Cybercrime-as-a-Service De wereld van de cybercriminaliteit professionaliseert in hoog tempo. Er zijn tegenwoordig zelfs websites waar criminelen simpelweg de softwarecomponenten kunnen bestellen die ze nodig hebben voor hun digitale inbraken: Cybercrime-as-a- Service. Ook het niveau van dienstverlening stijgt: er zijn ransomware-bendes die over een helpdesk beschikken voor bedrijven die hebben betaald maar hun computersysteem niet opnieuw aan de praat krijgen. Het is de grootste vrees van banken en waarschijnlijk ook overheden: een great bank robbery, maar dan digitaal. In 2015 kwam het Russische beveiligingsbedrijf Kaspersky met de onthulling dat de Cabernak-bende misschien wel 1 miljard dollar buit had gemaakt door in te breken bij een reeks van banken. Begin dit jaar slaagden cybercriminelen erin om een bank in Bangladesh digitaal binnen te dringen. Alleen omdat de overvallers een tikfout maakten bleef de buit beperkt: ze wisten geen 840 miljoen dollar weg te sluizen, maar 'slechts' 72 miljoen. De daders zijn spoorloos. Maar daarmee is het verhaal nog niet afgelopen. Volgens de Britse defensiespecialist BAE Systems zijn de bankrovers erin geslaagd om bij dezelfde hack ook in te breken in
Swift, het wereldwijde elektronische netwerk waarmee ruim 11.000 banken hun onderlinge transacties afwikkelen. De organisatie achter Swift ontkende eerst dat de systemen in gevaar zijn geweest, maar heeft later moeten toegeven dat hun netwerk inderdaad is geïnfiltreerd. Het gerucht wil dat er op deze manier onder andere een Amerikaanse bank is beroofd. Criminele diensten op maat De wereld van de cybercrime professionaliseert in hoog tempo. Het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Veiligheid en Justitie, waarschuwt er omstandig voor in zijn laatste rapport. 'Een crimineel heeft al lang geen digitale vaardigheden meer nodig om digitale aanvallen uit te voeren.' Ze kunnen namelijk terecht bij andere criminelen die diensten op maat leveren. 'Deze zogenoemde cybercrime-as-a-service blijft zich verder ontwikkelen en professionaliseren. Het is daarom voorstelbaar dat het aantal digitale aanvallen door criminelen niet alleen in omvang, maar ook in diversiteit zal toenemen.' Cybercriminelen worden ook steeds inventiever in het kiezen van hun buit. In de VS is de database van zorgverzekeraars gehackt, waarschijnlijk om met de persoonsgegevens van de verzekerden financiële fraude en zorgverzekeringsfraude te plegen. Ook wisten hackers toegang te krijgen tot data uit de farmaceutische sector, informatie waarmee ze konden voorspellen hoe de beurskoersen
van de beroofde bedrijven zich naar alle waarschijnlijkheid zouden ontwikkelen. Helaas zijn er niet echt harde feiten over de omvang en de groei van cybercriminaliteit. Veel digitale criminaliteit blijft waarschijnlijk onontdekt, bovendien doen veel bedrijven en organisaties geen aangifte want dat kan slecht zijn voor het imago. In Nederland moet de meldplicht datalekken daar verandering in brengen: bedrijven en overheden zijn sinds begin 2016 verplicht elk ernstig datalek waarbij persoonsgegevens zijn betrokken direct te melden bij de Autoriteit Persoonsgegevens. Deskundigen hopen dat de meldplicht zal leiden tot meer IT-security awareness bij bedrijven. Dat is nodig, want de overheid wil dat handelsnatie Nederland een veilige, open en stabiele informatiesamenleving is. In de woorden van staatssecretaris Dijkhoff: 'Digitale veiligheid, en dus veilig en ongestoord gebruik kunnen maken van ICTmogelijkheden, is een randvoorwaarde voor het goed functioneren van de samenleving en dus onze toekomst.' Een op de vier bedrijven 'Grote Nederlandse bedrijven zoals banken, verzekeraars en telecombedrijven hebben inmiddels allemaal cyber security programma's en een security operations center waar ze hun technische systemen continu monitoren,' zegt Petra Oldengarm, manager van de unit cyber security van Hoffmann Bedrijfsrecherche. Dat blijkt ook wel: Nederlandse bedrijven en
