CYBERCRIMINELEN HEBBEN HET MKB GEVONDEN

INTERNET SECURITY THREAT REPORT 2013 CYBERCRIMINELEN HEBBEN HET MKB GEVONDEN

INLEIDING Cybercriminaliteit is niet langer vooral gericht op grote organisaties. Het MKB is in toenemende mate het doelwit van allerlei vormen van cyberaanvallen. Gerichte (web)aanvallen worden ingezet om sites van MKB-bedrijven te kapen en daarmee bezoekers van grotere organisaties indirect met malware aan te vallen. Maar MKB ers hebben zelf ook waardevolle informatie die het stelen waard is. De sterke groei van zakelijk gebruikte privétoestellen (tablet, smartphone) zorgt daarnaast voor steeds meer mobiele malware. Fenomenen zoals cloud computing en het gebruik van social media brengen hun eigen bedreigingen mee. Heeft uw organisatie hier al een antwoord op? Symantec helpt ondernemingen met het vinden van antwoorden. Het Internet Security Threat Report (ISTR) 2013 beschrijft wat het afgelopen jaar de belangrijkste ontwikkelingen waren op het gebied van cybercriminaliteit. Wat zijn en wat worden bedreigingen? Wat kunnen organisaties zelf doen om hun digitale veiligheid te verbeteren? Deze uitgave, speciaal voor het MKB, gaat in op bedreigingen voor kleine en middelgrote organisaties. Het biedt concrete tips en handreikingen. Want als in 2012 één ding duidelijk werd, was het wel dat geen enkele organisatie zich nog immuun kan wanen voor cybercriminelen. 3

INHOUD 03 Inleiding 26 Kenniswerker ligt onder vuur 06 Samenvatting Cybercrime evolueert mee met gebruik ICT 10 Malware raakt groot en klein 14 Immuniteit is een mythe 18 Cyberaanvallen zoeken nieuw doelwit 28 Online gijzeling en afpersing 30 Mobility: kans en bedreiging 32 Social media: goudmijn voor criminelen 34 Voorspellingen Trends in cybersecurity voor het MKB 22 Gerichte aanvallen zoeken uw bedrijfsgegevens 36 Aanbevelingen 24 In het hol van de leeuw 38 ISTR: essentiële informatie voor nu en straks 4 5

SAMENVATTING ICT heeft steeds meer impact op samenleving en bedrijfsleven. ICT evolueert ook voortdurend, in technologie en gebruik. Cybercriminaliteit evolueert mee, met het ICT-gebruik én met de gebruikers. Virussen zijn al lang niet meer de grootste bedreiging, spam en phishing worden niet meer vooral via email verspreid. Social media, mobiele toestellen en apps, (mobiele) websites, dat zijn de nieuwe distributiekanalen voor oude en nieuwe vormen van malware. CYBERCRIME EVOLUEERT MEE MET GEBRUIK ICT Weg van de minste weerstand Cybercriminelen zoeken ook de weg van de minste weerstand. In 2012 bleek dat elke organisatie, ongeacht de omvang, een potentieel doelwit is voor cybercriminaliteit. 50 procent van alle cyberaanvallen was gericht op bedrijven met minder dan 2.500 werknemers. De grootste groei in cyberaanvallen (31%) was in 2012 zelfs te vinden bij organisaties met minder dan 250 medewerkers, waar de beveiliging van ICT-systemen vaak minder sterk is. Uw website een zwakke plek Cybercriminelen gebruiken in toenemende mate gereedschapskisten die worden geleverd door malafide ontwikkelaars. De malware die met deze gereedschapskisten wordt ontwikkeld, wordt onder meer ingezet om websites van kleinere organisaties te infecteren. Deze sites worden dan bijvoorbeeld gebruikt voor webgebaseerde aanvallen (+33% in 2012) met als doel phishing (het hengelen naar gevoelige informatie), of om de pc s of mobiele toestellen van bezoekers te infecteren. De gekaapte sites worden vaak geselecteerd op de verwachting van het soort bezoeker, zoals van grotere organisaties waar de criminelen eigenlijk willen inbreken. Zo wordt de zwakkere beveiliging van kleinere organisaties gebruikt om de sterkere beveiliging van grotere organisaties te omzeilen. Uw informatie is geld waard De helft van alle mobiele malware was in 2012 gericht op het stelen van informatie of het volgen van bewegingen op internet. Spioneren levert geld op: financiële en persoonlijke informatie, telefoonnummers en mail van zakelijke relaties, zelfs complete online identiteiten worden gestolen en doorverkocht. 6 7

