Nederlandse bedrijven en organisaties die een melding krijgen van een kwetsbaarheid in hun ict-syteem doen er gemiddeld acht dagen over om dat lek te dichten. Dat is sneller dan het Europese gemiddelde van 10,5 dagen. In sommige gevallen wordt helemaal geen actie ondernomen.
Dat concluderen de ethische hackers Vincent Toms en Victor Gevers van GDI.Foundation. Voor het Project366 spoorden ze een jaar lang in hun vrije tijd kwetsbaarheden op om hacks te voorkomen. Daarin ontdekten ze 690 ernstige beveiligingslekken en rapporteerde deze aan meer dan 590 organisaties verdeeld over 71 landen.
In Nederland en België troffen ze respectievelijk 136 en veertien ernstige beveiligingslekken aan. Nederlandse organisaties doen er gemiddeld acht dagen over om na een melding tot actie over te gaan. Belgische organisaties hadden 5,3 dagen nodig om een beveiligingslek te dichten. Het wereldwijde gemiddelde is 10,8 dagen. Chinese bedrijven blijken beduidend sneller te reageren, er werden 43 lekken gemeld, de organisaties dichtte deze gemiddeld in 4,9 dagen tijd.
Gevers: ‘Ondanks dat niet elke organisatie even snel reageert, zijn we positief gestemd over het aantal reacties en wijze waarop gereageerd wordt. Van landen waarvan je geen reactie zou verwachten, komen vaak de leukste reacties en bedankjes. Ze vragen bijvoorbeeld wat het had opgeleverd als de data was verkocht of als er misbruik was gemaakt van de kwetsbaarheden. Gezien het grote aantal lekken en de hoge autorisaties die we konden bemachtigen, hadden we met de verkoop van data gemakkelijk meerdere langdurige vakanties kunnen bekostigen. Op zogeheten dark markets is namelijk een levendige handel in gebruikersgegevens die zijn buitgemaakt als gevolg van lekke databases.’
Dashboard
Hoewel Project366 officieel ten einde is, gaat GDI.Foundation in 2017 door met het opsporen van kwetsbaarheden. De organisatie licht toe: ‘De mogelijkheden van cybercriminelen nemen nog steeds toe en om risico’s te reduceren is een integrale en internationale aanpak noodzakelijk. Mede dankzij funding van SIDN fonds kunnen we in 2017 starten met de ontwikkeling van een security dashboard dat landen, overheden en organisaties inzicht geeft in actuele beveiligingslekken en hoe die kunnen worden gedicht.’
Die tool moet ook inzicht bieden in trends en toekomstige cyberrisico’s, zodat sneller gepaste maatregelen genomen kunnen worden.
Top-5 cyberdreigingen 2017
Voor 2017 voorspelt GDI.Foundation deze top vijf cyberdreigingen
Mens blijft zwakste schakel. Ook in 2017 weer op de eerste plaats als grootste dreiging. Het niet verrichten van noodzakelijk updates, de omgang met wachtwoorden en het versturen/meenemen van gevoelige documenten naar huis.
Legacy & bekende kwetsbaarheden. Dit is mede het gevolg van ons eigen handelen. Het uitbuiten van bestaande kwetsbaarheden wordt elk jaar gemakkelijker en vereist vrijwel geen technische kennis meer. Alles wat je moet weten om de kwetsbaarheden te misbruiken staat op internet, mits je weet waar je moet zoeken.
IoT & Time to Market. De markt voor IoT is booming, dankzij diverse nieuwe diensten en devices die blijven verschijnen. De mogelijkheden staan pas in de kinderschoenen en de kosten zijn bijzonder laag. Door de haast die bedrijven hebben met het uitbrengen van producten, wordt goede security vaak vergeten.
Big (lekkende) Data. Het voordeel voor cybercriminelen is dat veel privacygevoelige informatie al bijeengebracht is door een organisatie. Een wet die een opwaarts effect kan hebben op de prijs van data, is de nieuwe EU-wet General Data Protection Regulation (GDPR). Het gebruik van cookies voor marketing etc. wordt hierdoor bemoeilijkt, maar zal de behoefte naar informatie niet verminderen.
Cybercrime as a Service. Verdere professionalisering van internetdiensten op basis van vraag en aanbod. Cybercrime als service levert weinig risico voor de (ver)koper op en een hoge return of investment. Van ransomware tot het manipuleren van verkiezingen. Runner-up voor de top 10 van ‘Best betalende baan 2017’.
Over GDI.Foundation
GDI.Foundation is een Nederlandse stichting zonder winstoogmerk en streeft naar een veilig en open internet. Sinds 1 januari 2016 heeft de stichting ruim 690 ernstige beveiligingslekken ontdekt, gerapporteerd en bedrijven belangeloos geadviseerd over het oplossen van kwetsbaarheden.
De ethische hackers Victor Gevers en Vincent Toms van GDI.Foundation wonnen voor hun werk onder meer de Digital Impact Award 2016 en de SURF Security award 2016. Door een financiering van het SIDN-fonds kan de stichting in 2017 haar inspanningen voortzetten en starten met de verdere ontwikkeling van een security dashboard dat landen, overheden en organisaties inzicht geeft in actuele beveiligingslekken, (toekomstige) cyberdreigingen en hoe die kunnen worden opgelost.