2017 stond bol van de cyberincidenten. Van het Petya-virus en ransomware WannaCry tot de hack van de Franse verkiezingen en het enorme lek bij de Amerikaanse kredietbeoordelaar Equifax. Wordt dit jaar beter?
Als het afgelopen jaar ons iets heeft geleerd, is dat het belang van cybersecurity groter is dan ooit. Nederland loopt voorop op het gebied van digitalisering, maar is daarmee ook kwetsbaar voor cyberdreigingen. In 2014 bedroeg de schade door cyberaanvallen 8,8 miljard euro, twee jaar later liep dat bedrag op tot 10 miljard euro. Zo’n een op de vijf Nederlandse bedrijven wordt geconfronteerd met cyberincidenten, wat geregeld leidt tot hoge kosten en reputatieschade.
Halverwege 2017 hadden onder meer pakketbezorger TNT, medicijnfabrikant MSD en APM Terminals in Rotterdam dagenlang te kampen met storingen, veroorzaakt door een virus genaamd Petya. Dat verspreidde zich via de Oekraïense boekhoudsoftware MeDoc en kon in korte tijd honderden systemen platleggen. De schade liep in de honderden miljoenen. Een maand eerder was het ook al raak toen ransomware Wannacry meer dan 230.000 computers van particulieren, bedrijven en zelfs ziekenhuizen lamlegde.
Cyberdreigingen
Phishing, DDoS-aanvallen, lekke IoT-apparatuur, de mens en zelfverklaarde security-professionals. Dat zijn volgens security-onderzoeker Loran Kloeze de vijf grootste cyberdreigingen voor 2018. ‘Phishing blijft een snelle en goede manier om mensen te verleiden logingegevens af te staan of om malware te verspreiden. Phishingmails zijn nauwelijks meer van echt te onderscheiden en bedreigen zowel consumenten als bedrijven.’
Begin 2018 hadden onder meer de Belastingdienst, ING, ABN AMRO en de Rabobank te kampen met storingen als gevolg van DDoS-aanvallen. Kloeze: ‘Dit soort aanvallen zijn simpel en goedkoop op te zetten, waardoor de drempel alleen nog bestaat uit je eigen afweging of je goed of slecht wil zijn. De schade loopt flink op als banken langere tijd onbereikbaar zijn.’
IoT zorgt voor problemen
Kloeze ‘verwacht’ veel van IoT. ‘Op zichzelf is dat natuurlijk geen bedreiging. Maar de onstilbare honger om alles maar aan het internet te hangen in combinatie met slechte beveiliging is een grote bedreiging. Van thermostaten, speelgoed, meubilair en ‘slimme’ speakers; alles wordt gekoppeld aan het internet, zonder dat het echt meerwaarde biedt.’
Net als veel collega’s ziet de security-onderzoeker de mens als zwakste schakel in de beveiligingsketen. Mensen zijn nu eenmaal goed van vertrouwen en laks als het aankomt op het installeren van updates en instellen van sterke wachtwoorden.
‘Daarbij kunnen criminelen met behulp van social engineering mensen relatief gemakkelijk verleiden om iets te doen of af te geven. Het blijft belangrijk om bewustwording te creëren. Laat mensen zien waarom ze een zwakke schakel zijn, en hoe ze door de handelswijzen van cybercriminelen heen kunnen prikken.’
Focus op gegevensbescherming
Vanaf 25 mei wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Die vervangt de Wet bescherming persoonsgegevens (Wbp) en heeft als doel persoonsgegevens beter te beschermen en die bescherming in de gehele EU gelijk te trekken. Organisaties moeten nog duidelijker maken waarom ze persoonsgegevens verzamelen, waarvoor ze die gebruiken en hoe lang data wordt bewaard. Ook moeten ze persoonsgegevens zo goed mogelijk beschermen tegen diefstal, verlies of vernietiging.
Kloeze ziet in aanloop naar de AVG steeds meer consultants opduiken die bedrijven adviseren over hun beveiliging. ‘Ook dat is een dreiging, want bij verkeerde adviezen is het risico aanwezig dat je beveiliging alleen maar slechter wordt. Laten we niet vergeten dat er onlangs een ‘expert’ bij een actualiteitenprogramma zat die een heleboel, potentieel gevaarlijke, onzin heeft verkondigd en dat in een boek heeft opgeschreven. Mensen zien PR-mogelijkheden, waardoor dit soort ‘professionals’ steeds vaker opduiken.’
Kloeze adviseert bedrijven een consultant te zoeken die wordt aanbevolen door mensen uit je netwerk. ‘Kijk met hem of haar wat voor data je hebt en verwerkt en bepaal samen of er maatregelen getroffen moeten worden. Belangrijk is dat de consultant de wet- en regelgeving kan plaatsen binnen het Nederlandse en Europese recht, zodat je niet te weinig of onnodige maatregelen neemt.’
