‘Bedrijven kunnen zich veel beter wapenen tegen cybercriminelen’

Cybercriminelen hebben voor elke bedrijfstak hun favoriete aanvalstechnieken. Zo zijn de retail en de financiële sector veel vaker dan andere sectoren slachtoffer van DDoS-aanvallen en is de grootste bedreiging in de gezondheidszorg de fysieke diefstal van apparatuur. Het merendeel van de bedrijven zou zich veel beter kunnen wapenen tegen cybercriminaliteit dan ze nu doen. Als zij zich tenminste beter in dit soort informatie zouden verdiepen.

Elk voorjaar presenteert internet- en security-specialist Verizon zijn DBIR-rapport. Daaruit blijkt dat voor veel bedrijfstakken slechts drie verschillende soorten cybercriminaliteit vaak voorkomen. We bespreken dit met Laurance Dine. Hij is Managing Principal, Investigative Response bij het RISK Team van Verizon. Dit team onderzoekt cybercriminaliteit in opdracht van bedrijven die daarvan het slachtoffer zijn geworden. Hij komt nog steeds vaak bedrijven tegen die zwakke gaten hebben in hun verdediging tegen cybercriminaliteit.

Wat treffen jullie aan bij bedrijven?

Natuurlijk ben je nooit honderd procent zeker dat je geen slachtoffer wordt van een cyberaanval, maar sommige bedrijven maken het kwaadwillenden wel erg makkelijk. We zien bij veel bedrijven dat ze niets doen om bekende lekken te dichten terwijl de patches gewoon voorhanden zijn. Vaak gaat het om lekken die al sinds 2007 bekend zijn en dus al acht jaar open staan. Het gaat mij te ver om te stellen dat dit te maken heeft met luiheid, vaak is het een combinatie van factoren. Het is belangrijk dat het personeel op regelmatige basis bijgeschoold wordt en dat de beveiligingsstrategie continu top of mind blijft. De tijd staat niet stil en datzelfde zou moeten gelden voor elke security-strategie. We zien dat aanvallen steeds complexer worden.

In wat voor opzicht worden aanvallen dan complexer?

We zien dat technieken die al decennialang bestaan, zoals phishing en hacking, nog steeds in hoge mate gebruikt worden, maar tegenwoordig vaak in combinatie met elkaar. Bij 70 procent van de cyberaanvallen die we vorig jaar geanalyseerd hebben was sprake van een combinatie van technieken. We zien steeds vaker dat er indirecte aanvallen plaatsvinden, waarbij ook een tweede slachtoffer betrokken is. Dit maakt een inbreuk nog complexer. Je kunt dit zien als de volgende generatie van de cyberaanval, een meer geavanceerde aanval van de traditionele methoden om gevoelige informatie in te zien of te stelen. Cybercriminelen maken gebruik van steeds geavanceerdere methoden. Ze spelen in op de ontwikkeling dat security-strategieën steeds sterker worden. Er vindt een continue evolutie plaats van aanvalsmethoden die de nieuwe beveiligingstechnologieën van bedrijven proberen te omzeilen.

Veel bedrijfstakken kennen slechts drie verschillende soorten cybercriminaliteit die vaak voorkomen. Kun je daarvan voorbeelden geven?

Ja, we zien duidelijke verschillen in de verschillende sectoren. Zo vallen in de maakindustrie ruim twee derde van alle aanvallen in de categorieën Denial of Service, cyberspionage en crimeware. In de gezondheidszorg zijn fysieke diefstal en het verlies van apparatuur, misbruik van bevoegdheden en diverse fouten juist de grootste bedreigingen. Natuurlijk adviseren we niet om alle andere vormen van cybercriminaliteit te verwaarlozen, maar die kennis helpt wel bij het stellen van prioriteiten binnen je beveiligingsstrategie.

Denial of Service-aanvallen krijgen veel aandacht in de media, maar komen volgens jullie DBIR-rapport van dit voorjaar relatief weinig voor. Verbaast die aandacht je?

DoS is goed voor 3,9 procent van alle beveiligingsincidenten, maar dat is wel een verdubbeling in vergelijking met het voorgaande jaar. In de financiële sector draait bijna een derde van alle aanvallen om DoS. Het is dan ook niet gek dat er veel media-aandacht is rond dit soort aanvallen. Alle bedrijven die online zaken doen moeten er daarom ook voor zorgen dat ze een goed plan hebben om zich te beschermen tegen dit soort aanvallen en dit plan regelmatig testen. Misschien wel het belangrijkste advies dat ik bedrijven kan geven om de schade van DoS-aanvallen te verkleinen is dat bedrijfskritische systemen een apart netwerk moeten krijgen. Op die manier voorkom je dat minder belangrijke systemen gebruikt kunnen worden als gateway naar de bedrijfskritische.

Volgens jullie gegevens zijn aanvallen op de point-of-sale relatief vaak succesvol. Hoe verklaar je dat?

Vooral de horeca- en de retailsector lijden onder aanvallen op de POS. Waar het meestal misgaat is dat organisaties nog altijd vertrouwen op single-factor authenticatie van hun POS. Dat maakt het voor hackers eenvoudig om toegang te krijgen als ze wachtwoorden hebben weten te kraken of stelen. Ze richten zich op de makkelijkste doelgroep die ze kunnen vinden. Zo lang veel bedrijven nog niet aan two-factor authenticatie doen zullen de criminelen zich op de POS blijven richten. Wat ook een veel voorkomende fout is, is dat bedrijven hun medewerkers toestaan om de POS te gebruiken voor zaken waarvoor hij niet bedoeld is, zoals het checken van hun e-mail. Als je erop toeziet dat de POS alleen gebruikt wordt voor het betalingsverkeer, verklein je de kans op een succesvolle aanval.

Kun je iets zeggen over de motieven van cybercriminelen? Zie je daar een verschuiving in?

De motieven voor de aanvallen zijn al jaren heel gevarieerd en dat zullen ze altijd blijven. Aanvallers kunnen op zoek zijn naar betaalkaartgegevens of gevoelige commerciële informatie, of gewoon zaken willen verstoren. Wat het motief ook is, een aanval heeft altijd impact op een bedrijf. Mijn belangrijkste advies aan bedrijven is 'alert blijven'. Niemand is immuun voor cybercrime en hoe langer het duurt voor een organisatie om een datalek te ontdekken, hoe meer tijd aanvallers hebben om gegevens te verzamelen en schade te veroorzaken. Uitgebreide beveiliging is geen luxe, maar een dagelijkse noodzaak.

Wat zijn de belangrijkste componenten van een goede beveiligingsstrategie?

Die componenten zijn in drie groepen te verdelen - mensen, data en strategie. Over de mensen kan ik zeggen: maak mensen/werknemers uw eerste verdedigingslinie. Zorg dat uw personeel op zijn hoede is. Ten aanzien van data is het goed om op need to know"–basis te werken, gevoelige gegevens altijd te versleutelen en two-factor authenticatie te gebruiken. Een strategie hebben is niet voldoende, je moet hem ook op regelmatige basis bijstellen. Vergeet daarbij niet dat een goede strategie niet alleen betrekking heeft op virtuele data, maar ook op fysieke activa.

Van de redactie