Cybercrime-as-a-Service



Vergelijkbare documenten
KENNISMAKEN MET ONS TURIEN & CO. ASSURADEUREN BJÖRN JALVING

Security Starts With Awareness

HET CENTRALE SECURITY PLATFORM

Beveilig klanten, transformeer jezelf

Je bent zichtbaarder dan je denkt Een programma over cyber security awareness. Informatie voor managers

Agenda. De Cyberwereld. - Cybercrime en Cyber Security - Veilig Zakelijk Internetten. Allianz Cyber

1. Inhoudsopgave.

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Digitale Veiligheid 3.0

Wat. nou. cloud?! De zin én onzin! CSP

Staat u wel eens stil bij de datarisico s die u loopt? verzekering bedrijfsrisico hypotheek pensioen

Quick guide. IT security, AVG en NIB. Version 3.0

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Digitale Veiligheid 3.0

CYBER?! WAAR HEBBEN WE HET EIGENLIJK OVER? WELKE RISICO S LOPEN BEDRIJVEN?

Cybersecurity in het MKB

DE 5 VERBETERPUNTEN VAN UW SECURITY

Drie digitale bedreigingen, drie oplossingen

1 Ransomware Preventie Slachtoffer van ransomware?... 8

DIGITALE VEILIGHEIDSCHECK MKB

Cybersecurity in het MKB moet beter. Ondernemers zijn matig beveiligd terwijl cybercriminaliteit groeit

RANSOMWARE. Informatiefolder voor melders

Gebruikersdag Vialis Digitale Veiligheid

CLOUDCOMPUTING (G)EEN W LKJE AAN DE LUCHT!

Cybersecuritybeeld Nederland

Hoe veilig is uw data? Oscar Vermaas Hoffmann bedrijfsrecherche B.V.

Help, mijn datacenter is gehackt! KPN Security Services / Han Pieterse

Is jouw digitale buur (m/v) ook te vertrouwen? René van Etten en Richard Klein

Welkom op dit symposium met de pakkende titel Cybercrime, de digitale vijand voor ons allen.

Gebruik tweefactorauthenticatie

Wat te doen tegen ransomware

Cyber en Data Risks. Brochure Eikelenboom & Plücker Adviesgroep BV

Kennissessie Information Security

HOE RANSOMWARE JOUW ORGANISATIE KAN GIJZELEN. Ransomware aanvallen en hoe deze worden uitgevoerd

Cyber en Data Risks. Brochure Perrée & Partners

Cyber en Data Risks DATAVERZEKERING.NL ONDERDEEL VAN T&W TILBURG

Productopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen.

VAN ZAKKENROLLER TOT CYBER CRIMINEEL

NEXT LEVEL DATA SECURITY DRIE VOORDELEN VAN WERKEN IN DE CLOUD

Robert de Heer. IT Service Group. Cybercrime. Grote markt

1. Inhoudsopgave.

1. Inhoudsopgave.

ESET NEDERLAND SECURITY SERVICES PREDICTION

Cyber en Data Risks. BusinessCare & Insurance Risico- en verzuimmanagement

BIC Building Blocks Beleid & Strategie

1. Inhoudsopgave.

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag. Datum 22 mei 2013 Beantwoording Kamervragen 2013Z08874

Bestuurlijk advies: backup tegen cryptoware

1. Inhoudsopgave. huninkdorgelo.nl

1. Uw tablet beveiligen

1. Inhoudsopgave. gloudemansadviesgroep.nl

WHITEPAPER. Security Assessment. Neem uw security serieus en breng het tot een hoger niveau. networking4all.com / whitepaper / security assessments

Position Paper rondetafelgesprek Online Betalingsverkeer - 30 mei 2013

Cybersecuritybeeld Nederland 2016 Vier opvallende ontwikkelingen uit het CSBN 2016:

1. Inhoudsopgave.

Hoe vertaal je security beleid naar operatie?

