Wat is nu de stand van zaken op gebied van cyberbedreigingen en wat kun je doen om risico’s te minimaliseren?


Ten aanzien van informatiebeveiliging is er een grote verschuiving van de hacker (al dan niet met goede bedoeling) naar criminelen die veelal uit zijn op financieel gewin en zogenaamde statelijke actoren die heel gericht aanvallen uitvoeren. Er is altijd wel een reden te bedenken waarom een bedrijf of individu gehackt kan worden. Financieel gewin kan bijvoorbeeld bestaan uit het stelen van gevoelige informatie; persoonlijke gegevens; creditcard gegevens of het activeren van zogenaamde ransomware. Software die de data van een organisatie versleuteld en pas na betaling weer beschikbaar stelt of data stelt en dreigt deze publiek te maken.


Een andere reden kan zijn het kunnen misbruiken van computers zowel van particulieren als bedrijven. Deze computers kunnen vervolgens weer gebruikt worden om andere aan te vallen. Zo is het mogelijk voor enkele tientallen euro’s een DDOS aanval uit te laten voeren. Bij een DDOS aanval benadert een groot aantal computers gelijktijdig een systeem waardoor deze de aanvragen niet meer kan verwerken en effectief niet meer bereikbaar is (zoiets als een file veroorzaken door langzaam te rijden op de snelweg). Hiervoor zijn veel computers noodzakelijk en dat kan het eenvoudigst door computers van anderen te misbruiken.Statelijke actoren hebben weer geheel andere belangen zoals spionage, elektronische oorlogsvoering en gegevens achterhalen voor inlichtingen. Ook deze “hackers” kunnen computers van derden goed gebruiken. Iedereen kan dus doelwit zijn van een hacker en voor velen is het niet de vraag of iemand gehackt wordt maar wanneer.


Welke methoden worden er gebruikt?

  • Social engineering
    Bij social engineering probeert iemand informatie van personen te achterhalen om op die manier toegang te krijgen tot informatie en computersystemen. Een bekende methode hierin zijn de zogenaamde phishing mails (pogingen om informatie te achterhalen zoals pincodes, credit card nummers en banknummers). Social engineering is vaak mogelijk om dat mensen geneigd zijn te helpen en andere te vertrouwen waardoor de hacker informatie krijgt die niet beschikbaar gesteld mag worden.
    Een voorbeeld waar we vast allemaal mee lastig gevallen worden zijn e-mails die geld beloven (nadat je zelf geld hebt gestuurd of bank en credit card gegevens hebt achtergelaten) of e-mails die van de bank afkomstig lijken en vragen op een link te klikken. Waar ze voorheen nog in gebrekkig Nederlands en met veel spelfouten waren geschreven beginnen ze nu verraderlijk echt te lijken.
    Een ander voorbeeld is iemand die belt en zich voordoet als een eigen medewerker of leverancier en specifieke informatie vraagt om een probleem op te lossen. Op deze manier is het iemand recent gelukt om het e-mail account van de CIA baas te hacken.
  • Zwakke wachtwoorden
    Een manier om toegang te krijgen tot een systeem is proberen het wachtwoord te raden. Er zijn geavanceerde programma’s die dat kunnen doen – en ze kunnen het oneindig lang vol houden. Op mijn systemen registreer ik deze pogingen en er zijn er meerdere per dag.
    Helaas is de gangbare toegangsbeveiliging nog steeds gebaseerd op een gebruikersnaam en wachtwoord. Een goed wachtwoord is lang, beval verschillende tekens en is vooral geen bekend woord of combinatie van woorden. Dit is vaak lastig zeker als je zoveel wachtwoorden moet onthouden. Gelukkig zijn er wel wat ontwikkelingen met betere toegangsbeveiliging zoals twee factor authenticatie. Banken gebruiken het bijvoorbeeld wachtwoord met SMS of de aparte code generators. Maar ook facebook en Google bieden inmiddels 2-factor authenticatie aan en bedrijven kunnen gebruik maken van smartcards.
  • Technische fouten
    In (vrijwel) alle software zitten fouten, fouten die vaak misbruikt kunnen worden om toegang tot een systeem te krijgen. Gelukkig herstellen veel leveranciers deze fouten door het uitbrengen van updates/ patches zodat ze niet meer misbruikt kunnen worden. Echter is er altijd een periode waarin de fout bekend is en nog niet opgelost. Er is zelfs handel in zogenaamde zero-day attacks – mogelijkheden om nog niet bekende en herstelde software fouten te misbruiken. Software fouten bieden veelal mogelijkheden om toegang tot het systeem te krijgen, andere software te installeren en zo de mogelijkheden uit te breiden, data te stelen, ransomware te activeren en software te installeren voor misbruik van het systeem (bijvoorbeeld DDOS aanvallen).
    Bij veel software is de focus vooral op functionaliteit gericht en snel kunnen leveren van deze functionaliteit waardoor het veilig ontwikkelen en goed testen onvoldoende gebeurd.
  • Malafide websites en software
    Via malafide website of malafide software wordt malware op uw systeem geïnstalleerd. Dat kan zijn onder het mom van een leuk programma, spelletje of beveiligingssoftware of ongemerkt omdat er misbruik gemaakt wordt van een software fout. Een vrij nieuwe methode is via advertentienetwerken. Veel website gebruiken advertentienetwerken om advertenties op de site te plaatsen en zo inkomsten te genereren. Echter advertenties worden ook gebruikt om mensen naar malafide sites te lokken of via goed ogende meldingen te doen geloven dat er iets mis is met het systeem.
    Een andere methode is het versturen van USB sticks waar malware op staat en die kan zich automatisch installeren als “autorun” aanstaat (ook een vorm van social engineering);
  • Social media
    Veel mensen plaatsen informatie op social media. Dit maakt het makkelijk voor hackers om veel informatie over iemand te verzamelen Bijvoorbeeld aan de hand van positie informatie in foto’s waar iemand woont en werkt, wanneer iemand op vakantie gaat, wat veel uitgevoerde activiteiten zijn in de vrije tijd. Deze informatie kan weer een bron zijn voor verdere acties. Bijvoorbeeld e-mail versturen die afkomstig lijkt van een vertrouwde bron, aandacht krijgen (op links laten klikken) van veilig lijkende websites enzovoorts.
    Zie ook cyberawareness.nctv.nl 

