Hoe gaat het cybersecurity-landschap eruit zien in 2016? Kunnen we nieuwe bedreigingen verwachten? Openen hackers massaal de aanval op het Internet of Things? En wat gaat de nieuwe Meldplicht datalekken teweeg brengen? Wij vroegen enkele experts van IT Security for Business naar hun voorspellingen voor 2016.
Een voorspelling die waarschijnlijk niemand zal bestrijden, is dat het aantal cybersecurity-inbraken in 2016 zal stijgen. Steeds meer apparaten en systemen worden immers aan het internet verbonden en ons dagelijks leven wordt praktisch mogelijk gemaakt door allerlei technologieën. Het is vrijwel onmogelijk om al die systemen optimaal te beschermen, waardoor er altijd wel een zwakste schakel in de beveiligingsketen te vinden is. Maar volgens Ronald Prins, directeur van Fox-IT, zijn aanvallen niet het belangrijkste risico:
“Ik denk dat we de komende jaren best eens een grote uitval kunnen verwachten van een deel van het internet of bepaalde kritische infrastructuur. Denk bijvoorbeeld aan de TV5Monde-hack die dit jaar een Frans televisiestation plat legde. Maar het hoeft niet eens naar aanleiding van een aanval van hackers of terroristen te zijn. Zo’n gebeurtenis zou ons hard met de neus op de feiten drukken hoe afhankelijk we zijn geworden van technologie en het internet, en dat we de beveiliging ervan echt moeten verbeteren.”
De overheid zet nu de eerste stappen op dit gebied door met de Meldplicht datalekken af te dwingen dat Nederlandse bedrijven hun privacygevoelige informatie beter gaan beschermen. Maar is dit genoeg om de verwachte toename in cybercriminaliteit het hoofd te bieden?
Gijzelnemers en inbrekers
Cybercrime is een miljardenindustrie geworden die zich zowel op individuen richt als op bedrijven en overheden. Ransomware is een uiterst tastbaar voorbeeld hiervan, dat een bedreiging is voor beide. Persoonlijke gegevens of bedrijfsdata worden via een stukje malware digitaal in gijzeling genomen en de eigenaar kan ze in ruil voor een geldbedrag weer terugkrijgen. Betaalt hij niet, dan is de data verloren. Deze vorm van malware zal in 2016 naar verwachting nog veel meer slachtoffers gaan maken, denkt Martijn Sprengers, IT Security Consultant van KPMG. Inbraken op grote organisaties zullen volgens hem ook toenemen. In het bijzonder financiële organisaties zouden zich de komende tijd zorgen moeten maken:
“Cybercrime professionaliseert doordat criminelen zich ook gaan specialiseren in bedrijfsprocessen. Ik verwacht in 2016 een toename van het aantal aanvallen op banken en financiële instituties en dan met name op hun backend betaalsystemen en zogeheten SWIFT-interfaces. Door in te breken op deze transactionele systemen kunnen aanvallers ongemerkt miljoenen euro’s wegsluizen. Dit gebeurt veel door aanvallen op gebruikers met verhoogde rechten, of indirect via softwareleveranciers. Het wordt dus steeds belangrijker om de hele beveiligingsketen door te lichten, en het vastleggen van de ieders verantwoordelijkheden daarin.”
Innoveren of creperen
Technologische innovaties volgen elkaar in razendsnel tempo op. Als bedrijven nieuwe businessmogelijkheden zien, moeten ze daar snel op inspelen, omdat ze immers niet ingehaald willen worden door hun concurrentie. Stefan Sijswerda, I&AM Specialist van Dell:
“Tegenover innovatietrends staan meestal ook één of meerdere risicotrends. Er is steeds meer behoefte naar het open delen van informatie tussen systemen, apparaten en applicaties. De vraag is hoe je dit controleerbaar en veilig houdt als er zoveel druk wordt opgelegd om snel te innoveren. De zakelijke kansen zijn groot, maar je kunt de risico’s van reputatieschade of een boete als gevolg van de Meldplicht datalekken niet negeren. Zoals ook in dit artikel van McKinsey blijkt, kan innovatie dan ineens heel veel geld gaan kosten. Concentreer daarom op de onderdelen die je wilt weten: de gebruiker en de data waartoe hij/zij toegang wil hebben.”
