‘Nederlandse organisaties onderschatten de gevaren van cybercrime’
Dat was een van de conclusies tijdens D3NH4CK, de securityconferentie die DearBytes deze week hield in Den Haag.
Security leeft niet genoeg in het bedrijfsleven. Het staat nog onvoldoende op de agenda in veel boardrooms. “Zeer gevaarlijk, want ondertussen zijn we met zijn allen steeds meer afhankelijk van digitale technologie”, zegt Erik Remmelzwaal, directeur bij DearBytes. “Nederland als kenniseconomie heeft veel te vrezen van cyberdreigingen, die in aantal en professionaliteit toenemen.”
Deze zorgwekkende ontwikkelingen mogen absoluut niet onderschat worden. 5 redenen waarom Nederland wat betreft security niet op zijn lauweren kan rusten:
1. Ransomware neemt in slagkracht toe
De schade van de recente WannaCry-uitbraak bleef in Nederland dan wel relatief beperkt, toch is ransomware veruit de grootste cyberdreiging van dit moment. Het probleem is dat cybercriminelen steeds slimmere technieken gebruiken.
Remmelzwaal: “Zo is gepersonaliseerde ransomware aan een opmars bezig. Hiermee kunnen kwaadwillenden kinderlijk eenvoudig een ransomwareaanval 'op smaak' brengen. Via een eenvoudige interface stellen ze bijvoorbeeld in welk mailadres de ontvanger te zien krijgt in de losgeldmelding, welke systemen besmet worden en welke bestanden het moeten ontzien. Een voorbeeld daarvan is WYSIWYE (What You See Is What You Encrypt).”
Een andere gevaarlijke trend is doxware. “Deze ransomwarevariant maakt gevoelige informatie openbaar op het moment dat losgeld niet betaald wordt. Hiermee hebben cybercriminelen een nieuw, krachtig pressiemiddel in handen”, zegt Remmelzwaal.
2. Quantum computing wordt nu echt realiteit
Al jarenlang schrijven experts en futurologen over quantum computing: systemen die dankzij technologie op atoomniveau ongekend krachtig zijn. Veel krachtiger dan de krachtigste systemen van nu. In handen van cybercriminelen is dat heel slecht nieuws. Zo is het kraken van veel van de huidige encryptiesystemen voor een quantum computer kinderspel. In handen van nieuwsgierige overheden vormen deze systemen om dezelfde reden een enorme potentiële inbreuk op de privacy van burgers en organisaties.
De eerste quantum computers zullen zeer waarschijnlijk binnen een aantal jaar het levenslicht zien. De discussie over het gebruik van dergelijke middelen is echter nog totaal niet op gang gekomen. Ondertussen hebben partijen als de NSA al wel vergevorderde plannen, en loopt Nederland straks achter de feiten aan. We moeten ons nu al buigen over deze problematiek.
Remmelzwaal: “Het bedrijfsleven moet nagaan welke gevolgen quantum computing voor hun security kan hebben, en hoe zij hierop kunnen anticiperen. Zij moeten nu echt gaan nadenken over een levensvatbare strategie om deze problematiek het hoofd te bieden.”
3. Zowel organisaties als securitypartijen denken nog teveel in puntoplossingen
IT, en daarmee ook IT-security, is in relatief korte tijd enorm ingewikkeld geworden. Trends als Bring Your Own Device en cloud computing hebben geresulteerd in een diffuus IT-landschap met vele 'ingangen' voor kwaadwillenden. Waar vroeger security vooral een kwestie was van het plaatsen van een firewall aan de rand van de organisatie, is dat niet meer afdoende. Het vraagt om een geïntegreerde, strategische aanpak met op elkaar afgestemde oplossingen.
Toch denken nog steeds veel organisaties in puntoplossingen. “Bedrijven bestellen bijvoorbeeld nog vaak een firewall bij fabrikant A, en endpoint security bij partij B”, zegt Vincent Zeebregts, country manager Netherlands bij Fortinet. Die 'best of breed'-aanpak levert een wirwar aan oplossingen die niet of onvoldoende op elkaar zijn afgestemd. Dat vormt een enorme bedreiging voor de security van organisaties.
Zeebregts: “Securityleveranciers moeten veel meer 'uitzoomen' en vanuit strategisch oogpunt op elkaar afgestemde totaaloplossingen aanbieden. Op hun beurt moeten organisaties beseffen dat het 'bij elkaar shoppen' van security leidt tot onveilige situaties. Bovendien zorgt het complexe beheer van zo'n omgeving vaak voor onnodig hoge kosten.”
4. Geavanceerde tools in handen van de 'massa'
Zeer krachtige cyberwapens zijn in toenemende mate beschikbaar voor de hoogste bieder. Deze 'democratisering' van gevaarlijke hackingtools vormt een grote bedreiging voor de security van organisaties.
Een recent voorbeeld is het hackerscollectief The Shadow Brokers. Zij hebben van de NSA een aantal zeer krachtige hackingtools gestolen. Dit gevaarlijke digitale breekijzer verkopen zij voor geld aan derden. Het gebruik van die tools is geen hogere wiskunde: iedereen met enig verstand van IT kan deze inzetten om een digitale ramkraak te plegen. Bescherming tegen deze tools is zeer lastig en vereist geavanceerde middelen. Remmelzwaal: “Gelukkig komen er wel patches beschikbaar, maar dat vereist een actief patchbeleid. Er zijn nog teveel organisaties die daar onvoldoende aandacht aan schenken.”
5. 'Dat overkomt ons niet'-mindset heerst nog steeds
Veel bedrijven denken dat ze niet interessant zijn voor cybercriminelen. Hun argumenten zijn talrijk. Omdat hun activiteiten niet aanstootgevend zijn voor bepaalde groeperingen, ze niet over waardevolle patenten beschikken of simpelweg omdat er weinig te halen zou zijn. 'Dat overkomt ons niet', is dan ook volgens Remmelzwaal een veelvoorkomende mindset.
Onterecht, want het overgrote merendeel van cyberaanvallen is helemaal niet specifiek gericht op een bepaalde organisatie, maar puur opportunistisch van opzet. “Cybercriminelen gooien vaak gewoon zoveel mogelijk hengels uit. Het maakt hen niet uit wie toehapt. Iedere willekeurige organisatie kan slachtoffer worden van een cybercrimecampagne. Niemand staat buiten schot. Te weinig organisaties voeren een vulnerability scan uit, om te kijken waar hun kwetsbare plekken zitten. Die kop-in-het-zand-mindset moet echt veranderen.”