 

De belangrijkste actuele bedreigingen:

  • Phishing, een vorm van social engineering waarin geprobeerd wordt om mensen te verleiden specifieke acties uit te voeren zoals het doorgeven van persoonlijke informatie; downloaden van onveilige software of bezoeken van onveilige websites. De mens is veelal de zwakste schakel en met betere technische beveiliging is dit vaak de makkelijkste weg.
  • Ransomware. Software die alle data versleuteld en alleen na betaling de sleutel wordt vrijgegeven. De cryptoware zal geinstalleerd worden bijvoorbeeld via Phishing aanvallen.
  • Zwakheden in software en websites. Via deze zwakheden kunnen diverse groepen hackers ongewenst toegang krijgen tot systemen. Op Internet worden alle aansluitingen continue beproefd op zwakheden door diverse systemen. Zwakheden onstaan door niet actuele software; zwakke wachtwoorden en fouten in websites die onder andere SQL injectie en cross site scripting mogelijk maken. 

 

Wat te doen?

 Er zijn een aantal basisregels en voorzieningen die iedereen en elke organisatie zou moeten treffen om veilig te kunnen werken en Internet te gebruiken. Daarnaast zullen afhankelijk van de organisatie en de te beschermen informatie en systemen aanvullende maatregelen getroffen moeten worden. Dit is vooral een afweging van risico’s, consequenties en kosten van de maatregel versus kosten van het optreden van het risico. 

Risico-analyse
Het begin van een goede informatiebeveiliging is een risico analyse. Hierbij worden bedreigingen en de te beschermen middelen (informatie, systemen, eigendommen) in kaart gebracht. Dit geeft inzicht in de risico’s. Door de kans in te schatten alsmede de schade ontstaat een beeld van de consequenties bij het optreden van risico’s en kunnen maatregelen vastgesteld worden, zodanig dat er een acceptabel restrisico overblijft. Hierbij zullen kosten en effectiviteit van de maatregelen afgewogen worden tegen de risico’s.
Op basis van de risico analyse worden de vereiste maatregelen vastgesteld. Een goede beveiliging vraagt om een viertal vormen van maatregelen:

  1. Preventieve Beschermingsmaatregelen;
  2. Detectie, zodat gedetecteerd kan worden dat er pogingen tot digitale inbraak worden gedaan of al zijn geslaagd.
  3. Response als er problemen zijn opgetreden.
  4. Een continue proces waarin veranderingen in risico’s, de te beschermen belangen worden beoordeeld en indien nodig aanvullende maatregelen getroffen worden.
    Helaas is informatiebeveiliging een soort wapenwedloop waarbij bescherming steeds beter wordt, echter ook de aanvalsmethoden geavanceerder worden. Er zijn inmiddels veel en goede technische maatregelen echter dat is niet meer voldoende en snel en tijdig detecteren van mogelijke beveiligingsproblemen wordt steeds belangrijker. En natuurlijk na detectie zo snel mogelijk actie ondernemen. Er zijn veel gevallen bekend waarbij het maanden duurde voordat een beveiligingsprobleem werd ontdekt en vervolgens nog eens maanden voordat het was opgelost.

 

Preventieve maatregelen
Voor iedereen en iedere organisatie is het verstandig een aantal basismaatregelen toe te passen. Deze zijn:

  • Het toekennen en beperken van rechten voor toegang tot bedrijfsgegevens;
  • Zorg voor beveiligingsbewustzijn. Met name bekendheid met risico’s van phishing mails, het gebruik van publieke netwerken en regels omtrent het niet doorgeven van persoonlijke en vertrouwelijke informatie aan onbekende derden, het niet delen van wachtwoorden en manieren om onveilige websites te detecteren.
  • Tref technische beveiligingsmaatregelen waaronder:
    • Antivirus (al zijn er al mensen die zeggen dat het geen zin meer heeft, maar in dit geval beter “safe dan sorry”)’;
    • Zorg dat updates van systemen worden uitgevoerd. Dat kan veelal automatisch plaats vinden;
    • Scherm systemen af van Internet. Interne systemen zullen veelal wel in een beveiligde omgeving staan, zorg er hierbij voor dat er geen onnodige communicatiemogelijkheden zijn. Werkplekken en vooral mobiele systemen moeten voorzien zijn van firewalls.
    • Maak zorgvuldig gebruik van openbare (veelal draadloze) netwerken. Bij voorkeur worden deze netwerken alleen maar gebruikt via een zogenaamde VPN verbinding. Dit is een beveiligde en versleutelde verbinding naar het bedrijfsnetwerk. Hiermee wordt voorkomen dat data wordt afgeluisterd. Als een VPN niet mogelijk is of beschikbaar zorg er dan voor dat er zoveel mogelijk data uitwisseling via beveiligde websites (https met sleutel en groene balk) plaats vindt en dat alle e-mail verkeer beveiligd is (dit vraagt om juiste instellingen van het e-mail systeem en providers die dit ondersteunen).

 In aanvulling op deze basismaatregelen zullen organisaties anvullende maatregelen treffen om specifieke risico’s te verkleinen. Denk bijvoorbeeld aan:

  • Uitwijkvoorzieningen om continuïteit van ICT te waarborgen;
  • Versleuteling van gegevens in opslag en tijdens transport;
  • Segmentering van systemen en netwerken;
  • Logging en auditing van wijzigingen op data;
  • Gebruik van smartcard of biometrische middelen voor toegang tot systemen;
  • Laptops en mobiele apparatuur met gevoelige informatie voorzien van encryptie software;
  • Regelmatig testen op zwakheden in systemen.
  •  Strikte regels ten aanzien van autorisaties tot gevevens en bewaking hiervan.

 

 Detectie:

Geen enkele bescherming is volledig waterdicht. Het is daarom belangrijk tijdig een potentiele beveiligingsinbraak te detecteren zodat passende maatregelen getroffen kunnen worden. Dat betekent waarschuwingen van bijvoorbeeld virusscanners bewaken en aanvullende detectiesystemen gebruiken. Voorbeelden zijn Intrusion Detection Systemen en uitgebreidere Security Incident en Event Monitoring (SIEM) systemen. Deze systemen bewaken het netwerk en aangesloten apparatuur en waarschuwing voor (potentiele) bedreigingen.
Een probleem is dat deze systemen veelal zeer veel meldingen genereren, ook veel meldingen die geen daadwerkelijke bedreiging vormen en bovendien veel expertise vereisen om meldingen te kunnen beoordelen.
Geavanceerde systemen maken gebruik van gedragsanalyse en zijn zelflerend. Hierdoor wordt de kwaliteit van verbeterd en het aantal meldingen verminderd. In het ultieme geval meldt het systeem alleen die gebeurtenissen die actie vereisen. Dit gebied is sterk in ontwikkeling.

 

Response
Als er een beveiligingsprobleem is gedetecteerd zullen er vervolgacties ondernomen moeten worden. Hiervoor is het van belang dat vooraf bepaald wordt hoe met beveiligingsincidenten wordt omgegaan. Het inrichten van een Incident Response Team dat in geval van nood bij elkaar geroepen kan worden. Het is bijvoorbeeld van belang om vooraf na te denken over:

  • Wie kan beslissen om systemen van het netwerk te halen (continuïteit versus veiligheid)?
  • Wie kan beslissen om een oudere versie terug te zetten en eventueel data verlies te accepteren?
  • Wie is voor de afhandeling van verschillende typen incidenten?
  • Wie moeten er geïnformeerd worden, denk hierbij ook de wet op datalekken?
  • Wie kan nader onderzoek doen om daadwerkelijke schade vast te stellen?

 

Continue verbetering

Informatiebeveiliging is een continue proces. Bedreigingen veranderen, bedrijfsdoelstellingen kunnen veranderen en de ICT verandert. Informatiebeveiliging vereist daarom continue aandacht en waar noodzakelijk bijstellen van maatregelen, kennis, beveiligingsbewustzijn en werkwijzen.