1. Inhoudsopgave.

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

Factsheet DATALEKKEN COMPLIANT Managed Services

Tweede Kamer der Staten-Generaal

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

1. Inhoudsopgave. 2

Security Awareness

Laat je hacken (maar dan legaal)

Cyberrisico s in de praktijk

ALLIANZ CYBERVERZEKERING

Bijlage 2: Communicatie beveiligingsincidenten

WHITEPAPER. Security Awareness: Maak medewerkers tot een sterke schakel in de beveiliging van uw IT-omgeving

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines

Nieuwe Privacywetgeving per Wat betekent dit voor u?

Informatiebeveiliging voor gemeenten: een helder stappenplan

Procedure datalekken NoorderBasis

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

De belangrijkste cybersecuritybedreigingen. En wat u er tegen kunt doen

Verbeter je cybersecurity

Protocol Informatiebeveiliging en Datalekken (PID) Aloysius

Cyber en Data Risks. Brochure Leemans Assurantie Adviseurs

Cybersecurity & Ransomware Sebastiaan Kok. 1 juni 2017

Over Vest Pioniers in informatiebeveiliging

Bijlage VMBO-GL en TL

Datalekken (en privacy!)

Digitale veiligheid. Hoe kijken consumenten en bedrijven aan tegen digitale veiligheid? GfK Yvette Bracke & Koen van Nijnatten September 2018

8 aandachtspunten bij beveiliging voor gemeenten

LIO NOREA bijeenkomst 4 februari 2019

Infosessie Cybersecurity Prevor-dag Vorselaar. Bert Bleukx

Security Assessment. Laat uw bedrijfsbeveiliging grondig testen

Taak Hoe moet dat Inhoud

Gemeente Alphen aan den Rijn

Digitale Veiligheid 3.0

DELTA AUTOMATISERING EN ESET VERBONDEN DOOR ENTHOUSIASME

CYBER SECURITY MONITORING

Cyber en Data Risks. Brochure Het Financiële Huis

Het is voorlopig nog onduidelijk wie achter deze aanvallen zit en wat de initiële infectievector is.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Hoe houdt u uw data GDPR-proof?

Beveiliging en bescherming privacy

Transcriptie:

Cybercrime-as-a-Service De wereld van de cybercriminaliteit professionaliseert in hoog tempo. Er zijn tegenwoordig zelfs websites waar criminelen simpelweg de softwarecomponenten kunnen bestellen die ze nodig hebben voor hun digitale inbraken: Cybercrime-as-a- Service. Ook het niveau van dienstverlening stijgt: er zijn ransomware-bendes die over een helpdesk beschikken voor bedrijven die hebben betaald maar hun computersysteem niet opnieuw aan de praat krijgen. Het is de grootste vrees van banken en waarschijnlijk ook overheden: een great bank robbery, maar dan digitaal. In 2015 kwam het Russische beveiligingsbedrijf Kaspersky met de onthulling dat de Cabernak-bende misschien wel 1 miljard dollar buit had gemaakt door in te breken bij een reeks van banken. Begin dit jaar slaagden cybercriminelen erin om een bank in Bangladesh digitaal binnen te dringen. Alleen omdat de overvallers een tikfout maakten bleef de buit beperkt: ze wisten geen 840 miljoen dollar weg te sluizen, maar 'slechts' 72 miljoen. De daders zijn spoorloos. Maar daarmee is het verhaal nog niet afgelopen. Volgens de Britse defensiespecialist BAE Systems zijn de bankrovers erin geslaagd om bij dezelfde hack ook in te breken in