organisaties zijn bijvoorbeeld steeds beter in staat om (D)DoS aanvallen af te slaan. 'Criminelen zullen zich dus eerder richten op de bedrijven die wel kwetsbaar zijn. En bij die bedrijven staat ICT beveiliging soms helemaal niet op de agenda.' Hoffmann heeft er recent onderzoek naar laten doen. Bij slechts 16 procent van de middelgrote en grote organisaties leeft het onderwerp informatiebeveiliging daadwerkelijk. Dat terwijl het ook voor deze bedrijven wel degelijk actueel moet zijn. Uit hetzelfde onderzoek blijkt namelijk dat ongeveer een kwart van de ondervraagde bedrijven in de afgelopen twee jaar te maken heeft gehad met een cybercrime incident. Het is wel opvallend dat bijna geen enkele getroffen organisatie na zo'n incident structurele maatregelen heeft genomen om herhaling te voorkomen. Petra Oldengarm: 'Wij vragen organisaties altijd wat hun kroonjuwelen zijn. Vaak blijft het dan stil. Bedrijven zijn erg gericht op hun producten en diensten en de verkoop daarvan, informatie zien ze als iets dat niet belangrijk is, dat alleen nodig is voor de ondersteuning. Maar voor cybercriminelen is juist de informatie van een bedrijf heel waardevol.' Dan gaat het zeker niet alleen om waardevolle onderzoeksresultaten of uitvindingen. 'Ook een klantenbestand kan cruciale informatie zijn. Wat ook voorkomt: dat hackers in de administratie IBAN nummers aanpassen, zodat bij de eerstvolgende betaalbatch grote sommen geld naar criminele rekeningen worden overgeschreven. Zie het geld dan maar eens terug te halen, je hebt het immers zelf overgeboekt.'
Ransomware De kwetsbaarheden zijn eigenlijk nog steeds hetzelfde: mensen maken zwakke wachtwoorden aan, bedrijven werken met verouderde software, servers zijn niet goed beveiligd, systemen zijn niet gecompartimenteerd en er is geen (goede) back up van het systeem en de bestanden. Ook de meest gebruikte methode om binnen te komen is niet veranderd: via een (spear) phishing mail. 'De kwaliteit van de phishingteksten is steeds beter geworden,' constateert het NCSC in zijn rapportage. 'Het is gebruikers bijna niet meer kwalijk te nemen dat ze hierin trappen.' Petra Oldengarm adviseert bedrijven om niet alleen systemen te compartimenteren en een goede back up te maken, maar ook de ICT infrastructuur 'forensic ready' te maken. 'Als je ervoor zorgt dat het systeem wordt gemonitord en dat er goede loggingbestanden worden aangelegd, dan is bij een cyberincident beter te achterhalen wat er precies is gebeurd. Dat bespoedigt het herstel van de systemen en geeft meer zekerheid dat het incident daadwerkelijk is verholpen.' Maar zover zijn de meeste bedrijven voorlopig nog niet. 'Ze zijn vaak nog niet eens begonnen met het maken van een risico inventarisatie of het laten uitvoeren van een penetratietest, twee stappen op weg naar digitale veiligheid.'
Helpdesk Als een bedrijf in paniek opbelt omdat ze te maken hebben met ransomware of cryptoware, malware waarbij alle data worden versleuteld, adviseert Hoffmann soms om toch maar te betalen. 'Zeker als er geen actuele back up is en er voor de organisatie zeer cruciale bestanden zijn versleuteld. Het gaat meestal om kleine bedragen, rond de 250 euro, als je tenminste meteen betaalt. Ik weet het, de overheid raadt betalen af, met als argument dat je niet zeker weet of het systeem na betaling weer wordt vrijgegeven. Maar ik denk daar toch iets genuanceerder over. Het is het businessmodel van veel van deze criminelen om bij veel bedrijven kleine bedragen op te halen. Als ze niet doen wat ze beloven krijgen ze een slechte naam en droogt hun inkomstenstroom op.' Het dienstverleningsniveau van deze criminelen is daar tegenwoordig ook naar. Petra Oldengarm: 'Bij een klein bedrijf dat wij hebben geholpen ging na betaling het ontsleutelen mis. Toen bleek er zelfs een helpdesk te zijn waarmee de systeembeheerder kon chatten. Hij werd fantastisch geholpen: uiteindelijk kreeg hij nieuwe software geleverd om de ransomware eraf te halen.' Een waarschuwing is wel op zijn plaats: 'Na het betalen van losgeld moeten wel de ICT systemen worden doorgelicht op eventuele achtergebleven malware. Ook is het verstandig om te kijken of de systemen echt up to date zijn en alle patches zijn geïnstalleerd. Verouderde ICT-systemen zijn aanzienlijk kwetsbaarder bij dit soort aanvallen.'
Uitval is geen optie Cybercriminaliteit wordt steeds bedreigender, want we zijn almaar afhankelijker van de computer. Of zoals de NCSC schrijft: 'Wanneer ICT systemen voor de ondersteuning van maatschappelijke processen niet beschikbaar zijn, is er in een groeiend aantal gevallen geen analoog alternatief meer. De beschikbaarheid van deze ICT systemen wordt daarmee belangrijker: uitval is geen optie. Tegelijkertijd is de onderliggende technologie complexer dan bij analoge systemen. Ook zijn deze systemen gemakkelijker aan te vallen als ze via het internet bereikbaar zijn.' Voor bedrijven geldt eigenlijk hetzelfde, zegt Petra Oldengarm: 'Organisaties zijn steeds afhankelijker van hun ICT, en worden tegelijkertijd steeds kwetsbaarder, ook omdat de rol van de gebruiker in belang is toegenomen. Elk mobiel device is een toegangspoort geworden tot de bedrijfsinformatie.' Nog een probleem: 'Jongeren vinden privacy niet zo belangrijk. Ook dat leidt tot onveilig gedrag.' Het is dan ook lang niet meer afdoende om alleen technologische maatregelen te nemen. 'De processen moeten eveneens goed zijn ingericht. En je moet kijken naar de rol van de mens.' Hoffmann heeft daar recent zelfs een psycholoog voor in dienst genomen. 'Het gaat om gedrag. Een workshop security awareness maakt mensen vaak wel bewust van hun onveilige gedrag, maar dat is meestal niet voldoende. We moeten mensen ook helpen hun gedrag te veranderen.' De ICT beveiliging is daarmee niet langer (alleen) de verantwoordelijkheid van de
IT manager. 'Het moet zijn belegd in de board. Alleen dan gaat informatiebeveiliging echt goed werken. In de board moet inzicht zijn in de belangrijkste risico's die een organisatie loopt op dit gebied. Bovendien: ook veilig gedrag begint met een goed voorbeeld in de top van de organisatie.' De technologiesector kan helpen. 'Hier ligt volgens mij een grote kans voor bedrijven: ze zouden het mensen makkelijker kunnen maken om zich veiliger te gedragen. Denk aan een vingerafdruksensor in elk toetsenbord, dan hoeven mensen nooit meer een wachtwoord te onthouden. Dat zou al heel veel schelen.' Petra Oldengarm Hoffmann Bedrijfsrcherche is al jaren actief in de informatiebeveiliging, en heeft daar nu zelfs een speciale business unit voor. Petra Oldengarm, die sinds een half jaar leiding geeft aan deze unit, studeerde technische informatica aan de
Rijksuniversiteit Groningen, was als innovationteam manager bij KPN Research verantwoordelijk voor het ontwikkelen van internetdiensten, heeft op het ministerie van Binnenlandse Zaken leiding gegeven aan een team van analisten en beleidsmedewerkers op het gebied van openbare orde en veiligheid en cyber security, en was als IT-manager bij ECN (Energieonderzoek Centrum Nederland) en NRG (Nuclear Research & Consultancy Group) onder meer verantwoordelijk voor de informatiebeveiliging op deze high risk-locatie. Steeds afhankelijker van ICT Uitval is geen optie meer, schrijft het NCSC in zijn rapport. We zijn namelijk steeds afhankelijker van ICT-systemen, ook voor de ondersteuning van maatschappelijke processen. Als de computers van ProRail vastlopen, kunnen vaak tienduizenden reizigers geen kant meer op. Toen in 2008 de ICT in de tunnels van de Limburgse A73 faalde, moest het verkeer maandenlang weer over die oude en gevaarlijke rijkswegen. Eerder dit jaar ging het mis bij de Ketheltunnel in de A4 (foto). Daar waren het kinderziektes waardoor de tunnel tijdelijk niet kon worden gebruikt. Maar het geeft wel aan hoe belangrijk het is dat ICT-systemen goed functioneren. En dus ook goed zijn beveiligd tegen hackers en (D)DoS-aanvallen. ING, ABN Amro, SNS, KLM, NS en DigiD kunnen erover meepraten: ze moesten in 2013 allemaal toezien
hun systemen werden platgelegd door zo'n aanval. In augustus 2015 was Ziggo tot twee keer toe slachtoffer en zaten meer dan 3 miljoen mensen een avond lang zonder tv, internet en telefoon. Cybercrime komt daarmee steeds dichterbij. Want met het Internet of Things worden ook dagelijkse processen bij consumenten kwetsbaar, zoals bijvoorbeeld bezitters van een Mitsubishi Outlander recent konden ervaren. De auto heeft een eigen wifinetwerk, maar dat was zo slecht beveiligd dat criminelen er makkelijk op konden inbreken en zo, onder meer, het alarmsysteem van de auto konden uitschakelen. Lees meer Het actuele dreigingsbeeld Het Nationaal Cyber Security Centrum (NCSC) is onderdeel van de Directie Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Het NCSC geldt als het centrale meld en informatiepunt voor dreigingen en incidenten op het gebied van ICT. Het rapport dat in het artikel wordt geciteerd heeft als titel 'Cybersecuritybeeld Nederland 2015' en is te downloaden op facilitaironline.nl Trends in risk cyber security Een verslag van het onderzoek dat Hoffmann recent heeft laten uitvoeren over cybercrime in Nederland is te lezen in de laatste editie van Hoffmann Statistiek. DownloadHoffmann Statistiek op facilitaironline.nl of op te vragen per mail (info@hoffmannbv.nl).
