Cyberdreigingen? Veel te vaak onderschat in digitale transformaties! - VP&P
Voogt Pijl & Partners
Search Icon
×

Cyberdreigingen? Veel te vaak onderschat in digitale transformaties!

Cyberdreigingen? Veel te vaak onderschat in digitale transformaties!


In digitale transformaties krijgt cybersecurity nog veel te weinig aandacht. Talrijke cybercrime incidenten zijn de afgelopen jaren in het nieuws geweest: DDOS aanvallen, phishing mails, ransomware, Stuxnet, WannaCry. Veel cybercrime is echter nog onzichtbaar. Te weinig organisaties begrijpen hoe serieus deze dagelijkse cyberdreiging is. Want de dreiging komt niet meer van hobbyisten op een zolderkamer, maar van criminele organisaties en zogenaamde ‘state-sponsored’ hackers. Zij hebben veel mankracht, veel expertise en veel geduld. Sommige aanvallen zijn gedurende maanden of zelfs jaren voorbereid. De impact van aanvallen neemt ook toe: hele bedrijven, industrieën en landen kunnen worden platgelegd. Door de voortschrijdende digitalisering moet het thema Cybersecurity meer urgentie krijgen op de agenda van het (executive) management, ook bij kleinere organisaties!

In dit eerste artikel geven wij een toelichting op reële cyberdreigingen, aan de hand van vier stellingen. We sluiten af met de conclusie dat aangescherpt cybersecuritybeleid noodzakelijk is voor alle organisaties (groot en klein), om veilig te kunnen opereren in een steeds verder digitaliserende wereld. In het volgende artikel beschrijven we 15 concrete securitymaatregelen, die de kans op een cybersecurity incident en de impact ervan kunnen verkleinen.

Stelling 1. Bekende cyberdreigingen blijven aandacht vragen

Met talloze DDOS aanvallen hebben hackers in de afgelopen jaren geprobeerd de dienstverlening van organisaties plat te leggen. Zij sturen vanaf honderden gehackte computers enorme hoeveelheden berichten naar de website van een organisatie, waardoor deze voor klanten onbereikbaar wordt. Grotere organisaties met een online dienstverlening zijn inmiddels alert op deze DDOS aanvallen. Zij hebben maatregelen geïmplementeerd om het effect van zo’n aanval te reduceren. Kleinere organisaties zijn vaak niet of nauwelijks voorbereid op DDOS aanvallen. Zij hebben meestal het budget niet om adequate maatregelen te treffen. Of zij schatten het risico van een aanval laag in.

Ook phishing is de laatste jaren in opkomst. Criminelen versturen e-mails, appjes en sms-berichten met een dringende boodschap, met als doel het slachtoffer geld of persoonlijke gegevens afhandig te maken. Zogenaamde CEO-mails komen ook steeds vaker voor. Medewerkers ontvangen een mail die van hun CEO afkomstig lijkt te zijn, met het verzoek om snel een bedrag naar een bepaalde rekening over te maken. Uit plichtsbesef of onwetendheid wordt de opdracht soms uitgevoerd, zonder te checken of de eigen CEO werkelijk de opdrachtgever is.

Ransomware kwam recent weer in het nieuws toen de systemen en data van de Universiteit van Maastricht door criminelen zijn versleuteld. Een medewerker had op een linkje in een phishing bericht geklikt, waardoor de malware zich binnen de systemen van de universiteit kon nestelen. Medewerkers en studenten hadden enkele weken geen toegang tot hun mail en (onderzoeks)data. De universiteit zag geen andere uitweg dan het betalen van losgeld, omdat ook de back-ups besmet waren.

Stelling 2. Hightech cyberaanvallen richten meer schade aan

Cyberdreigingen zijn al veel groter en concreter dan veel mensen en organisaties denken. Kenmerkend voor de aanvallen is de toenemende complexiteit van de malware en de lange voorbereidingstijd. In veel gevallen zijn de aanvallen na uitgebreid speurwerk te koppelen aan organisaties die door bepaalde landen worden gesponsord. Het boek Sandworm van Andy Greenberg beschrijft vele voorbeelden van ingenieuze malware aanvallen met een grote impact:

  • In 2017 besmette WannaCry malware meer dan 230.000 computers in 150 landen. De hackers zetten malware in die een Westerse inlichtingsdienst eerder had gemaakt om een beveiligingslek in Windows te misbruiken. Diverse grote organisaties zijn door WannaCry geraakt, zoals Deutsche Bahn, FedEx en de Britse National Health Service. Deze organisaties hadden de noodzakelijke Windows updates niet tijdig doorgevoerd.
  • In 2017 is bijna de hele economische en technische infrastructuur van de Oekraïne lamgelegd door NotPetya. Ook landen als Frankrijk, Duitsland, Engeland en de VS zijn geraakt door deze malware. De NotPetya aanval was gericht op de vitale infrastructuur, zoals bijvoorbeeld energiemaatschappijen, banken, vliegvelden en benzinestations. Het in container-logistiek gespecialiseerde Maersk werd fors geraakt door NotPetya en schatte haar schade in op meer dan 200 miljoen dollar. De schade in de totale logistieke keten is waarschijnlijk nog groter: door de problemen bij Maersk leek de hele logistieke keten tot stilstand te komen.
  • Al in de periode 2007 – 2009 is Stuxnet malware gebruikt om het Iraanse nucleaire programma te saboteren. Met de Stuxnet malware zijn ultracentrifuges onklaar gemaakt, waardoor het nucleaire programma van Iran vertraging opliep. Dit was de eerste echte cross-over, waar digitale middelen zijn ingezet om grote schade aan te richten bij fysieke machines. Een angstaanjagend bewijs dat de impact van malware zich niet beperkt tot de digitale wereld.

