navigatie overslaan
Alle plaatsen > Data & Secure > Blog > 2018 > februari > 05

Het aloude adagium ‘wat niet weet, wat niet deert’ gaat niet op als het gaat over cybercriminaliteit. Robert van der Vossen, managing director van Cyco, komt in de praktijk maar al te vaak bij organisaties en ondernemingen die ‘het echt niet weten, maar wel degelijk worden gedeerd…’ Toenemende mobiliteit van de werknemers, fenomenen als Bring Your Own Device (BYOD) en steeds strengere wet- en regelgeving met navenant hoge boetes, maken dat het gevaar wel bij steeds meer overheden en bedrijven doordringt, maar nog altijd te weinig, volgens Van der Vossen.

 

En dat verbaast Van der Vossen toch steeds weer. ‘Het draait uiteindelijk allemaal om risicomanagement. Wil je als onderneming of overheidsorganisatie al dan niet bewust het risico lopen dat de toegang tot de bij jou aanwezige vertrouwelijke gegevens wordt gekraakt? Of dat er schade wordt toegebracht aan het IT-netwerk?’

Als je die vraag op de man af stelt aan willekeurig welke organisatie of bedrijf, zullen ze allemaal ontkennend antwoorden, constateert Van der Vossen. ‘Heel logisch natuurlijk. Maar dat is nog wat anders dan daadwerkelijk maatregelen nemen of inzien welke maatregelen je zou moeten en kunnen nemen. Beveiliging van data is namelijk niet alleen een technisch vraagstuk. Het is een strategische beslissing, met een belangrijke rol voor de (meestal financieel) eindverantwoordelijke en dat wordt nog altijd zwaar onderschat,’ aldus Van der Vossen. ‘Het is een probleem dat multidisciplinair moet worden aangevlogen en opgelost, inclusief de gedragsverandering die nodig is om mensen ervan bewust te maken dat ze zorgvuldig moeten omgaan met vertrouwelijke data. En dat is niet speciaal een technisch kunstje.’

 

Verschuiving in doelwit

In het recente verleden werden vooral banken en financiële instellingen het slachtoffer van cybercriminaliteit. Daar was een duidelijk aanwijsbare reden voor. Van der Vossen: ‘Daar zat tot voor kort - letterlijk - het geld. Maar de focus van cybercriminaliteit verandert. Het geld zit niet meer direct in bijvoorbeeld het kraken van een bankrekening, maar veel meer in het verkrijgen van vooral verrijkte data. Wij zien een duidelijke verschuiving van ‘target’ naar overheden en burgers in plaats van de financiële instellingen. Die laatste beveiligen zich steeds beter en het wordt dus relatief duurder voor criminelen om er nog voordeel uit te halen. Daarom zoeken ze naar een makkelijker doelwit. Vergis je niet, cybercriminaliteit waarover we het hier hebben, is niets anders dan georganiseerde misdaad die beschikt over ruime hoeveelheden middelen, mensen en kennis. Die willen ze echter zo efficiënt mogelijk benutten, met zo hoog mogelijk ‘rendement’. Als er dan makkelijker slachtoffers te vinden zijn in de juiste aantallen is dat veel lucratiever.’

 

Geen braaksporen

Eén van de belangrijkste kenmerken van cybercriminaliteit is het feit dat de ‘inbreker’, de professionele cybercrimineel, geen braaksporen achterlaat. Van der Vossen: ‘Alle data zijn nog gewoon aanwezig. Ze zijn alleen gekopieerd en kunnen snel worden verhandeld. Dit soort handel is natuurlijk supervluchtig, je hebt er nauwelijks grip op. Tenminste, als je je er niet tegen wapent. Als je weet wat zich allemaal op het ‘Dark Web’ afspeelt… Daar zie je ongeveer ‘live’ dat jouw data wordt verkocht. Daar zit nu het geld: in persoonlijke data, gegevens die zijn verrijkt met allerlei aanvullende informatie. Dat maakt die data extra interessant voor derden.’

Als Van der Vossen bij zijn klanten met behulp van een ‘ethical hacker’ laat zien wat er zoal gebeurt op dat Dark Web, de digitale onderwereld, slaat de schrik ze meestal om het hart. ‘De meeste organisaties hebben werkelijk geen idee. Het is de ver-van-mijn-bed-show, ze weten het niet en ze zien het niet.’