Factsheets ICT-dreigingen De NCSC publiceert met regelmaat factsheets over actuele ICT dreigingen en geeft concrete tips hoe bedrijven zich tegen deze dreigingen kunnen beschermen. Stuk voor stuk must reads voor iedereen die bezig is met IT beveiliging. Er zijn inmiddels al meer dan vijftig van dergelijke fact sheets beschikbaar. De factsheets ICT dreigingen zijn hier gratis te downloaden. Laat je hacken (maar dan legaal) Drie jaar geleden publiceerde Facilitair! in het artikel'laat je hacken (maar dan legaal)' over de dertien belangrijkste kwetsbaarheden in de IT van veel organisaties. De tips zijn nog steeds actueel. In zes stappen een betere informatiebeveiliging Hoffmann Statistiek geeft in zijn laatste editie zes tips om tot een betere informatiebeveiliging te komen. Een licht bewerkte versie. 1. Stel een information security officer aan Een (parttime) information security officer bewaakt de voortgang op het gebied van informatiebeveiliging en andere beveiligingsaspecten binnen een organisatie. Hij stelt op strategisch, tactisch en operationeel gebied maatregelen op waarmee de organisatie de informatiebeveiliging naar een hoger niveau tilt. 2. Meet veilig gedrag Veilig gedrag is meetbaar. Sterker nog: alleen al het meten kan positieve
gedragsveranderingen teweegbrengen. Met metingen gaat de organisatie dus eigenlijk een stapje verder dan het creëren van bewustzijn met behulp van dilemma-sessies en workshops. 3. Neem patches op in de IT-maandplanning Patches zorgen ervoor dat software up-to-date is. Het is dus belangrijk om met name security patches altijd snel te installeren. Patches kunnen het best vast worden opgenomen in de maandplanning van IT-werkzaamheden. Dat voorkomt dat software verouderd raakt en de organisatie ongewild kwetsbaar wordt voor hackers. 4. Maak het netwerk 'forensic ready' Maak het netwerk forensic ready. Houd van belangrijke IT-systemen loggingbestanden bij en richt procedures in om te volgen bij een cyberincident. Mocht zo'n incident zich voordoen, dan is direct duidelijk hoe groot de schade is en op welke plek maatregelen moeten worden getroffen om de schade te beperken. 5. Maak goede afspraken met clouddiensten Slaat de organisatie cruciale informatie op in de cloud? Is bekend waar de gegevens zich fysiek bevinden? Zijn ze wel in Nederland? Zijn er afspraken met de cloudleverancier over toegang in geval van een incident? Maak vooraf een risico-inventarisatie en neem de uitkomsten hiervan mee in de eisen die worden gesteld aan de cloudleverancier. 6. Doe regelmatig een penetratietest Penetratietests, in het jargon: pentests, leggen de zwakke schakels van de informatiebeveiliging bloot. Laat met regelmaat een pentest uitvoeren. Op
basis van de resultaten kunnen maatregelen worden getroffen of aangescherpt om zo de beveiliging te optimaliseren. Cyber Maturity Scan Organisaties vinden het kennlijk lastig om de juiste maatregelen te nemen tegen cyber crime. Daarom heeft Hoffmann recent Cyber Maturity Scan geïntroduceerd. De scan geeft een organisatie snel inzicht in zijn 'volwassenheid' als het gaat om informatiebeveiliging, en kijkt daarbij niet alleen naar de techniek, maar ook naar beleid, processen, gedrag en cultuur. De Cyber Maturity Scan is te beschouwen als een nulmeting. Meer informatie op hoffmannbv.nl