Stelling 3. Cyberaanvallen worden geniepiger

Cyberdreigingen lijken voor veel organisaties nog een ver-van-mijn-bed probleem, ondanks de vele incidenten in de afgelopen jaren. Deze manier van denken is niet verstandig. Criminelen maken namelijk steeds makkelijker misbruik van tekortkomingen in populaire soft- en hardware en van slordigheden in het menselijk handelen. Vaak hanteren zij hierbij een zogenaamde ‘stepping-stones’ aanpak:

1. De eerste stap is het digitaal toegang verkrijgen tot een bedrijf. Dit gebeurt met phishing-mails of gemanipuleerde bestanden die in een mail verstopt zitten.
2. Na de digitale entree nemen de indringers de tijd om kleine testen uit te voeren en extra gegevens te verzamelen.
3. Daarna wordt via een eerder gecreëerde ‘achterdeur’ nieuwe malware binnengebracht en geactiveerd.

Zo’n stepping-stones aanpak is moeilijk te detecteren, omdat het meerdere kleine stapjes over een langere periode betreft. Dit maakt het ook lastiger om terug te gaan naar een situatie waarin software en hardware niet besmet zijn. Dat is niet een kwestie van ‘even een back-up terugzetten’.  

De uitspraak van Winston Churchill “never let a good crisis go to waste” wordt door hackers letterlijk genomen. De Corona-crisis wordt benut om schade aan te richten in de hulpverlening, desinformatie te verspreiden, malware te infiltreren en gegevens te ontfutselen. Het is droevig, maar de werkelijkheid.

Stelling 4. Door digitale transformaties wordt het risico-speelveld steeds groter

De wereld digitaliseert in sneltrein tempo. Daarmee verandert ook het speelveld voor security. In de jaren ‘70 van de vorige eeuw was de beveiliging van een organisatie nog primair gebaseerd op gebouwen, toegangspoorten, separate papieren dossiers en sociale controle. Toegang tot informatie en bedrijfssystemen was daarmee beperkt en gesegmenteerd.
 
Met het automatiseren van werkzaamheden is brede digitale toegang tot informatie vanzelfsprekend en is thuiswerken heel normaal. In de huidige Corona-crisis zijn we daar blij mee. Maar ‘open systemen’ vragen ook meer controles, om bijvoorbeeld te voorkomen dat buitenstaanders toegang krijgen tot gevoelige informatie en systemen. Over de belangrijke rol van Identity & Access Management schreven wij al eerder.

Nieuwe samenwerkingsverbanden met derden, het inrichten van nieuwe ecosystemen en zelfs formele regelgeving (zoals PSD2) vergroten security risico’s. Alles draait om het uitwisselen van informatie tussen mensen en organisaties. Het valt niet mee om in die enorme informatiestromen risico’s en afwijkingen te detecteren. Dat vereist controles op portals, op mails met onbekende bijlagen en linkjes, op fouten in software, op onvolkomenheden bij partners etc. Digitaal Overdraagbare Aandoeningen (DOA’s) liggen elke dag op de loer! Alertheid en bescherming zijn dus nodig.
 
Een nieuw security-monster ligt al op de loer: het Internet of Things (IoT). Intelligente apparaten en robots, het lijken handige hulpmiddelen om het leven makkelijker en plezieriger te maken. Helaas zijn op dit moment veel IoT-apparaten nog zeer slecht beveiligd. Met de IoT-informatiestromen die in omvang exponentieel gaan groeien en de toenemende overlap tussen werk en privé lopen organisaties het risico dat IoT-apparaten een gemakkelijke stepping stone worden voor een kwaadwillende.

Conclusie: aangescherpt cybersecuritybeleid is nodig, gericht op alertheid, preventie, detectie en herstelvermogen

In een steeds verder digitaliserende wereld zijn de geschetste cyberdreigingen reëel en kunnen een enorme impact hebben. Kunnen organisaties die security incidenten 100% voorkomen? Het antwoord lijkt ‘nee’. Software en hardware hebben helaas fouten, en zijn dus een aantrekkelijke prooi voor misbruik. Medewerkers en managers van organisaties maken regelmatig fouten met het openen van phishing mails en het te laat installeren van updates. Ook liggen budgetten en prioriteiten vaak meer bij commerciële activiteiten dan bij security. De digitale beveiliging van organisaties is daarmee permanent in gevaar.

Organisaties kunnen en moeten de kans op cybersecurity incidenten en de impact ervan verkleinen. Met maatregelen die de weerbaarheid van een organisatie vergroten op het gebied van alertheid, preventie, detectie en herstelvermogen. In het volgende artikel beschrijven wij 15 concrete maatregelen om deze weerbaarheid te vergroten. Maatregelen die eigenlijk nu al onderdeel moeten zijn van een verantwoorde bedrijfsvoering, maar op basis van eerder gemaakte risico-inschattingen soms een lagere prioriteit hebben gekregen. Door de sterk toenemende cyberdreigingen is een stevige ‘securityverzekering’ nu onvermijdelijk, als cruciale randvoorwaarde voor een verdere digitale transformatie van elke organisatie.

#DigitaleTransformatie #Cybercrime #Cybersecurity #DigitaleSecurity #AltijdAlertZijn #VoogtPijlPartners #VPP
Douwe

Douwe van der Meer

Lees meer over Douwe

Volg ons op LinkedIn, regelmatig posten wij updates over onze visie op de sector en over bureauontwikkelingen.