18 sep / 2016

Blog Cybersecurity

Voorspelling: U wordt slachtoffer van Cybercriminaliteit
148_voorspelling_bol_toekomst_shutterstock_banner

Vaak zien we in de media berichten over cyberincidenten bij multinationals en overheden. Incidenten met grote financiële gevolgen, imagoschade of privacy datalekken. Over incidenten die tegen kleinere organisaties zijn gericht wordt nauwelijks in de media bericht. Hierdoor lijkt het alsof de meeste incidenten alleen grote bedrijven treft. Kleinere organisaties hebben hierdoor in toenemende mate een houding van: “Ons bedrijf is niet interessant genoeg voor cybercriminelen.”

De kans dat uw organisatie getroffen wordt is vrijwel zeker.

Een dergelijke houding is onverstandig en dit word duidelijk wanneer we beter kijken naar de wereld van de cybercriminaliteit. Je kunt het totaal aantal cybercriminelen als een piramide bezien. In de punt zitten de georganiseerde cybercriminelen die veel voorbereidingstijd nemen, nieuwe nog onbekende methodes ontwikkelen en gerichte aanvallen doen tegen overheden en multinationals. De criminelen aan de top zijn zeer getalenteerde hoogwaardige cybercriminelen die bij een succesvolle aanval gigantische schade aan kunnen richten. De geslaagde acties zien we dus regelmatig in het nieuws.

In het midden van de piramide zit een grotere groep cybercriminelen die gespecialiseerd zijn in een specifieke discipline. Als voorbeeld: Een crimineel is gespecialiseerd in het ontwikkelen van een bepaalde cyberaanval. Hij benadert anoniem een andere crimineel die illegaal een netwerk van computers in zijn macht heeft (botnet). Tegen betaling stelt die zijn botnet met een rekenkracht van honderden of duizenden computers beschikbaar. Met dit botnet van geïnfecteerde computers wordt de aanval uitgevoerd. Voor het geld dat wordt buitgemaakt, wordt er een andere crimineel ingezet, die gespecialiseerd is in bijvoorbeeld het witwassen van cryptogeld zoals bitcoins.

Zo bestaat er een hele middenmoot van criminelen die op onderdelen hun specialiteit hebben, innoveren en met elkaar middels het internet anoniem zaken doen in criminele activiteiten. Door deze middenmoot criminelen worden ook hacktools gemaakt waarmee iedereen een aanval kan doen. Deze tools zijn gebruiksvriendelijk en zijn tegen betaling op het internet te koop.

Onder in de piramide zit in aantal de grootste groep, de cyber-kruimeldieven. Zij hebben basiskennis van IT die hoger ligt dan de gemiddelde mens maar veel lager dan de anderen in de piramide. Ze maken gebruik van bestaande hacktools en methoden en misbruiken alom bekende kwetsbaarheden. Kwetsbaarheden waar doorgaans allang updates beschikbaar voor zijn. Deze aanvallen kunnen net als de meer geavanceerde aanvallen grote gevolgen voor de organisatie hebben.

Simpele en goedkope maatregelen bieden vaak al veel bescherming.

Uit het bovenstaande is op te maken dat veruit het grootste aantal cyberaanvallen weinig geavanceerd is. Maar omdat het aantal aanvallen zo groot is, is de kans dat uw organisatie hier op termijn door getroffen wordt vrijwel zeker. Als securityconsultant kom ik dan ook regelmatig organisaties tegen die te maken hebben met ransomeware of datalekken met grote schade als gevolg.

Het is zaak om hiertegen maatregelen te treffen waarmee schade kan worden voorkomen of beperkt. Omdat bij het overgrote deel van de aanvallen van bekende hackmethoden en kwetsbaarheden gebruik wordt gemaakt, bieden simpele maatregelen vaak al veel bescherming. En dit hoeft ook niet kostbaar te zijn, denk aan software security updates, backups, awareness en training.

Een startvereiste om security te verbeteren is kennis op het gebied van security en het vergroten van security awareness. Door medewerkers te trainen op het gebied van Information Security Management wordt hun kennis blijvend vergroot. Middels een relatief kleine investering is men beter in staat zich te beschermen tegen veel voorkomende incidenten. Er zijn maar weinig trainingingsorganisaties die Information Security Management trainingen aanbieden. Ik weet dat Global Knowledge hierin voorziet met hun Workshop Information Security Management. Zij maken gebruik van trainers uit de praktijk. Dit weet ik omdat ik als securityconsultant zelf deze training geef.

Door: ing Ruben Zeegers CISSP RSE