Ook voor cyberaanvallen zelf hebben criminelen gegevens nodig. Via pc s, mobiele devices en social media-pagina s wordt alles nageplozen: mailadressen, zakelijke interesses, wie bezoekt bepaalde conferenties of cursussen? Met behulp van deze informatie worden mensen om de tuin geleid en kan malware geplaatst worden op hun pc of ander device. Soms kan zo jarenlang allerlei waardevolle informatie gestolen worden, zonder dat het wordt opgemerkt. Vooral kenniswerkers producenten van intellectueel eigendom werden in 2012 het slachtoffer van dit soort criminaliteit (27% van het totaal), gevolgd door salesmensen (24%). De CEO werd nog slechts weinig aangevallen (8%). Mobiele gevaren en kwetsbaarheden 2012 liet een forse groei zien in mobiele malware: +58 procent in vergelijking met 2011. Vorig jaar werd zelfs 59 procent van alle mobiele malware ooit ontwikkeld. Niet onlogisch: de smartphone of tablet wordt steeds meer zakelijk ingezet (denk aan BYOD). Hoewel er voor ios van Apple de meeste kwetsbaarheden (beveiligingsgaten in de software) gedocumenteerd werden in 2012, werd er maar één stuk malware voor ontwikkeld. Bij het veel meer gebruikte Android besturingssysteem werden slechts 13 kwetsbaarheden gedocumenteerd. Toch leidde Android in 2012 op het gebied van de hoeveelheid ontwikkelde malware. Het is vooral het marktaandeel van Android (circa 73%), de openheid van het platform en de diverse distributiemethoden voor apps die malware-ontwikkelaars trekt. Het aantal zero day-kwetsbaarheden (waarbij een kwetsbaarheid wordt uitgebuit voordat deze bekend is bij de ontwikkelaar) blijft ook groeien, naar 14 in 2012. Bij zero day-aanvallen kijken cybercriminelen vooral naar het maximale gewin, niet zozeer naar welke kwetsbaarheid het makkelijkst uit te buiten is. Wie heeft het gedaan? In sommige gevallen van klassiek hacktivisme (hacken voor de lol of uit protest), zoals bij een aantal DDoS-aanvallen, maken daders zelf bekend wie ze zijn. In de meeste gevallen is het moeilijk om te bewijzen wie om welke reden een aanval uitvoert. Zo claimen sommige veiligheidsdiensten dat DDoS-aanvallen waarvoor particuliere groepen verantwoordelijkheid opeisen, eigenlijk uitgevoerd worden in opdracht van overheden. De FBI stelde recent dat DDoS-aanvallen door criminelen als afleiding kunnen worden gebruikt, om zo de kans op ontdekking en tegenwerking van fraude te verkleinen. 8 9

MALWARE RAAKT GROOT EN KLEIN MKB IN HET VIZIER Bij virussen, spam en phishing doet het MKB helaas niet onder voor grotere organisaties als het gaat om actuele dreigingen. Dat tonen ISTR-cijfers over 2012 heel duidelijk aan. Zo had vorig jaar 63,68 procent van de organisaties kleiner dan 250 medewerkers last van spam. Dit percentage ligt alleen bij organisaties met meer dan 2.500 werknemers nog hoger: 65,14 procent. Hetzelfde beeld is te zien bij virusaanvallen per mail. Hiervan werd in het MKB 1 op de 391,5 organisaties in 2012 het slachtoffer, een veel hoger percentage dan bij grotere organisaties. Alleen bij organisaties met meer dan 2.500 werknemers ligt het aantal bedrijven dat slachtoffer van virussen werd nog hoger: 1 per 363,7. Spam-, virus- en phishing-aanvallen op organisaties in 2012 Spam op bedrijfsgrootte 1-250 251-500 501-1000 1001-1500 1501-2500 2501+ Virusaanvallen op bedrijfsgrootte 1-250 251-500 501-1000 1001-1500 1501-2500 2501+ Ratio 63,68% 63,02% 62,55% 63,01% 62,10% 65,14% Ratio 1 op 391,5 1 op 560 1 op 495,8 1 op 748,1 1 op 993 1 op 363,7 Bij phishing per mail werd 1 op de 624,7 bedrijven met minder dan 250 werknemers getroffen. Dat is meer dan het dubbele van elke organisatie met meer dan 250 medewerkers. Phishing op bedrijfsgrootte 1-250 251-500 501-1000 1001-1500 1501-2500 2501+ Ratio 1 op 624,7 1 op 1.640,6 1 op 1.472 1 op 2.222 1 op 2.936,9 1 op 1.071,6 10 11