 

Privacy Impact Assessment

Nu de wetgeving zoveel strenger is geworden, met onder meer de Europese Privacy Verordening (de GDPR, General Data Protection Regulation) en de wet Meldplicht Datalekken, worden veel organisaties wakker geschud. Van der Vossen: ‘Eén van de maatregelen die meer licht in de duisternis moet brengen, is de verplichting voor een aantal overheidsinstellingen om een Privacy Impact Assessment uit te (laten) voeren. Daaruit moet meer duidelijk worden over de hoeveelheid, de aard en welke persoonlijke gegevens in de organisatie rondgaan of worden gebruikt en bewaard. Zo’n assessment gebeurt aan de hand van interviews met medewerkers over hoe, wat, waar en alles wat rond data gebeurt. Vervolgens wordt het getest door de partij die de auditing doet. Dan weten we aan het eind van die audit precies wat er rondgaat, welk niveau van beveiliging wordt gebruikt en wat eigenlijk vereist is. Voor bijvoorbeeld BSN-gegevens wordt het hoogste niveau beveiliging vereist, terwijl voor een e-mailadres dat niveau lager ligt. Als je als crimineel iemands (digitale) identiteit wilt overnemen, heb je uiteraard meer aan een BSN-nummer of informatie uit een persoonlijk HR-dossier, dan aan een e-mailadres, dat nogal aan verandering onderhevig is. Zo zijn er ook talloze gegevens van de onderneming die bij diefstal voor enorme schade kunnen zorgen. Van imagoschade tot de diefstal van beursgevoelige informatie die een volledig bedrijf te gronde kan richten. De moderne cybercrimineel gaat het alleen maar om data. Data is big business.’

 

Social engineering

Gegevens en uiterst persoonlijke informatie van social media afhalen is ongeveer het eenvoudigste wat er is. Dat in combinatie met allerlei andere aanvullende persoonlijke gegevens, zoals een BSN-nummer en/of een bankrekeningnummer geeft een crimineel bijna alles in handen om identiteitsfraude op een uiterst effectieve manier te kunnen uitvoeren. Van der Vossen: ‘Dergelijke informatie verzamelen noemen we social engineering en maakt dat individuen of bedrijven benaderbaar en op beslissingsniveau te beïnvloeden zijn, zo ongeveer per product of marktsegment. Hackers worden steeds slimmer en ze maken een afweging van kosten versus baten. Wat levert het meest op en kost het minst om het voor elkaar te krijgen? En dan nog: wat is de pakkans? Over dat laatste kunnen we kort zijn. Die pakkans is niet bijster groot en dan druk ik me nog voorzichtig uit. Dus moeten organisaties zelf actief iets doen en investeren in beveiliging om het voor die crimineel zo moeilijk mogelijk te maken. Hoe lastiger het wordt, hoe sneller ze een nieuw doelwit gaan zoeken. Net als bij een normaal huis waar speciale sloten zijn aangebracht en een hond achter de deur staat te wachten. Het zal altijd een wedloop blijven tussen de ‘goeden en de kwaden’, maar je kunt er wel aan bijdragen om het ‘de kwaden’ zo lastig mogelijk te maken. Hoe je dat doet als het gaat om cybercriminaliteit? Vooral mensen duidelijk maken waar de gevaren liggen. Bewustwording van waar je mee bezig bent, helpt al heel veel. Een goede risicoanalyse maakt het voor medewerkers en directie inzichtelijk waar de grootste gevaren liggen. Je kunt snel en eenvoudig allerlei maatregelen nemen. Om een simpel voorbeeld te noemen: laat een scherm niet zomaar urenlang ingelogd staan. Laat het automatisch na enkele minuten inactiviteit weer uitloggen. Is lastig misschien, maar geloof me, gehackt worden is nog veel lastiger.’

 

Werkbare protocollen vaststellen

Om te voorkomen dat een situatie ontstaat waardoor een organisatie niet meer normaal kan functioneren, is het zoeken naar de balans. Van der Vossen: ‘Van belang is daarbij dat er werkbare protocollen komen. Een 100% waterdicht systeem krijg je nooit, omdat je er dan eenvoudigweg niet meer in kunt werken. De kunst is om door de bril van de hacker te kijken en te bedenken waar de zwakke plekken zouden kunnen zitten. Kijk ook door de bril van de autoriteit en oordeel of je er naar eer en geweten en in alle redelijkheid en billijkheid alles aan hebt gedaan om je data te beschermen. Kun je daar ja op antwoorden, dan ben je op de goede weg. Maar zeg niet te snel ja… Ook belangrijk om te doen: bedenk en leg vast wat je doet in het geval het misgaat, een zogenaamd Cyber Incident Protocol. De Autoriteit vereist ‘passende en adequate maatregelen’. Maar wat zijn die maatregelen dan? Wat moeten de medewerkers doen als het is fout gegaan? Daarover mag geen enkel misverstand bestaan.'