Barry van Kampen, ethisch hacker en CEO van de S-Unit, ziet daar nu al voorbeelden van in het snel groeiende Internet of Things:
“De recente hack van VTech, een Chinese fabrikant van elektronisch kinderspeelgoed, geeft al aan dat beveiliging niet voorop staat bij dit soort consumentenapparatuur. En we gebruiken steeds meer van dit soort ‘hackable’ apparaten, die allemaal op het publieke internet te vinden zijn. Denk aan de slimme thermostaat Nest. Heel handig, maar als iemand zo’n systeem kraakt, kan hij precies zien wanneer het huis leeg is om fysiek in te breken. We zouden niet zomaar de risico’s moeten accepteren die deze apparaten introduceren. Ook consumenten zouden goede security van fabrikanten moeten eisen. Dan pas wordt het onderdeel van hun businesscase. Security moet vanaf de basis in zo’n systeem gebouwd zijn, iets wat goede ontwikkelaars zouden moeten weten.”
Meldplicht datalekken
Er moet de komende jaren dus duidelijk geïnvesteerd worden om de toenemende bedreigingen het hoofd te bieden. Niet alleen om bedrijfsinformatie en de IT-infrastructuur te beschermen, maar ook voor de wetgeving. De vraag is of dit wel realistisch is voor kleinere organisaties. Boele Ter Wisch, Manager Sales van Intragen:
“Cyberaanvallen zullen in 2016 in aantal toenemen en steeds geavanceerder worden. Bovendien wordt de regelgeving een stuk complexer, wat voor de meeste organisaties niet meer te implementeren is zonder steun van de juiste systemen en externe experts. Ik denk dat de investeringen in security elke twee jaar verdubbeld moeten worden om hier in mee te kunnen gaan. Of bedrijven dat ook zullen doen, is maar de vraag. De boetes als gevolg van de Meldplicht datalekken zullen vooral een symbolisch karakter hebben.”
Ook Matthijs Ros, Cybersecurity-expert van Capgemini, betwijfelt of de Meldplicht datalekken het gewenste resultaat gaat hebben:
“Met name MKB-bedrijven zijn totaal niet bezig met de Meldplicht datalekken. Ik verwacht daarom dat zij in 2016 uit angst voor sancties elk klein lek zullen gaan melden, omdat ze dan minder aansprakelijk zijn. Dit zou voor een stortvloed aan meldingen kunnen zorgen bij de Autoriteit persoonsgegevens, met een enorme administratieve rompslomp als gevolg. Ik denk dat het inregelen van optimale security inclusief alle wettelijke procedures voor deze bedrijven niet haalbaar is. Het is goed mogelijk dat er volgend jaar organisaties opstaan die dit als dienst gaan aanbieden.”
Intelligentere security
Wat is nu de beste manier om de security binnen een organisatie op peil te krijgen? Volgens Jeannine Peek, directeur van Dell Nederland, is het belangrijk dat bedrijven op een strategische manier gaan bouwen aan een intelligente security-infrastructuur die hen beschermt.
“Een inbraak levert altijd schade op, of dit nu reputatieschade is, of gestolen intellectueel eigendom of persoonsgegevens. Inbrekers blijven altijd bestaan en als er iets waardevols te stelen is, zullen zij altijd een weg naar binnen vinden. In 2016 wordt het daarom nog belangrijker om inbraken op tijd te kunnen signaleren. De security-awareness van het personeel verbeteren is daarvoor heel belangrijk, maar ook het gebruik van intelligente security-oplossingen. Ik verwacht dat meer bedrijven een ecosysteem van onderling communicerende security-tooling gaan opbouwen, dat geautomatiseerd verdacht netwerkverkeer monitort, meldt en blokkeert.”
De experts van IT Security for Business wensen iedereen een gelukkig en vooral veilig 2016!
Zit het grootste risiko niet achter de PC/Tabet?
Inderdaad. PEBCAK (ook wel PEBKAC) heet dat:
https://en.wiktionary.org/wiki/PEBCAK