WIST U DAT Aantal cyberaanvallen op organisaties in 2012, per grootte 31 procent van alle gerichte cyberaanvallen werd in 2012 uitgevoerd op organisaties met minder dan 250 werknemers. Een verdrievoudiging ten opzichte van 2011. 50% 2.501+ 50% van de aanvallen was gericht op organisaties met 2.501+ medewerkers, dat is ongeveer gelijk aan het percentage in 2011. 13% toename 18% toename 9% 2% 3% 5% 31% 2012 1.501-2.500 1.001-1.500 501-1.000 251-500 1-250 31% van de aanvallen was gericht op bedrijven met 1 tot 250 medewerkers, vergeleken met 18% in 2011 is dit een groei van 13%. Cybercriminelen vallen in toenemende mate kleinere organisaties aan, omdat hun cybersecurity gemiddeld minder sterk is. Ze zoeken vooral klantgegevens, intellectueel eigendom en bankgegevens. De meest aangevallen branche verschoof in 2012 van de overheid naar de productiebranche. De reden is een toename van aanvallen gericht op de supply chain. Cybercriminelen denken dat deze (onder)aannemers kwetsbaarder zijn voor aanvallen. MKB-ondernemingen zijn op de hoogte van de gevaren van cybercriminaliteit. Toch denkt de helft van de MKB ers dat zij te klein zijn om interessant te zijn. Dat resulteert in het niet of gebrekkig nemen van voorzorgsmaatregelen. 12 13

IMMUNITEIT IS EEN MYTHE BEWUSTZIJN MKB NEDERLAND Recent onderzoek door Symantec stelt dat veel kleinere organisaties geloven dat zij immuun zijn voor cyberaanvallen. Er zou bij hen tenslotte niet veel te halen zijn. Cybercriminelen denken hier anders over. Eerst een totaalplaatje van de schade van cybercriminaliteit: TNO schatte in 2012 dat deze criminelen de Nederlandse samenleving minimaal 10 miljard euro op jaarbasis kosten (1,5-2% van het BNP). Dat is gelijk aan de economische groei in 2011. Mogelijk bedragen de daadwerkelijke kosten twee tot driemaal zoveel. Nederland zou op ICT-gebied extra kwetsbaar zijn, vanwege de hogere dichtheid aan bekabeling, moderne (netwerk-) infrastructuur en de grote hoeveelheid dataverkeer. Volgens Eurostat worden Nederlandse bedrijven vier maal vaker getroffen door cybercrime dan bijvoorbeeld hun Britse tegenhangers. Driekwart van de schade komt op het bordje van het bedrijfsleven terecht. Inbreuken op intellectueel eigendom kosten 3,3 miljard euro, industriële spionage ruwweg 2 miljard euro. MKB: klein maar interessant De rekening ligt niet meer vooral bij grote organisaties. De opbrengst van een aanval op een MKB-organisatie kan kleiner zijn dan van een grote organisatie, maar dit wordt gecompenseerd door het feit dat MKB-organisaties over het algemeen minder goed beveiligd zijn. Toch geloven kleine ondernemingen veelal dat zij vanwege hun geringe grootte immuun zijn voor cyberaanvallen (bron: Symantec SMB 2011 Threat Awareness Poll). Zo beveiligt 63 procent niet pc s en andere apparaten die voor online bankieren worden gebruikt en neemt 9 procent geen aanvullende maatregelen zoals encryptie. 61 procent zet niet op alle pc s antivirussoftware, 47 procent beveiligt zijn mailserver of -dienst niet. Minste weerstand In de praktijk blijkt dat cybercriminelen steeds vaker kiezen voor de weg van de 14 15