Swift, het wereldwijde elektronische netwerk waarmee ruim 11.000 banken hun onderlinge transacties afwikkelen. De organisatie achter Swift ontkende eerst dat de systemen in gevaar zijn geweest, maar heeft later moeten toegeven dat hun netwerk inderdaad is geïnfiltreerd. Het gerucht wil dat er op deze manier onder andere een Amerikaanse bank is beroofd. Criminele diensten op maat De wereld van de cybercrime professionaliseert in hoog tempo. Het Nationaal Cyber Security Centrum (NCSC), onderdeel van het ministerie van Veiligheid en Justitie, waarschuwt er omstandig voor in zijn laatste rapport. 'Een crimineel heeft al lang geen digitale vaardigheden meer nodig om digitale aanvallen uit te voeren.' Ze kunnen namelijk terecht bij andere criminelen die diensten op maat leveren. 'Deze zogenoemde cybercrime-as-a-service blijft zich verder ontwikkelen en professionaliseren. Het is daarom voorstelbaar dat het aantal digitale aanvallen door criminelen niet alleen in omvang, maar ook in diversiteit zal toenemen.' Cybercriminelen worden ook steeds inventiever in het kiezen van hun buit. In de VS is de database van zorgverzekeraars gehackt, waarschijnlijk om met de persoonsgegevens van de verzekerden financiële fraude en zorgverzekeringsfraude te plegen. Ook wisten hackers toegang te krijgen tot data uit de farmaceutische sector, informatie waarmee ze konden voorspellen hoe de beurskoersen

van de beroofde bedrijven zich naar alle waarschijnlijkheid zouden ontwikkelen. Helaas zijn er niet echt harde feiten over de omvang en de groei van cybercriminaliteit. Veel digitale criminaliteit blijft waarschijnlijk onontdekt, bovendien doen veel bedrijven en organisaties geen aangifte want dat kan slecht zijn voor het imago. In Nederland moet de meldplicht datalekken daar verandering in brengen: bedrijven en overheden zijn sinds begin 2016 verplicht elk ernstig datalek waarbij persoonsgegevens zijn betrokken direct te melden bij de Autoriteit Persoonsgegevens. Deskundigen hopen dat de meldplicht zal leiden tot meer IT-security awareness bij bedrijven. Dat is nodig, want de overheid wil dat handelsnatie Nederland een veilige, open en stabiele informatiesamenleving is. In de woorden van staatssecretaris Dijkhoff: 'Digitale veiligheid, en dus veilig en ongestoord gebruik kunnen maken van ICTmogelijkheden, is een randvoorwaarde voor het goed functioneren van de samenleving en dus onze toekomst.' Een op de vier bedrijven 'Grote Nederlandse bedrijven zoals banken, verzekeraars en telecombedrijven hebben inmiddels allemaal cyber security programma's en een security operations center waar ze hun technische systemen continu monitoren,' zegt Petra Oldengarm, manager van de unit cyber security van Hoffmann Bedrijfsrecherche. Dat blijkt ook wel: Nederlandse bedrijven en

organisaties zijn bijvoorbeeld steeds beter in staat om (D)DoS aanvallen af te slaan. 'Criminelen zullen zich dus eerder richten op de bedrijven die wel kwetsbaar zijn. En bij die bedrijven staat ICT beveiliging soms helemaal niet op de agenda.' Hoffmann heeft er recent onderzoek naar laten doen. Bij slechts 16 procent van de middelgrote en grote organisaties leeft het onderwerp informatiebeveiliging daadwerkelijk. Dat terwijl het ook voor deze bedrijven wel degelijk actueel moet zijn. Uit hetzelfde onderzoek blijkt namelijk dat ongeveer een kwart van de ondervraagde bedrijven in de afgelopen twee jaar te maken heeft gehad met een cybercrime incident. Het is wel opvallend dat bijna geen enkele getroffen organisatie na zo'n incident structurele maatregelen heeft genomen om herhaling te voorkomen. Petra Oldengarm: 'Wij vragen organisaties altijd wat hun kroonjuwelen zijn. Vaak blijft het dan stil. Bedrijven zijn erg gericht op hun producten en diensten en de verkoop daarvan, informatie zien ze als iets dat niet belangrijk is, dat alleen nodig is voor de ondersteuning. Maar voor cybercriminelen is juist de informatie van een bedrijf heel waardevol.' Dan gaat het zeker niet alleen om waardevolle onderzoeksresultaten of uitvindingen. 'Ook een klantenbestand kan cruciale informatie zijn. Wat ook voorkomt: dat hackers in de administratie IBAN nummers aanpassen, zodat bij de eerstvolgende betaalbatch grote sommen geld naar criminele rekeningen worden overgeschreven. Zie het geld dan maar eens terug te halen, je hebt het immers zelf overgeboekt.'

