Drie cyberfraude-wetten
Een tijd geleden woonde ik in San Francisco de RSA Conference bij. Een van de populairste sessies is het Panel van de Cryptografen, waarin enkele grondleggers van de moderne cryptografie de trends in onderzoek en in cybersecurity in het algemeen bediscussiëren. Zij kwamen tot drie zogeheten cyberfraude-wetten.
De RSA Conference in San Franciosco is de grootste jaarlijkse beurs en conferentie over cybersecurity in de wereld, met zo’n 22.000 bezoekers. Dit jaar bestond het Panel van de Cryptografen uit Ron Rivest, Adi Shamir, Whit Diffie en Ed Georgio (de voormalige chef code maker en code breaker bij NSA). Tijdens de sessie refereerde Adi Shamir aan zijn drie wetten van computer security, die hij enkele jaren geleden al formuleerde:
- Volledig veilige systemen bestaan niet
- Wil je je kwetsbaarheid halveren, dan moet je je uitgaven verdubbelen
- Cryptografie wordt niet aangevallen, maar omzeild
Zelf was ik lid van een panel over de beveiliging van online en mobiele bankapplicaties. De wetten van Adi Shamir inspireerden mij om zelf eveneens enkele wetten op te stellen over fraude in onze online wereld.
Wet #1: Er zal altijd cyberfraude zijn
Dit volgt uit de eerste wet van Adi Shamir en lijkt een vanzelfsprekendheid. We werken met systemen die veilig genoeg zijn en die fraude onder controle kunnen houden. Als we de fraude echter tot nul willen herleiden, hebben we middelen nodig die meer zullen kosten dan de fraude zelf. We willen de fraude dus eerder controleren, in de plaats van compleet wegnemen.
Wet #2: Cyberfraude verdwijnt niet, maar verandert van vorm (ook bekend als de ballonwet)
In de fysica kennen we enkele behoudswetten, zoals de wet van behoud van energie. Deze wet stelt dat de totale hoeveelheid energie in een gesloten systeem te allen tijde constant blijft. De energie die in het systeem voorhanden is, wordt omgezet naar een andere vorm (bijvoorbeeld van potentiële energie naar kinetische energie), maar kan niet worden vermeerderd of vernietigd.
Ik geloof dat er een gelijkaardige behoudswet geldt bij de fraude in de online wereld. Veiligheidscontroles die online applicaties beschermen zorgen er niet voor dat fraude verdwijnt, maar wel dat criminelen zich gaan focussen op andere applicaties en andere manieren om beveiligingscontroles te omzeilen. Met andere woorden: ze veranderen de fraude van vorm.
Dit wordt geïllustreerd door de evolutie van fraude met kredietkaarten in Canada, toen er werd overgeschakeld naar EMV (vernoemd naar de bedenkers: Europay, MasterCard en Visa). Voor de introductie van deze standaard voor bankpassen en kredietkaarten werd de meeste fraude gepleegd met vervalste of gekloonde kaarten. Deze vormen van fraude namen af toen steeds meer betaalkaarten EMV ondersteunden. Op hetzelfde moment, nam echter de Card Not Present (CNP) fraude toe, waarbij men online aankopen doet met gestolen kredietkaartnummers,. Vandaag is de totale fraude met kredietkaarten in Canada groter dan voor de introductie van EMV, voornamelijk door de stijging in CNP-fraude. Vergelijkbare patronen bestaan ook in andere regios, zoals in de Europese Unie. Fraude lijkt dus op een ballon: als je op het ene deel knijpt, wordt het andere deel groter.
Wet #3: Cyberfraude kiest de weg van de minste weerstand
Deze wet is vergelijkbaar met de derde wet van Shamir, die stelt dat cryptografische systemen niet worden aangevallen, maar omzeild worden. Hackers geven de voorkeur aan zoeken de zwakheden in de implementaties van de crypto-systemen en de key management-systemen en doen veel minder moeite om de algoritmes zelf te decoderen. Ook hier staaft het voorbeeld van de EMV-migratie in Canada deze wet. Door de EMV-technologie werd het klonen van kaarten veel moeilijker en nam de
Card-Not-Present-fraude toe. Dit leidde tot hogere verliezen door de CNP-fraude.
We zullen dan ook regelmatig nog schrikken van acties uitgevoerd door schimmige figuren in de digitale wereld! Helaas!
Frederik Mennes is manager Security Competence Center bij Vasco