WIST U DAT minste weerstand. Ook MKB-organisaties beschikken over door te verkopen klantinformatie, intellectueel eigendom en geld dat van bankrekeningen kan worden gestolen. En dit gaat zoals gezegd vaak eenvoudiger dan bij beter beschermde grote organisaties. Volgens David Willets, de Britse minister van Universiteiten en Wetenschap, lopen juist kleinere bedrijven meer risico dan ooit dat hun cybersecurity wordt gecompromitteerd. Terwijl vaak eenvoudige maatregelen al afdoende zijn om de meeste incidenten te voorkomen en waardevolle gegevens te beschermen. De Britse regering is dan ook een ini tiatief gestart waarbij MKB-organisaties tot 6.000 euro kunnen aanvragen om hun online security te verbeteren. Deze Innovation Vouchers zijn bedoeld voor starters en bedrijven met minder dan 50 werknemers. In totaal is er omgerekend 600.000 euro beschikbaar. Kweken van bewustzijn Net zo belangrijk als de subsidie is volgens Willets het verbeteren van het bewustzijn bij MKB-organisaties van hun kwetsbaarheid. Cybersecurity moet bij hen hoger op de agenda komen en onderdeel worden van de normale risicomanagementprocedures. Ook in Nederland wordt geprobeerd de bewustwording van MKB-ondernemingen over verbetering van cybersecurity te verbeteren. Zo biedt brancheorganisatie ICT Nederland via www.beschermjebedrijf.nl MKB-ondernemers de mogelijkheid van een quickscan om te zien of de eigen cybersecurity afdoende is. De website heeft tot doel MKB-bedrijven bewuster te maken van informatiebeveiliging en bedrijven praktische stappen te geven hoe met informatiebeveiliging in de eigen organisatie aan de slag te gaan. In 2012 waren kenniswerkers met toegang tot intellectueel eigendom (27%) en salesmedewerkers (24%) het vaakst doelwit van cyberaanvallen. Leidinggevenden zijn niet langer het belangrijkste doelwit. Het aantal webgebaseerde aanvallen nam in 2012 met 30 procent toe. Steeds vaker worden websites van kleinere organisaties geïnfecteerd, om zo via een achterdeur toegang te krijgen tot grotere organisaties. Bezoekende werknemers van grotere organisaties worden dan via bijvoorbeeld downloads op een gecompromitteerde website geïnfecteerd. Ransomware wordt een steeds groter probleem voor MKBorganisaties. Geïnfecteerde pc s worden op slot gezet en pas vrijgegeven na betaling. De hoeveelheid mobiele malware is in 2012 met 58 procent toegenomen. Van alle mobiele bedreigingen is 32 procent gericht op het stelen van informatie. 16 17

CYBERAANVALLEN De kosten die gepaard gaan met het toenemend aantal cyberaanvallen (+42% in 2012) zijn het afgelopen jaar met zes procent gestegen. Gemiddeld kost een cyberaanval een onderneming 455.820 euro. De doelwitten verschuiven: per branche en binnen organisaties. CYBERAANVALLEN ZOEKEN NIEUW DOELWIT Aanvallen per branche De industriële sector kreeg met 24 procent de meeste gerichte cyberaanvallen in 2012 (15% in 2011). Overheden en de publieke sector zagen het percentage juist fors dalen, van 25 naar 12 procent. Zeer waarschijnlijk begeven de aanvallen zich steeds hoger in de distributieketen, met een focus op MKB-organisaties. Top 10 branches aangevallen in 2012 Industrie 24% Financieel, Verzekering & Vastgoed 19 Non-traditionele Dienstverlening 17 Overheid 12 Aanvallen per grootte van organisatie Hoewel organisaties van 2.500 werknemers of meer met 50 procent de meeste aanvallen te verduren kregen in 2012, stagneert dit aandeel. Het aandeel van MKB-organisaties (1 tot 250 werknemers) groeide in dezelfde periode spectaculair: van 18 procent in 2011 naar 31 procent in 2012. In aantal verdrievoudigde de hoeveelheid gerichte cyber aanvallen op deze groep organisaties (zie ook grafiek op pagina 12). Energie/Facilitair 10 Professionele Dienstverlening 8 Luchtvaart 2 Retail 2 Groothandel 2 Transport, Communicatie, Electriciteit, Gas 1 0 5 10 15 20 25% 18 19

Data verloren of gelekt De medische sector (36% alle datainbreuken), onderwijssector (16%) en overheidssector (13%) waren goed voor tweederde van de data-inbreuken in 2012. Dit kan betekenen dat zij meer moeten doen aan bescherming van hun databases. Anderzijds zijn veel publieke sectoren bij wet verplicht data-inbreuken te openbaren en het bedrijfsleven niet, wat de discrepantie ook deels kan verklaren. Hoewel 88 procent van de data-inbreuken extern was, moeten bedrijven ook intern de databeveiliging op orde hebben. Acht procent van de gestolen data komt voor rekening van een insider. Het is veilig om aan te nemen dat er meer datainbreuken niet gerapporteerd worden dan wel. MKB-organisaties dienen net zo goed te letten op de vaak vergeten interne dreiging van dataverlies als op een externe hacker. Ter illustratie: het Britse Information Officers Office heeft in 2012 meer bedrijven beboet of vervolgd wegens interne data lekken dan wegens externe hacks. Data-inbreuken per branche in 2012 Onderwijs 16% Gezondheidszorg 36% Overheid 13% 9% Accountancy 6% Computer Software 6% Financieel 5% Informatie Technologie 4% Telecom 3% Computer Hardware 3% Community en Non-profit Gerichte cyberaanvallen zijn een onlosmakelijk instrument geworden van cybercriminelen. Bedrijven moeten zich vooral beschermen tegen aanvallen die bedoeld zijn om bedrijfsinformatie zoals intellectueel eigendom en klantgegevens te stelen of om hun websites te kapen. 20 21