Ransomware De kwetsbaarheden zijn eigenlijk nog steeds hetzelfde: mensen maken zwakke wachtwoorden aan, bedrijven werken met verouderde software, servers zijn niet goed beveiligd, systemen zijn niet gecompartimenteerd en er is geen (goede) back up van het systeem en de bestanden. Ook de meest gebruikte methode om binnen te komen is niet veranderd: via een (spear) phishing mail. 'De kwaliteit van de phishingteksten is steeds beter geworden,' constateert het NCSC in zijn rapportage. 'Het is gebruikers bijna niet meer kwalijk te nemen dat ze hierin trappen.' Petra Oldengarm adviseert bedrijven om niet alleen systemen te compartimenteren en een goede back up te maken, maar ook de ICT infrastructuur 'forensic ready' te maken. 'Als je ervoor zorgt dat het systeem wordt gemonitord en dat er goede loggingbestanden worden aangelegd, dan is bij een cyberincident beter te achterhalen wat er precies is gebeurd. Dat bespoedigt het herstel van de systemen en geeft meer zekerheid dat het incident daadwerkelijk is verholpen.' Maar zover zijn de meeste bedrijven voorlopig nog niet. 'Ze zijn vaak nog niet eens begonnen met het maken van een risico inventarisatie of het laten uitvoeren van een penetratietest, twee stappen op weg naar digitale veiligheid.'

Helpdesk Als een bedrijf in paniek opbelt omdat ze te maken hebben met ransomware of cryptoware, malware waarbij alle data worden versleuteld, adviseert Hoffmann soms om toch maar te betalen. 'Zeker als er geen actuele back up is en er voor de organisatie zeer cruciale bestanden zijn versleuteld. Het gaat meestal om kleine bedragen, rond de 250 euro, als je tenminste meteen betaalt. Ik weet het, de overheid raadt betalen af, met als argument dat je niet zeker weet of het systeem na betaling weer wordt vrijgegeven. Maar ik denk daar toch iets genuanceerder over. Het is het businessmodel van veel van deze criminelen om bij veel bedrijven kleine bedragen op te halen. Als ze niet doen wat ze beloven krijgen ze een slechte naam en droogt hun inkomstenstroom op.' Het dienstverleningsniveau van deze criminelen is daar tegenwoordig ook naar. Petra Oldengarm: 'Bij een klein bedrijf dat wij hebben geholpen ging na betaling het ontsleutelen mis. Toen bleek er zelfs een helpdesk te zijn waarmee de systeembeheerder kon chatten. Hij werd fantastisch geholpen: uiteindelijk kreeg hij nieuwe software geleverd om de ransomware eraf te halen.' Een waarschuwing is wel op zijn plaats: 'Na het betalen van losgeld moeten wel de ICT systemen worden doorgelicht op eventuele achtergebleven malware. Ook is het verstandig om te kijken of de systemen echt up to date zijn en alle patches zijn geïnstalleerd. Verouderde ICT-systemen zijn aanzienlijk kwetsbaarder bij dit soort aanvallen.'

Uitval is geen optie Cybercriminaliteit wordt steeds bedreigender, want we zijn almaar afhankelijker van de computer. Of zoals de NCSC schrijft: 'Wanneer ICT systemen voor de ondersteuning van maatschappelijke processen niet beschikbaar zijn, is er in een groeiend aantal gevallen geen analoog alternatief meer. De beschikbaarheid van deze ICT systemen wordt daarmee belangrijker: uitval is geen optie. Tegelijkertijd is de onderliggende technologie complexer dan bij analoge systemen. Ook zijn deze systemen gemakkelijker aan te vallen als ze via het internet bereikbaar zijn.' Voor bedrijven geldt eigenlijk hetzelfde, zegt Petra Oldengarm: 'Organisaties zijn steeds afhankelijker van hun ICT, en worden tegelijkertijd steeds kwetsbaarder, ook omdat de rol van de gebruiker in belang is toegenomen. Elk mobiel device is een toegangspoort geworden tot de bedrijfsinformatie.' Nog een probleem: 'Jongeren vinden privacy niet zo belangrijk. Ook dat leidt tot onveilig gedrag.' Het is dan ook lang niet meer afdoende om alleen technologische maatregelen te nemen. 'De processen moeten eveneens goed zijn ingericht. En je moet kijken naar de rol van de mens.' Hoffmann heeft daar recent zelfs een psycholoog voor in dienst genomen. 'Het gaat om gedrag. Een workshop security awareness maakt mensen vaak wel bewust van hun onveilige gedrag, maar dat is meestal niet voldoende. We moeten mensen ook helpen hun gedrag te veranderen.' De ICT beveiliging is daarmee niet langer (alleen) de verantwoordelijkheid van de

