Traditionele technieken voor cyberaanvallen, zoals phishing en hacking, worden steeds vaker ingezet in combinatie met een tweedelijns slachtoffer. Dit maakt de aanvallen steeds complexer. Dit blijkt uit de nieuwste editie van het jaarlijkse Data Breach Investigations Report.
Naast het feit dat cyberaanvallen een steeds geavanceerder karakter krijgen, verzuimen veel organisaties ook om bekende kwetsbaarheden te verhelpen, zo blijkt uit het onderzoek. Beveiligingspatches die al geruime tijd beschikbaar zijn, worden vaak niet geïnstalleerd en veel kwetsbaarheden zijn al sinds 2007 bekend. Volgens Verizon is er dan ook sprake van een achterstand van bijna acht jaar.
Daarnaast maakt het rapport dit jaar voor het eerst melding van incidenten waarbij hackers gebruikmaakten van verbonden apparaten voor het infecteren van systemen. Ook werden internet of things (IoT)-apparaten gecombineerd tot een botnet voor denial of service (DoS)-aanvallen. De onderzoeksgegevens bevestigen hiermee dat organisaties een hoge prioriteit moeten toekennen aan beveiliging bij de uitrol van een nieuwe lichting van intelligente apparaten.
De berichtgeving over mobiele bedreigingen is volgens het rapport grotendeels overdreven. Het aantal kwetsbaarheden in de beveiliging van mobiele platforms waar cybercriminelen misbruik van maken, is volgens Verizon verwaarloosbaar.
Negen bedreigingspatronen
Na analyse door de analisten van Verizon van de bijna tachtigduizend beveiligingsincidenten, bleek dat de overgrote meerderheid hiervan kan worden herleid tot negen basispatronen, die per branche kunnen verschillen. Deze bevinding werd vorig jaar al gepresenteerd en is dit jaar bevestigd.
In het 2014 Data Breach Investigations Report worden de volgende negen patronen geïdentificeerd:
- menselijke fouten, zoals het verzenden van e-mailberichten naar de verkeerde persoon
- crimeware;
- misbruik door insiders of gebruikers met speciale toegangsrechten;
- fysieke vormen van gegevensdiefstal/-verlies;
- aanvallen op internetapplicaties;
- denial of service-aanvallen;
- cyberspionage;
- inbreuk op point of sale-systemen;
- skimming.
Dit jaar toont het Data Breach Investigations Report aan dat 83 procent van alle beveiligingsincidenten te herleiden zijn tot de top drie van bedreigingspatronen voor elke branche. Dit is een stijging ten opzichte van de 76 procent in 2014.
Financiële gevolgen incident
Op basis van een analyse van bijna tweehonderd verzekeringsclaims die verband hielden met cyberaansprakelijkheid hebben de beveiligingsanalisten van Verizon een nieuw model ontwikkeld voor het berekenen van de financiële gevolgen van een beveiligingsincident. Het model geeft een bandbreedte aan voor de kosten per gestolen of verloren gegevensbestand, zoals een creditcardnummer of medisch dossier. ‘Op basis van deze analyse weten we nu dat de kosten van een succesvolle cyberaanval zelden lager liggen dan die voor een investering in een gedegen beveiligingsinfrastructuur’, aldus Mike Denning, vicepresident global security bij Verizon Enterprise Solution.
Het is daarom belangrijk dat cyberaanvallen voorkomen worden en vaak kan dit door cyberbeveiliging waakzamer aan te pakken. ‘Organisaties laten wat de ict-beveiliging betreft nog altijd veel steken vallen’, zegt Denning. ‘Hoewel er geen garantie tegen beveiligingsincidenten bestaat, kunnen organisaties de risico’s fors terugdringen door zich waakzamer op te stellen bij het beschermen van hun bedrijfsgegevens. Dit blijft de rode draad in meer dan tien jaar onderzoek naar beveiligingsincidenten voor onze Data Breach Investigations Reports.’
De zeven belangrijkste suggesties ter verbetering zijn volgens het onderzoek:
- Verhoog de waakzaamheid;
- Zorg ervoor dat uw medewerkers uw eerste verdedigingslinie worden;
- Maak gegevens alleen toegankelijk voor mensen die deze werkelijk nodig hebben;
- Installeer zo snel mogelijk de laatste updates en patches;
- Versleutel gevoelige informatie;
- Maak gebruik van two-factor-authenticatie;
- Verlies de fysieke beveiliging niet uit het oog.
Hier is ook behoefte aan wetgeving. Iedere organisatie die wegens achterstallig onderhoud klanten en gebruikers dupeert moet aansprakelijk worden voor de geleden schade. Dat is ook zo bij andere niet ICT producten. Het uitsluiten van dergelijke risico’s via voorwaarden en contracten moeten wettelijk ongeldig worden verklaard, ook voor reeds bestaande afspraken. Dat zal helpen.