29 jun / 2017

Geachte directeur, wat is malware?

De term malware wordt gebruikt wanneer iemand slachtoffer is geworden van software dat met kwaadwillende bedoelingen gemaakt is. Malware is een samenvoeging van Malicious en Software. Vrij vertaald uit het Engels betekent dit kwaadaardige software.

Malware is een verzamelnaam waarin we verschillende vormen onderscheiden. Zo zijn virussen, worms, trojan’s en ransomware vormen van malware. Deze vormen van malware zijn als het ware categorieën waarin we bepaalde kwaadaardige software kunnen plaatsen.

Bij ransomware wordt om losgeld gevraagd.

Zo is een virus kwaadaardige software die zich in een bestand nestelt en ongewenste activiteiten uitvoert. Wanneer kwaadaardige software bestanden van bijvoorbeeld Windows aanpast waardoor de computer crasht, dan valt dit in de categorie virus. Wanneer malware zich zelfstandig kan vermenigvuldigen valt dit in de categorie worms. Bij ransomware wordt de computer of bestanden op een computer gegijzeld, en wordt aan de eigenaar om losgeld gevraagd om deze weer terug te kunnen krijgen.

Maar hoe ontstaat nou eigenlijk malware?Over de hele wereld zijn er mensen bezig om malware te maken veelal met als doel om geld te verdienen. Maar ook overheden houden zich hiermee bezig om zo andere landen te bespioneren. Activisten maken malware om zo digitaal actie te voeren. En dan zijn er nog de security professionals die malware maken om de beveiliging bij bedrijven te testen.

Er wordt gezocht naar zwakke plekken in mensen, software en systemen.

Het maken of verspreiden van malware is in Nederland en vele andere landen strafbaar. Toch is het wereldwijd een populaire vorm van criminaliteit. De kans op veroordeling is zeer klein en de opbrengsten kunnen gigantisch zijn.

Effectieve malware slaat plotseling toe en maakt een golf aan slachtoffers. Dergelijke gebeurtenissen halen steeds vaker het journaal of de voorpagina van de krant. Wat wij niet zien is de maanden voorbereiding die hieraan vooraf is gegaan.

Voor het maken van malware wordt gezocht naar zwakke plekken in mensen, software en systemen. Deze zwakke plekken worden ook wel kwetsbaarheden genoemd. Iemand met kwaadwillende intenties die zoekt naar kwetsbaarheden in computersystemen noemen we een hacker. Hackers die veel slachtoffers willen maken zoeken naar kwetsbaarheden in systemen of software die door veel mensen worden gebruikt.

Software fabrikanten en antimalware leveranciers proberen de gaten te dichten en brengen updates en patches met verbeteringen uit. Om die reden gaan hackers steeds weer op zoek naar nieuwe kwetsbaarheden die nog niemand anders kent. Om zo toch weer slachtoffers te kunnen maken waarna vervolgens weer nieuwe updates en patches worden uitgebracht. Dit is een kat en muis spel tussen hackers en security professionals. Als gevolg hiervan wordt er technisch wel steeds beter beveiligd.

Maar zoals eerder gezegd wordt er bij het maken van malware niet alleen gezocht naar zwakke plekken in software en systemen. Ook de zwakke plekken in mensen spelen een rol. Malware kan doorgaans alleen maar toeslaan als het van buitenaf af op bijvoorbeeld een computer, telefoon of bedrijfsnetwerk terecht kan komen. Als dit een hacker technisch moeilijk wordt gemaakt dan gaat hij op zoek naar een zwakkere schakel. En naar mate alles technisch steeds beter beveiligd is blijkt de mens de zwakste schakel.

Het is makkelijker om mensen te misleiden.

Het is makkelijker om mensen te misleiden om kwaadwillende software binnen te halen dan om van buitenaf binnen te dringen. Eigen medewerkers die misleid worden en ter goeder trouw verkeerd handelen kunnen zo de deur open zetten voor hackers. De gevolgen hiervan lopen uiteen van verstoring van de continuïteit, imagoschade tot aan faillissement.

Steeds meer directies hebben iemand aangesteld voor informatiebeveiliging. Iemand die de eigen processen van de organisatie goed begrijpt en goed thuis is in de informatie technologie. Bijvoorbeeld een IT manager die een lange tijd in dienst is. Maar is iemand met een dergelijke functie ook in staat om medewerkers meer bewust te maken van de steeds veranderende risico’s? Krijgt deze functionaris voldoende de gelegenheid om zich te verdiepen in informatiebeveiliging? En is er budget om op onderdelen security kennis en ervaring in te huren?

Ik wil u als directeur vragen om even stil te staan bij de volgende vraag. Wordt uw security verantwoordelijke voldoende in staat gesteld invulling te geven aan informatiebeveiliging?

Bedrijven die voldoende investeren in het opleiden, trainen en inhuren van expertise lopen namelijk minder risico’s slachtoffer te worden van hackers en malware.In het voorgaande is uiteengezet wat malware is. Als u in dat stuk niets nieuws heeft gelezen dan is het uw security functionaris gelukt om u bewust te maken van deze risico’s. Anders ben ik blij dat ik mijn kennis met u heb kunnen delen en kunt u nu ook antwoord geven op de vraag: Wat is malware? Ik hoop dat u met deze inzichten uw voordeel kunt doen.

ing Ruben Zeegers CISSP RSE