IT manager. 'Het moet zijn belegd in de board. Alleen dan gaat informatiebeveiliging echt goed werken. In de board moet inzicht zijn in de belangrijkste risico's die een organisatie loopt op dit gebied. Bovendien: ook veilig gedrag begint met een goed voorbeeld in de top van de organisatie.' De technologiesector kan helpen. 'Hier ligt volgens mij een grote kans voor bedrijven: ze zouden het mensen makkelijker kunnen maken om zich veiliger te gedragen. Denk aan een vingerafdruksensor in elk toetsenbord, dan hoeven mensen nooit meer een wachtwoord te onthouden. Dat zou al heel veel schelen.' Petra Oldengarm Hoffmann Bedrijfsrcherche is al jaren actief in de informatiebeveiliging, en heeft daar nu zelfs een speciale business unit voor. Petra Oldengarm, die sinds een half jaar leiding geeft aan deze unit, studeerde technische informatica aan de

Rijksuniversiteit Groningen, was als innovationteam manager bij KPN Research verantwoordelijk voor het ontwikkelen van internetdiensten, heeft op het ministerie van Binnenlandse Zaken leiding gegeven aan een team van analisten en beleidsmedewerkers op het gebied van openbare orde en veiligheid en cyber security, en was als IT-manager bij ECN (Energieonderzoek Centrum Nederland) en NRG (Nuclear Research & Consultancy Group) onder meer verantwoordelijk voor de informatiebeveiliging op deze high risk-locatie. Steeds afhankelijker van ICT Uitval is geen optie meer, schrijft het NCSC in zijn rapport. We zijn namelijk steeds afhankelijker van ICT-systemen, ook voor de ondersteuning van maatschappelijke processen. Als de computers van ProRail vastlopen, kunnen vaak tienduizenden reizigers geen kant meer op. Toen in 2008 de ICT in de tunnels van de Limburgse A73 faalde, moest het verkeer maandenlang weer over die oude en gevaarlijke rijkswegen. Eerder dit jaar ging het mis bij de Ketheltunnel in de A4 (foto). Daar waren het kinderziektes waardoor de tunnel tijdelijk niet kon worden gebruikt. Maar het geeft wel aan hoe belangrijk het is dat ICT-systemen goed functioneren. En dus ook goed zijn beveiligd tegen hackers en (D)DoS-aanvallen. ING, ABN Amro, SNS, KLM, NS en DigiD kunnen erover meepraten: ze moesten in 2013 allemaal toezien

hun systemen werden platgelegd door zo'n aanval. In augustus 2015 was Ziggo tot twee keer toe slachtoffer en zaten meer dan 3 miljoen mensen een avond lang zonder tv, internet en telefoon. Cybercrime komt daarmee steeds dichterbij. Want met het Internet of Things worden ook dagelijkse processen bij consumenten kwetsbaar, zoals bijvoorbeeld bezitters van een Mitsubishi Outlander recent konden ervaren. De auto heeft een eigen wifinetwerk, maar dat was zo slecht beveiligd dat criminelen er makkelijk op konden inbreken en zo, onder meer, het alarmsysteem van de auto konden uitschakelen. Lees meer Het actuele dreigingsbeeld Het Nationaal Cyber Security Centrum (NCSC) is onderdeel van de Directie Cyber Security van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Het NCSC geldt als het centrale meld en informatiepunt voor dreigingen en incidenten op het gebied van ICT. Het rapport dat in het artikel wordt geciteerd heeft als titel 'Cybersecuritybeeld Nederland 2015' en is te downloaden op facilitaironline.nl Trends in risk cyber security Een verslag van het onderzoek dat Hoffmann recent heeft laten uitvoeren over cybercrime in Nederland is te lezen in de laatste editie van Hoffmann Statistiek. DownloadHoffmann Statistiek op facilitaironline.nl of op te vragen per mail (info@hoffmannbv.nl).