Ook het MKB aanspreken
Dat neemt niet weg dat veel bedrijven nog ‘passende organisatorische en technische maatregelen’ moeten nemen om hun informatiebeveiliging op orde te krijgen, vindt René van Etten van ThreadStone Cyber Security.
‘De precieze invulling hiervan verschilt per organisatie, maar duidelijk is dat er veel verbeterd moet worden en dat de investeringen in cybersecurity (zowel producten als diensten) toenemen. Zeker bij grote organisaties krijgt de AVG nu veel aandacht. Die stellen echter ook hun kleinere leveranciers vragen over hun niveau van informatiebeveiliging. Ook het MKB moet kunnen aantonen dat het zijn digitale sloten en deuren goed heeft beveiligd.’
Volgens Kloeze kan de IT-inrichting van veel MKB’ers wel verbeterd worden. ‘Vaak maakt de MKB’er nog gebruik van kleinere IT-bedrijfjes die van goede wil zijn, maar beveiliging als sluitpost zien. Ze kijken naar wat de klant wil en niet naar wat de klant nodig heeft, terwijl beide belangrijk zijn. De MKB’er wil functionaliteit maar vraagt niet om beveiliging. Sterker nog, daar is vaak nauwelijks budget voor.’
Beveiligingstrends
Zijn de controlemechanismen die we nu hebben voldoende om cybercriminelen buiten de deur te houden, of moet er een schepje bovenop? René van Etten: ‘Cybercriminelen worden slimmer en gebruiken steeds geraffineerdere methodes om in te breken, dus aan die kant moeten we meebewegen met meer geavanceerde verdedigingsmechanismen. Aan de andere kant is er nog zoveel te winnen door simpelweg aandacht te geven aan het onderwerp cybersecurity en de belangrijkste basismaatregelen op orde te krijgen.’
Bij 70 procent van de security-scans die ThreadStone Cyber Security uitvoert op websites en bedrijfsnetwerken duiken ernstige kwetsbaarheden op die kwaadwillenden kunnen misbruiken. ‘Veelal ligt de oorzaak bij laksheid, zoals achterstallig onderhoud, het niet gebruiken van SSL-certificaten en onduidelijke afspraken over de verantwoordelijkheden rond cybersecurity.’
Daarnaast ziet Van Etten nog steeds veel gebruikers die zomaar op links klikken, wachtwoorden hergebruiken en hun gegevens zomaar op sites achterlaten. ‘Als we eerst aan die punten werken, kunnen we al een groot deel van de schade door cybercriminaliteit in Nederland voorkomen.’
Slimme technologieën
Daar sluit Ruben Raadsheer, Chief Technologist van HP, zich bij aan. ‘In 2018 focussen we ons op de uitbreiding van de hardwarematige beveiliging van onze devices. Onder het besturingssysteem – denk aan de BIOS en firmware – hebben we deze opgeschroefd. We bieden diverse vormen van databeveiliging, zoals hardwarematige encryptie van harde schijven en SSD’s. In het OS beveiligen we kritieke processen als de virus- en malwarescanner.’
Volgens Raadsheer wordt beveiliging vaak als moeilijk en tijdrovend ervaren. ‘In tegenstelling tot wat vaak ervaren wordt, biedt de juiste beveiliging ook vrijheden.’ Met de juiste tools neemt het beveiligingsniveau toe en voelt de gebruiker zich toch vrijer, betoogt hij.
‘Het toevoegen van multi-factor authenticatie hoeft helemaal niet complex te zijn. Maar de combinatie van een pincode en een vingerafdruk of gezichtsscan maakt inloggen wel een stuk veiliger én gemakkelijker. Veel hacks vinden plaats doordat cybercriminelen inloggegevens buitmaken, met multi-factor authenticatie beperk je de risico’s.’
Beveiliging gaat om veerkracht
Een andere slimme technologie, die HP ontwikkelde in samenwerking met beveiligingsbedrijf Bromium, is SureClick. ‘We zien steeds vaker dat aanvallen via de browser een systeem bereiken. Kwaadwillenden zoeken de gemakkelijkste ingang, en browsers bieden op vrijwel alle machines dezelfde potentiële risico’s, zoals zero days. SureClick beveiligt ieder browsertabblad in een eigen hardwarematige container. Wordt die gesloten, dan is potentiële malware direct verdwenen.’
Beveiliging gaat niet alleen om bewaken en afweren, maar ook om veerkracht, vervolgt Raadsheer. ‘Hardwarematig herstel van een besturingssysteem is bijvoorbeeld een belangrijke toevoeging om na een aanval gebruikers weer snel ‘online’ te hebben. En wanneer bestanden op de juiste manier in bijvoorbeeld de cloud zijn opgeslagen, is de downtime zo klein mogelijk.’
Dit is het vierde artikel in een reeks van De Maand van Veilig werken. De Maand van Veilig werken wordt mogelijk gemaakt door HP Nederland. Beveiliging en uitstekende samenwerking, waar je ook bent.