöver fatta det beslutet. Genom att ha solida säkerhetskopior på plats och en tydlig strategi i väntan på en attack är förhoppningen att ransomware-affärsmodellen kan krossas en gång för alla.