Cybercrime is de hobbyfase voorbij

Cybercrime kost het Nederlandse bedrijfsleven jaarlijks miljoenen. De risico’s van online misdaad zijn reëel, ook al denken veel werknemers dat het wel meevalt. Gelukkig zijn er genoeg beschermende maatregelen te nemen en die hoeven niet altijd technisch te zijn of veel geld te kosten.

2417
0

De wereld om ons heen verandert razendsnel. In het onderzoeksprogramma The future of work in the 21st century brengt de Economist Intelligence Unit de belangrijkste trends in kaart die onze werkwijzen de komende 10 tot 15 jaar ingrijpend zullen veranderen. Succesvol ondernemen vereist een flexibele organisatie die kan meebewegen en medewerkers die verandering aanjagen en omarmen. Nieuwe technologie en digitalisering helpen efficiënt en effectief te werken, maar er schuilen ook risico’s in al het online verkeer en beheer van documenten in de cloud.

Cybercrime kost het Nederlandse bedrijfsleven jaarlijks miljoenen. De risico’s van online misdaad zijn reëel, ook al denken veel werknemers dat het wel meevalt.

Eind 2013 werd het Amerikaanse retailbedrijf Target slachtoffer van een enorme datadiefstal. Hackers stalen de adresgegevens van 70 miljoen personen en de creditcardgegevens van ruim 40 miljoen klanten. Volgens The New York Times daalde de omzet in dat laatste kwartaal met 46 procent. Het bedrijf werd aangeklaagd door klanten en keerde $10 miljoen uit aan schadevergoedingen. In 2014 werd het lijstje van gehackte grote Amerikaanse bedrijven uitgebreid met onder meer JPMorgen Chase, Staples, Home Depot en Sony Pictures. Klant- en bedrijfsinformatie werd gestolen, reputaties liepen grote deuken op en de herstelkosten waren hoog. Maar ook dichter bij huis is cybercrime dagelijkse realiteit. In 2014 werd de Nederlandse schade als gevolg van digitale misdaad geschat op 1,5% van het bnp, een bedrag van 8,8 miljard euro. Dit staat in een rapport van het Amerikaanse Center for Strategic and International Studies (CSIS) in opdracht van securitybedrijf McAfee. IT-vakblad Computerworld meldde dat de schade van cybercrime onder andere ligt in “het verlies van intellectueel eigendom (IP), recovery-kosten, kosten voor het versterken van de IT-infrastructuur en directe monetaire verliezen door bijvoorbeeld financiële fraude.”

Afpersing en bedrijfsspionage
In het bedrijfsleven vallen onder cybercrime handelingen die erop gericht zijn digitale processen te verstoren, zodat normale werkzaamheden die niet langer uitgevoerd kunnen worden; het corrumperen van data en het openbaar maken of stelen van vertrouwelijke gegevens. Pr-rampen dus, storingen en bedrijfsspionage. Vorig jaar kwam aan het licht dat Nokia in 2007 miljoenen zou hebben betaald aan een hacker, die data had gestolen die hun besturingssysteem Symbian volkomen kwetsbaar maakte. Symbian draaide op alle Nokia telefoons, waarvan er in 2007 volgens Wikipedia 105 miljoen waren verkocht.

Ook was 2014 het jaar van de diefstal van wachtwoorden en telefoonnummers van 223 miljoen eBay-gebruikers. En de chantage van Domino’s Pizza door hackersgroep Rex Mundi, die dreigde gestolen gebruikersgegevens van 600.000 Franse en Belgische klanten openbaar te maken, als er geen losgeld werd betaald. De populaire webdiensten Feedly, Evernote en Deezer kregen kort na elkaar te maken met chantage. Hackers zouden via DDoS-aanvallen de websites plat leggen tot er was overgemaakt.

Het plunderen van het ‘internet of things’ is dankbaar werk voor georganiseerde misdaad

Spookburgers creëren
Het aantal cyberincidenten verdrievoudigde in Nederland in 2014 ten opzichte van het jaar ervoor. Het is onvermijdelijk dat criminelen erin zullen slagen om organisaties binnen te dringen via het internet. En het wordt alleen maar spannender. Steeds meer hardware is verbonden met elkaar en met de cloud. Het plunderen van het ‘internet of things’ is dankbaar werk voor georganiseerde misdaad. Zeker wanneer bedrijven en gebruikers vergeten de software bij te werken met de actuele beveiligingspatches. Het doel is geld verdienen. Met persoonsgegevens kunnen criminelen toegang krijgen tot andere data: bankrekeningen en bedrijfsnetwerken. Men kan bestaande identiteiten stelen of een nieuwe identiteit aanmaken, die grenzeloos creditcards en leningen aanvraagt. Het wordt ook relatief eenvoudig een nieuw paspoort aan te vragen bij een gemeente. Zo creëert men spookburgers, die toegang hebben tot alle facetten van de Nederlandse samenleving. Denk niet alleen uitkeringen, denk een baan bij defensie of op Schiphol. Er is ook een levendige handel in persoonsgegevens op de digitale zwarte markt. Zo leveren creditcardgegevens $0,50- 20 per stuk op, gaming accounts $10-15 en een werkende Russische SIM-kaart $100 (bron: Symantec).

Industrieel doelwit
Cybercrime is de hobbyfase voorbij. Cyberspionagegroepen gebruiken verfijnde methoden voor aanvallen op nationale overheden en ambassades. Symantec beschrijft in zijn Internet Security Threat Report 2015 meerdere ‘campagnes’ van misdaadorganisaties, waaronder de installatie van virussen bij Oost-Europese ambassades, West-Europese overheidsorganisaties, telecombedrijven en energiebedrijven. Nieuwe doelwitten worden steeds vaker gezocht in industriële controlesystemen (ICS), die geautomatiseerde industriële processen aansturen. Misschien is dat ook omdat financiële transacties inmiddels goed beveiligd zijn.