Factsheets ICT-dreigingen De NCSC publiceert met regelmaat factsheets over actuele ICT dreigingen en geeft concrete tips hoe bedrijven zich tegen deze dreigingen kunnen beschermen. Stuk voor stuk must reads voor iedereen die bezig is met IT beveiliging. Er zijn inmiddels al meer dan vijftig van dergelijke fact sheets beschikbaar. De factsheets ICT dreigingen zijn hier gratis te downloaden. Laat je hacken (maar dan legaal) Drie jaar geleden publiceerde Facilitair! in het artikel'laat je hacken (maar dan legaal)' over de dertien belangrijkste kwetsbaarheden in de IT van veel organisaties. De tips zijn nog steeds actueel. In zes stappen een betere informatiebeveiliging Hoffmann Statistiek geeft in zijn laatste editie zes tips om tot een betere informatiebeveiliging te komen. Een licht bewerkte versie. 1. Stel een information security officer aan Een (parttime) information security officer bewaakt de voortgang op het gebied van informatiebeveiliging en andere beveiligingsaspecten binnen een organisatie. Hij stelt op strategisch, tactisch en operationeel gebied maatregelen op waarmee de organisatie de informatiebeveiliging naar een hoger niveau tilt. 2. Meet veilig gedrag Veilig gedrag is meetbaar. Sterker nog: alleen al het meten kan positieve

gedragsveranderingen teweegbrengen. Met metingen gaat de organisatie dus eigenlijk een stapje verder dan het creëren van bewustzijn met behulp van dilemma-sessies en workshops. 3. Neem patches op in de IT-maandplanning Patches zorgen ervoor dat software up-to-date is. Het is dus belangrijk om met name security patches altijd snel te installeren. Patches kunnen het best vast worden opgenomen in de maandplanning van IT-werkzaamheden. Dat voorkomt dat software verouderd raakt en de organisatie ongewild kwetsbaar wordt voor hackers. 4. Maak het netwerk 'forensic ready' Maak het netwerk forensic ready. Houd van belangrijke IT-systemen loggingbestanden bij en richt procedures in om te volgen bij een cyberincident. Mocht zo'n incident zich voordoen, dan is direct duidelijk hoe groot de schade is en op welke plek maatregelen moeten worden getroffen om de schade te beperken. 5. Maak goede afspraken met clouddiensten Slaat de organisatie cruciale informatie op in de cloud? Is bekend waar de gegevens zich fysiek bevinden? Zijn ze wel in Nederland? Zijn er afspraken met de cloudleverancier over toegang in geval van een incident? Maak vooraf een risico-inventarisatie en neem de uitkomsten hiervan mee in de eisen die worden gesteld aan de cloudleverancier. 6. Doe regelmatig een penetratietest Penetratietests, in het jargon: pentests, leggen de zwakke schakels van de informatiebeveiliging bloot. Laat met regelmaat een pentest uitvoeren. Op

basis van de resultaten kunnen maatregelen worden getroffen of aangescherpt om zo de beveiliging te optimaliseren. Cyber Maturity Scan Organisaties vinden het kennlijk lastig om de juiste maatregelen te nemen tegen cyber crime. Daarom heeft Hoffmann recent Cyber Maturity Scan geïntroduceerd. De scan geeft een organisatie snel inzicht in zijn 'volwassenheid' als het gaat om informatiebeveiliging, en kijkt daarbij niet alleen naar de techniek, maar ook naar beleid, processen, gedrag en cultuur. De Cyber Maturity Scan is te beschouwen als een nulmeting. Meer informatie op hoffmannbv.nl

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback