De vraag is wat het mkb het komende jaar kan verwachten op het gebied van inbraak op computersystemen en pinautomaten. Grote ondernemingen en organisaties besteden inmiddels al veel aandacht aan security. Maar geldt dit ook voor het mkb (plus)? Is deze sector wel goed voorbereid en hebben systemen wel het juiste security-niveau?
Over deze Blogger
Stefan Sijswerda is binnen Dell adviseur informatiebeveiliging. Hij is verantwoordelijk voor de begeleiding van informatiebeveiligingstrajecten bij relaties van Dell. De specifieke kennisgebieden liggen rondom Identity & Access Management/ Governance en netwerkbeveiliging. Hij studeerde bedrijfskunde en heeft zich verder ontwikkeld op het vlak van bedrijfsprocesautomatisering. Daarnaast doorloopt hij samen met relaties de opbouw van business cases en assisteert bij de transitie van bedrijven om informatiebeveiliging te gebruiken bij verbeteren en vereenvoudigen van bedrijfsprocessen.
Het lijkt het erop dat die vraag met ‘nee’ moet worden beantwoord. Recentelijk is het bedrijf Gemalto in het nieuws geweest vanwege mogelijk gekraakte SIM-codes. Nu weten we niet het fijne hiervan en baseren we onze conclusies alleen maar op wat de media ons voorschotelen. Waren ze wel goed beveiligd? We weten het niet.
‘Oude code, nieuwe aanvallen’! Verwacht wordt dat het komende jaar meer kwetsbaarheden worden ontdekt in zogeheten ‘oude code’. Voorbeelden van het afgelopen jaar zijn Heartbleed en de Shellshock bug. Bij de Heartbleed-affaire konden hackers via, het tot voor kort nog veilig geachte, OpenSSL-protocol vertrouwde sleutels en certificaten bemachtigen. Een van de oorzaken was achterstallig onderhoud waarbij niet de laatste SSL-versie software was geïnstalleerd. De Shellshock bug, een ander voorbeeld, was voor de Unix/Linux-wereld letterlijk een shock want het tot dusverre veilig geachte Linux/Unix ‘open system’ bleek al jaren een kwetsbaarheid te hebben. Reden waarom Apple onmiddellijk verklaarde dat hun min of meer gesloten OS X-systemen hiertegen bescherming boden.
Risico’s
Deze affaires houden risico’s in voor mkb-ondernemingen. Het is een feit dat in het mkb nog veel gebruik wordt gemaakt van minder veilige en verouderde Linux en Windows-systemen. De systemen zijn vaak niet meer up-to-date en behoeven achterstallig onderhoud. Het mkb is zich niet bewust welke enorme risico’s ze met deze systemen lopen. De aandacht van hackers richt zich steeds meer op dit soort verouderde systemen waarbij ze met behulp van nieuwe hack-technologieën eenvoudig toegang kunnen krijgen tot gevoelige informatie. Door de uit hacks verkregen informatie van verschillende sites ‘over elkaar heen te leggen’ is men in staat om wachtwoorden en gebruikersnamen te distilleren. Met behulp daarvan hebben ze vervolgens weer toegang tot persoonlijke gegevens of gevoelige informatie van mkb-ondernemingen of bankrekeningen. Gebruikers zijn zich vaak niet bewust van de gevaren die ze lopen bij bestellingen via het internet. Ze kunnen bijvoorbeeld niet weten als ze een bestelling op een mkb- webwinkel plaatsen op wat voor systeem ze inloggen. Is het een goed beveiligd modern systeem of een onveilige en verouderde Linux-bak?
Kwetsbaarheden mobiele devices
Het komende jaar zullen meer kwetsbaarheden worden ontdekt op mobiele devices. Android, ook een open systeem, is op dit moment koploper in kwetsbaarheden in vergelijking met Apple’s meer gesloten iOS. Daarom wordt veel malware tot nu toe voor Android ontwikkeld, maar Apple mag zich het komende jaar ook op een verhoogde belangstelling van hackers gaan verheugen! Recente onderzoeken zien een duidelijke stijging van malware geschreven voor mobile devices. Waarom is dit belangrijk? Dit treft jou als individu direct. Deze malware is gemaakt om jouw persoonlijke gegevens te achterhalen en te gebruiken. We zien een toename van financiële transacties via smartphones, denk aan apps als ParkMobile of Thuisbezorgd.nl. Die maken gebruik van jouw geld.
In 2015 valt een toename te verwachten van geavanceerde aanvallen op verschillende type ticketing machines, zoals pinautomaten, automaten voor openbaar vervoerbewijzen en electronische bestelpunten waarvan we in de Nederlandse winkels een groei zien. In februari werd bekend dat wereldwijd voor 45 miljoen van rekeningen werd afgehaald via gekraakte pinautomaten. Experts zijn het er over eens dat de aanvallen met malware en scams bij smartphones de komende tijd zullen toenemen. Het verschil met de aanvallen op pinautomaten is dat de inbraak op smartphones direct de gebruiker zelf aangaat. De banken verwachten van hun klanten dan ook dat ze hun smartphone, of welk BYOD dan ook, hebben voorzien van de juiste antivirus-software van een gerenommeerd bedrijf (niet een van de talrijke gratis antivirus-apps!). Van het mkb mogen we verwachten dat ze hun systemen op orde hebben en blijven houden. De toegepaste skimming-techniek bij pinautomaten is aan het afnemen. De komende jaren zal ook het MKB te maken krijgen met geavanceerde aanvallen die ook gevolgen gaan hebben voor de gebruiker. Nu is het nog zo dat de verantwoordelijkheid bij een gekraakte pinautomaat en het leegtrekken van de rekening bij de banken ligt, maar in de toekomst zou die wel eens richting de gebruiker kunnen verschuiven.
Nieuwe ontwikkelingen waarbij security een belangrijk item wordt, is de betaling met smartphones via mobile apps en het gebruik van het Internet of Things. Het valt te verwachten dat hackers de komende jaren geavanceerde aanvallen hierop zullen uitvoeren. Naast de onderneming zal ook de gebruiker steeds vaker zijn verantwoording moeten nemen om een goede beveiliging op zijn smartphone te implementeren. Want de gebruiker zelf is, ten aanzien van beveiliging, de belangrijkste vijand!