GERICHTE AANVALLEN ZOEKEN UW BEDRIJFSGEGEVENS Gerichte aanvallen combineren vaak social engineering (online gegevens verzamelen over bijvoorbeeld surfgedrag en hobby s van mensen) en malware om specifieke personen in organisaties aan te vallen. Malware wordt verspreid via methoden zoals e-mail of drive-by downloads (waarbij iemand via een geïnfecteerde website malware downloadt). Dit is onderdeel van de watering hole-techniek. MKB als springplank Kleine en middelgrote organisaties met gemiddeld minder IT-budget zijn in toenemende mate het slachtoffer van gerichte aanvallen. Deze trend blijkt overduidelijk uit de cijfers: een groei in het aandeel gerichte aanvallen van 18 procent in 2011 naar 31 procent in 2012. MKB-organisaties zijn vaak kwetsbaarder, beschikken ook over waardevolle informatie en kunnen dienen als springplank naar grotere organisaties (bijvoorbeeld een toeleverancier). Zo kunnen persoonsgegevens gebruikt worden om een nepmail van iemand bij een toeleverancier te versturen naar een vertrouwde zakenrelatie in een grotere organisatie. Webaanvallen, zero-daykwetsbaarheden Het totaal aantal webgebaseerde aanvallen steeg 33 procent in 2012. Bezoekers van gekaapte websites kunnen zelf eenvoudig geïnfecteerd worden. Gebrekkig gebruik van de nieuwste patches voor kwetsbaarheden in browserplugins (Oracles Java, Adobes Flash & Acrobat) maakt webaanvallen eenvoudig. Bij bedrijven is upgraden naar de laatste patch vaak lastig, omdat bedrijfs kritische systemen veelal alleen kunnen werken met oudere versies van de plug-ins. Meer kwetsbaarheden in een programma of browser betekent niet automatisch een groter gevaar. Eén kwetsbaarheid in een bedrijfskritische applicatie kan genoeg zijn voor een succesvolle aanval. Ook is het vaak niet de laatst gevonden zeroday-kwetsbaarheid die voor de meest succesvolle aanvallen zorgt. De hoeveelheid aanvallen via geïnfecteerde sites steeg in 2012 met 30 procent, terwijl de hoeveelheid ontdekte kwetsbaarheden steeg met slechts zes procent. De meeste netwerken en systemen worden juist gecompromitteerd doordat oudere kwetsbaarheden niet afdoende gepatcht zijn. Kwetsbaarheden in browsers en plug-ins (2010-2012) 600 500 400 300 200 100 0 JAN FEB MAR APR MEI JUN JUL AUG SEP OKT NOV DEC Kwetsbaarheden zijn gaten in programmatuur die mis bruikt kunnen worden om doorheen te glippen of om malware-codes te installeren. In totaal waren er in 2012 5.291 kwetsbaarheden geregistreerd, tegen 4.989 in 2011. Het aantal gerapporteerde zero-day kwetsbaar heden dat in 2012 werd gerapporteerd, bedroeg 14. 22 23

IN HET HOL VAN DE LEEUW Watering hole-aanvallen worden veel gebruikt om websites te infecteren van kleinere organisaties die een zakelijke relatie (bijvoorbeeld toeleverancier) hebben met een grotere organisatie. Watering hole-aanvallen vormen de nieuwste innovatie bij gerichte aanvallen. Een legitieme website waarvan men verwacht dat doelwitten die bezoeken, wordt hierbij geïnfecteerd. Zo werd in 2012 een tracking script op een website van een mensenrechtenorganisatie voorzien van een code waarmee na een bezoek malware op de pc van een bezoeker werd geïnstalleerd. Daarbij werd een zero-day-kwetsbaarheid in Internet Explorer gebruikt. Symantecdata laat zien dat in 24 uur na besmetting van de website bezoekers van 400 grote bedrijven en overheidsorganisaties geïnfecteerd waren. Watering Hole Aanvallen 1. Belager brengt slachtoffers en de soort websites die ze bezoeken in kaart 2. Belager test deze websites vervolgens op kwetsbaarheden. 3. Als de belager een website vindt die hij kan saboteren, injecteert hij JavaScript of HTML, waardoor het slachtoffer wordt omgeleid naar een afzonderlijke site die de exploit code voor de gekozen kwetsbaarheid host. 4. De aangevallen website is nu klaar om het beoogde slachtoffer met een zero-day exploit te infecteren, net als een leeuw die wacht tot hij toe kan slaan. 24 25

KENNISWERKER LIGT ONDER VUUR Cybercriminelen zijn steeds meer op zoek naar bedrijfsgeheimen en ander intellectueel eigendom. De hoeveelheid aanvallen gericht op R&Dmedewerkers steeg van 9 procent in 2011 naar 27 procent in 2012, met commerciële medewerkers als goede tweede (van 12 naar 24 procent). Directieleden worden juist veel minder aangevallen (van 25 naar 17% tussen 2011 en 2012). Uit het feit dat steeds vaker medewerkers in midmanagement R&D- en in salesfuncties te maken krijgen met gerichte aanvallen, blijkt dat cybercriminelen hun vangnet vergroten. Toch blijven aanvallen op andere doelgroepen zoals in directie- of in backofficefuncties een belangrijke bedreiging. Het toenemend gebruik van social engineering in aanvallen laat zien dat cybercriminelen gericht en uitgebreid hun doelwitten onderzoeken en surfgedrag en -motivaties in kaart weten te brengen. Een tweet of mail van een vertrouwde afzender zal veel eerder bekeken of geopend worden. Gerichte aanvallen bekeken per rol in de organisatie 2011 Chief Exec. / Board Level 2012 % VERANDERING PR en Marketing Personal Assistant Research & Development Human Resources Sales Senior Management Gedeelde Mailbox info@, sales@, etc. -15% -10% -5 0 5 10 15 20 25 30% Kenniswerkers (zoals R&D-medewerkers) worden steeds meer aangevallen vanwege hun toegang tot intellectueel eigendom. Mensen in commerciële functies krijgen ook steeds meer met aanvallen te maken, waarschijnlijk vanwege hun toegang tot verkoop- en klantgegevens en vanwege het feit dat cybercriminelen eenvoudiger toegang hebben tot hun breder online beschikbare gegevens. 26 27

ONLINE GIJZELING EN AFPERSING RANSOMWARE Ransomware is in 2012 populair geworden onder malware-auteurs. Het werkt anders dan zogeheten scareware, die mensen aanmoedigt om nep antivirusbescherming te kopen. Ransomware wordt vaak geïnstalleerd via drive by downloads. Het blokkeert de pc, waarna er een bedrag geëist wordt om de blokkade op te heffen. Deze malware is vaak afkomstig van geïnfecteerde legitieme websites of van geïnfecteerde advertenties (malvertisements) waar een stukje malware-code in verborgen is. De malware is geavanceerd, moeilijk te verwijderen en blijft soms ook actief na het inschakelen van de veilige modus bij Windows. Het blokkeerscherm wordt vaak gepresenteerd als afkomstig van een overheidsinstantie, waarbij een geldbedrag in de vorm van een boete voor vermeende criminele online activiteiten wordt gevraagd. Soms wordt zelfs een foto gemaakt van het slachtoffer via de eigen webcam, waarna de foto in het blokkadescherm wordt getoond om de echtheid te vergroten. Voorbeeld van een blokkadescherm Gemiddeld wordt er een kleine 40 tot ruim 300 euro gevraagd om de blokkade op te heffen. Maar ook na betaling van dit bedrag blijft de pc vaak geblokkeerd. Gemiddeld betaalt drie procent van de slachtoffers. 28 29

MOBILITY EN MOBILE MALWARE Organisaties laten medewerkers steeds vaker toe om hun eigen pc, smartphone of tablet voor zakelijke doeleinden te gebruiken (BYOD). Consumerization of IT betekent dat steeds vaker gebruik gemaakt wordt van op consumentgerichte technologie zoals websites voor het delen van bestanden. Omdat de beveiliging en het beheer van mobiele devices vaak achterloopt, worden de deuren voor misbruik geopend. MOBILITY: KANS EN BEDREIGING Mobiele devices worden meestal gebruikt om persoonlijke en contactinformatie op te slaan en beschikken steeds meer over snelle mobiel-internetverbindingen. Het zijn kleine computers geworden met veel waardevolle informatie waar cybercriminelen op azen. Het via mobiele botnets infecteren van mobiele toestellen om zo geld te verdienen aan premium telefoonnummers en sms-diensten is de snelste methode om geld te verdienen. Maar er zijn helaas meer bedreigingen. Ook mobiele sites en apps kennen kwetsbaarheden die uitgebuit worden. 32 % Informatie stelen 25 % Traditionele bedreigingen 15 % Gebruiker volgen Kwetsbaarheden per besturingssysteem Dat het aantal mobiele kwetsbaarheden weinig relatie heeft met het aantal malwarefamilies, blijkt uit het feit dat ios veruit het grootste aantal kwetsbaarheden kent, terwijl het merendeel van alle malware gericht is op het Android- OS. Android is met circa 72 procent marktaandeel en een open platform het favoriete besturingssysteem om aan te vallen met malware. Symantec heeft ruim 3.900 mobiele bedreigingen geregistreerd in 2012. Het merendeel is gericht op het Android-OS. 13 % Mobiele bedreigingen in 2012 Content verzenden 8 % Device reconfigureren 8 % Adware/Overlast Het stelen van informatie vormt de grootste bedreiging op mobiel malwaregebied (32%). In 2012 groeide het aantal mobiele malwarefamilies in totaal naar een kleine 4.500. 2012 was daarmee goed voor 59 procent van alle mobiele malware tot nu toe ontwikkeld. 30 31

GOUDMIJN VOOR CRIMINELEN SOCIAL MEDIA De opkomst van social media, ook in zakelijk gebruik, maakt mail minder interessant voor online criminelen en spammers. Social media bieden twee nuttige functies voor criminelen: social proofing en het delen van informatie. Social proofing betekent dat mensen eerder geneigd zijn een boodschap van een online vriend of zakelijke relatie te vertrouwen en vervolgens bijvoorbeeld op een link te klikken die hen naar malware leidt. Het delen van (privacygevoelige) informatie is waar social media zoals Facebook en LinkedIn voor bedoeld zijn. Deze media worden zo ook een rijke bron van informatie, bijvoorbeeld om beveiligingsvragen te achterhalen. Daarmee kunnen weer wachtwoorden opgevraagd worden om een account over te nemen. De tijd die online en op social media wordt doorgebracht, neemt toe. Ook gebeurt dit steeds meer via mobiele devices. Daarvoor wordt ook in toenemende mate gebruik gemaakt van consumentgerichte clouddiensten, vaak zonder dat mensen zich dit realiseren. Deze clouddiensten zijn meestal minder goed beveiligd dan diensten die op zakelijk gebruik gericht zijn. Top 5 Social Media aanvallen in 2012 1 2 3 4 5 5 % 3 % 56 % 18 % Manual Sharing 10 % Likejacking Fake Plug-in Copy and Paste Fake Offering Nepaanbiedingen via social media worden steeds meer gebruikt om persoonlijke gegevens te krijgen of om mensen een sms naar een premium sms-dienst te laten sturen. Uiteindelijk is er vaak geen beloning aan het einde. Bij handmatig delen doen gebruikers zelf het zware werk door geïnfecteerde video, boodschappen of aanbiedingen met vrienden te delen. Likejacking. Via gekaapte of nep Like-knoppen worden gebruikers ertoe gebracht ergens op te klikken, waarna malware op de pc of het mobiele device wordt geïnstalleerd. 32 33

TRENDS IN CYBERSECURITY VOOR HET MKB VOORSPELLINGEN Het ISTR rapport 2013 laat zien dat de bedreigingen voor het hedendaagse MKB niet weggaan. Sterker nog, er is sprake van een snelle groei in aantallen en in het soort bedreigingen. Het verkrijgen van een duidelijk beeld van deze bedreigingen is een belangrijke stap in de verbetering van de veiligheid van een organisatie. In de komende maanden en jaren is het de verwachting dat technieken die tot nu toe vooral gebruikt werden om grote bedrijven en overheidsinstanties aan te vallen, steeds meer tegen MKBorganisaties gebruikt worden. Dit gebeurt al bij gerichte webaanvallen en het toepassen van watering holes, het uitbuiten van (zero-day)-kwetsbaarheden en social engineering. Het lijkt er ook op dat malware afkomstig van websites zowel meer gemeengoed wordt als gevaarlijker. De volwassen wordende mobiele markt stimuleert cybercriminelen om meer mobiele bedreigingen te ontwikkelen. De vaak slechtere beveiliging van mobiele devices biedt een makkelijk te kraken achterdeur tot bedrijfsnetwerken. Daarnaast bevatten mobiele toestellen zelf veel waardevolle informatie. Het sterk groeiend (zakelijk) gebruik van sociale netwerken stimuleert meer geavanceerde phishing-aanvallen. Daarnaast zorgt de inzet van op consumenten gerichte online diensten - uit kostenoverwegingen of omdat werknemers het makkelijk vinden - voor nieuwe beveiligingsproblemen. Uw wake up call Zie dit als uw wake up call. MKBorganisaties zijn specifiek en in toenemende mate het doelwit van cyberaanvallen. Het is belangrijk om nu de stand van zaken van de eigen cybersecurity te inventariseren, de capaciteit te vergroten om externe dreigingen tegen te gaan en met toeleveranciers van cybersecurity samen te werken om eventuele gaten in de verdediging te dichten. 34 35

AANBEVELINGEN Begin nu met inschatten hoe voorbereid uw organisatie is om cyberdreigingen te ondervangen en om gaten in de beveiliging te dichten. Een aantal aanbevelingen: Neem aan dat je een doelwit bent Kleine omvang en relatieve anonimiteit vormen geen bescherming tegen geraffineerde aanvallen. MKB-organisaties die met dit in het achterhoofd hun beveiliging verbeteren, beschermen zich automatisch ook beter tegen andere cyberaanvallen. Zet technologie in tegen bescher ming van data en tegen dataverlies Gebruik bijvoorbeeld vormen van encryptie om data onderweg te beschermen, online of via draagbare opslag. Update browsers, plug-ins en appli caties met de nieuwste patches Het merendeel van te misbruiken kwetsbaarheden wordt hiermee afgedekt. Maak gebruik van automatische update-diensten die veel leveranciers van software aanbieden. Automatiseer de uitrol van patches en updates zoveel mogelijk door de hele organisatie heen. Vermijd vage websites en illegale software Installeer geen ongevraagde plug-ins of executable (*.exe)-bestanden wanneer hierom wordt gevraagd, zelfs niet van legitieme websites. Overweeg het gebruik van eenvoudig beschikbare software om advertenties in de browser te blokkeren. Gebruik back-ups en herstelbestanden om een pc in een noodgeval te deblokkeren. Eén vorm van cyberbescherming is niet afdoende Antivirustechnologie is niet genoeg om endpoints zoals pc s of mobiele devices te beschermen. Meerdere, overlappende vormen beschermen beter tegen een single point of failure in één van de beschermingstechnieken. Gebruik regelmatig geüpdatete firewalls en antivirusbescherming, intrusion detection en web security gateway-oplossingen om het hele netwerk te beschermen. Gebruik sterke wachtwoorden Dit biedt voor beheerders en voor andere diensten extra bescherming tegen social engineering en phishing. Geef alleen toegang tot belangrijke webservers aan medewerkers die hier echt gebruik van moeten maken. Overweeg om Always on SSL te gebruiken Zo kun je bezoekersinteractie op de hele website controleren via digitale certificaten, niet alleen op pagina s waar bijvoorbeeld aankopen worden afgehandeld. Bewustwording is een must! Maak je management en medewerkers bewust van potentiële gevaren van social engineering. Train mensen in het herkennen ervan, maar ook in het voorkomen van dataverlies en in het belang van data en databescherming. 36 37

ISTR: ESSENTIËLE INFORMATIE VOOR NU EN MORGEN Het ISTR is gebaseerd op een reeks bronnen binnen en buiten Symantec, zoals: Het Symantec Global Intelligence Network is opgebouwd uit zo n 69 miljoen threat sensors en registreert duizenden gebeurtenissen per seconde. Het netwerk monitort bedreigende activiteiten in ruim 157 landen en gebieden. Meer dan 3 miljard e-mailberichten en meer dan 1,4 miljard webverzoeken worden elke dag verwerkt. Symantec verzamelt phishing-informatie via een ecosysteem van bedrijven, beveiligingsbedrijven, en meer dan 50 miljoen consumenten. Symantec brengt jaarlijks het Internet Security Threat Report (ISTR) uit, waarmee het grote en kleine bedrijven, overheden en consumenten voorziet van essentiële informatie om hun ICT-systemen en hun digitale informatie effectief te beveiligen, nu en in de toekomst. Symantec s uitgebreide vulnerability (kwetsbaarheden)-database, momenteel bestaande uit 51.644 geregistreerde kwetsbaarheden van meer dan 16.687 aanbieders en meer dan 43.391 producten. Spam, phishing en malware-data wordt vastgelegd via een reeks bronnen, waaronder het Symantec Probe Network (5 miljoen speciaal opgezette neprekeningen) en Symantec.cloud. Symantec Trust Services verwerkt meer dan 4,5 miljard Online Certificate Status Protocol (OCSP)-verzoeken per dag, die worden gebruikt voor het bepalen van de status van X.509 digitale certificaten in de hele wereld. Deze middelen geven analisten van Symantec s ongeëvenaarde bronnen van informatie om bestaande en nieuwe security trends te identificeren, te analyseren en van goed onderbouwd commentaar te voorzien. 38