Geen Calimero
Maar Nederlanders willen zich nogal eens te klein voelen voor de risico’s van cybercrime. Nederland ten opzichte van cybercrime zou niet misstaan in een Calimero-verhaal. Bedrijfsspionage, aanvallen op het energiegrid, het stelen van persoonlijke gegevens: wie let er nou op dit kikkerland en wat daar gebeurt? Bedenk dan dat Nederland de grootste haven ter wereld heeft en een van de beste luchthavens. Unilever, Shell, Philips en ASML hebben hun hoofdkantoren hier. We zijn in Europa grootgebruiker van mobiel internet en online diensten, aldus de Digital Economy and Society Index (DESI). Snel internet en een sterke handelspositie maken Nederland zo populair voor DDoS-aanvallen, dat we derde staan op de wereldranglijst na China en de VS. Gelukkig zijn er ook steeds meer organisaties actief in de bestrijding en het voorkomen van cybercrime. Zo kent Nederland onder andere de Cyber Security raad, het Nationaal Cyber Security Centrum (NCSC) en het team High Tech Crime.

Tegenacties

Wat bedrijven kunnen doen is hun werknemers bewust maken van de risico’s van cybercrime. Dat betekent bijblijven met de nieuwste ontwikkelingen en de organisatie daarover blijven informeren. In opkomst is bijvoorbeeld ransomware, dat documenten blokkeert op apparaten en ze pas vrijgeeft na betaling van losgeld. En is bekend hoe geavanceerd phishing is? Het hengelen naar persoonlijke informatie via e-mail, gaat nu ook per advertentie, websites en instant messaging en de middelen zien er steeds authentieker uit. De gebruiker belandt op een website die lijkt op het origineel, maar alle gegevens die hij invoert, worden onderschept. Het is daarom altijd belangrijk de bron te controleren van e-mails en de URL van websites waar om informatie wordt gevraagd. En geen informatie vrij te geven over de telefoon wanneer de beller niet bekend is.

Apps en advertenties in apps kunnen malware bevatten, software met slechte bedoelingen

Naast de medewerkers is er natuurlijk de eigen IT-omgeving. Hou verouderd is die? Zijn alle gaten gedicht door updates? Hoe solide is het BYOD-beleid? Als medewerkers met hun eigen device mogen werken, wie is dan verantwoordelijk voor de veiligheid? Apps en advertenties in apps kunnen malware bevatten, software met slechte bedoelingen. Welke gegevens hebben medewerkers opgeslagen in de cloud? Is bekend wie er allemaal toegangspasjes hebben of digitale sleutels? Zijn er al wearables gesignaleerd binnen het bedrijf? Die communiceren met een smartphone, die gevoelige informatie bevat en verbonden is het met het bedrijfsnetwerk.

Het is niet nodig om de internationale cybermisdaad op te rollen, het is wel noodzakelijk dat bedrijven zich bewust zijn van de trends in cybercrime en hun eigen bedrijfsvoering serieus genoeg nemen om risico’s te verkleinen.

Meer lezen over cybersecurity en het op orde brengen van de IT-omgeving? Download het gratis ebook IT op orde en het rapport Cybersecurity in beeld van het Nationaal Cyber security Centrum van het Ministerie van Veiligheid en Justitie.

 


Detectie en directe reactie
Het Nederlandse Fox-IT is een van de belangrijkste spelers op het gebied van wereldwijde cybercrimebeveiliging. Dankzij hun oplossing genaamd DetACT kunnen banken bijvoorbeeld fraude vaststellen terwijl het gebeurt en wordt direct actie genomen. De systemen kijken mee bij circa tachtig procent van het Nederlandse betalingsverkeer. Dat zijn miljarden euro’s aan transacties per dag en miljoenen euro’s aan fraude.
 Detectie en directe reactie zijn de kern van goede beveiliging, zegt directeur en medeoprichter Menno van der Marel van Fox-IT. Zo zegt hij in Emerce 100: “Een poging tot preventie alleen is niet afdoende. Vroege detectie is een goed middel om ervoor te zorgen dat een incident geen crisis wordt.” Fox-IT schat dat ruim vijftig procent van alle aanvallen pas na maanden wordt opgemerkt door het getroffen bedrijf. Van der Marel durft zelfs te stellen dat het in 2014 gemiddeld 200 dagen duurde voor een organisatie doorhad dat zij gehackt was. Dat komt ook omdat bedrijven de blik naar binnen hebben gericht. Ze zijn zo druk met beveiligen van wat ze hebben, dat zij te weinig aandacht hebben voor wat er op hen afkomt.


Dit artikel is tot stand gekomen in samenwerking met NRC Media.

Downloads bij dit artikel

  • Gratis e-book ‘IT op orde’eBook

    Mobiel werken, cloud computing, CYOD, enterprise mobility zijn de werktrends van deze tijd. Medewerkers willen altijd en overal kunnen werken, online vergaderen en bestanden delen. Ook vanaf hun mobiele device. Maak uw IT klaar voor deze trends,  en lees het eBook ‘IT op orde’.

  • The future of work in the 21st centuryWhitepaper

    Automated, creative and dispersed: The future of work in the 21st century is a study by The Economist Intelligence Unit (EIU). The report seeks to identify the key trends that will influence the nature of work and working life over the next 10-15 years and investigates executive attitudes towards these trends.

Karina Meerman Technologie & Ondernemen

"Uitstellen kan altijd nog."

Reageer ook

Reacties 0


Reageer

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Reageer ook