Vorig jaar werd een Franse webhosting provider geconfronteerd met de op dat moment ‘grootste DDoS-aanval aller tijden’: 990 Gigabit per seconde. Dat de strijd tegen cybercriminaliteit een ratrace is, lijdt geen twijfel.
Het afgelopen jaar nam het aantal gestolen data als gevolg van cyberaanvallen wereldwijd met 53,6 procent toe, zo meldt het State of cybersecurity report 2017. Preventiemaatregelen als antivirus, dlp, firewalls, en siem komen als een boemerang terug als blijkt dat deze zelf met malware besmet zijn. Ondertussen doemen alweer nieuwe securityrisico’s op.
Cybercrime is van alle tijden. Begin jaren zeventig waren telefoonmaatschappijen het doelwit. Ene John Draper reed in zijn busje kriskras door Amerika om op verschillende plaatsen gratis te bellen via ‘phreaken’. Twee andere jongens, Steve Jobs en Steve Wozniak raakten hierdoor geïnspireerd en belden triomfantelijk gratis vanuit Californie naar Vaticaanstad. Het is kinderspel vergeleken met waartoe beroepscriminelen en ‘statelijke actoren’ tegenwoordig in staat zijn.
Het afpersen met ransomware, digitale megakraken van banken en pinautomaten en het op afstand beschadigen van een kerncentrale, het is allemaal al eens vertoond. In 2016 werden er wereldwijd gemiddeld elke seconde 43 records buitgemaakt. De website Information is beautiful visualiseert vanaf 2004 tot en met vandaag alle datalekken waar meer dan dertigduizend records zijn gelekt. De ‘bubbles’ worden steeds groter.
Overweeg een cyberverzekering
Het afsluiten van een cyberverzekering als aanvulling op traditionele maatregelen die ondernemingen wettelijk al moeten nemen om de risico’s op een hack, datalek of DDoS-aanval te verkleinen, kan een logische en rationele beslissing zijn. Het blijkt echter dat 52.3 procent van de respondenten nog niet over een dergelijke verzekering beschikt. Managers zijn vooral sceptisch over de reikwijdte van de dekking van een cyberverzekering.
Feit blijft dat de markt voor cyberverzekeringen in ontwikkeling is. Er is behoefte aan aanvullende actuariële berekeningen. De claimhistorie is beperkt en ook het prijsbeleid van de verzekeraars is nog niet uitgekristalliseerd. Ondernemingen verzekeren zich met name tegen diefstal van data en tegen discontinuïteit in de productieprocessen (uitval). Ook het verzekeren tegen wettelijke boetes is relatief populair.
Verlies controle over drone niet
Drones worden het nieuwste speeltje van hackers, zo voorspellen de onderzoekers. Het aantal commerciële toepassingen van drones in het bedrijfsleven neemt snel toe, nu de Amerikaanse en andere overheden ruimte bieden om te experimenteren met kleine onbemande voertuigen. Zo zetten verzekeraars drones in om bijvoorbeeld schade aan daken bij natuurrampen of branden te beoordelen. Beveiligers van grote parkeerplaatsen, winkelcentra en bedrijventerreinen sturen drones de lucht in om inbrekers te volgen of ten behoeve van sporenonderzoek bij een misdaad. Drones zijn ook snelle transporteurs van menselijke organen, medicijnen en hulpgoederen in afgelegen rampgebieden.
Helaas hebben cybercriminelen al diverse methoden uitgevonden om de besturing van drones over te nemen, of in de war te sturen. Zo kunnen ze bijvoorbeeld nepcoördinaten naar het besturingssysteem versturen, of de drone met malware infecteren. Ook de onversleutelde data die de drone naar de thuisbasis verstuurt kan onderweg worden gemanipuleerd. Het voor de navigatie onontbeerlijke gps-signaal kan worden gestoord of onderbroken via ‘jamming’. Elke nieuwe technologie gaat gepaard met kwetsbaarheden en bedreigingen, maar bij drones kan dit letterlijk levensbedreigend zijn. Encryptie is daarom een must. Maar hoe bescherm je de digitale sleutels? De onderzoekers signaleren drie methoden: byok (bring your own key), casb (cloud access security broker) en hyok (hold your own key).
Persistente identiteit
Een ‘persistent identity’, gebaseerd op unieke biometrische kenmerken van een persoon, stelt elke gebruiker in staat om gebruiksvriendelijk en veilig te communiceren in de digitale wereld. Het concept moet een einde maken aan de tientallen wachtwoorden en gebruikersnamen waarmee werknemers en burgers nu nog worstelen. De ‘digitale sleutelbos’ wordt dankzij een persistente identiteit een stuk lichter. Het polsbandje van Nymi bijvoorbeeld gebruikt het elektrocardiogram (ecg) van de gebruiker als biometrisch identificatiemiddel voor onder meer elektronisch betalen in winkels.
In de praktijk is een gebrekkige interoperabiliteit tussen de verschillende systemen en apparaten nog een spelbreker. De internationale Fido-alliantie maakt zich sterk voor die gewenste interoperabiliteit. In Nederland wordt nog druk geëxperimenteerd met DigiD Substantieel. Dat is inloggen via DigiD, met een eenmalige controle van een wettelijk identiteitsdocument via een Android/nfc-compatibele smartphone. Daarnaast wordt DigiD Hoog gerealiseerd.
Tevens wordt gewerkt aan de oplevering van de elektronische Identiteitskaart eind 2018. Met een nieuwe chip kunnen burger via DigiD op het hoogste betrouwbaarheidsniveau inloggen. Naast DigiD wil het kabinet een of meer andere inlogmiddelen van bedrijven gaan toelaten voor het inloggen bij overheden, pensioenfondsen, zorgverzekeraars en zorginstellingen.
Tot slot is het de bedoeling dat Europese burgers en bedrijven bij alle Nederlandse organisaties in de publieke sector kunnen inloggen met hun eigen nationale inlogmiddel. Nederlandse publieke organisaties moeten vóór september 2018 eIDAS-proof zijn.
Vergeet IoT niet te beschermen
Zelfrijdende auto’s, infuuspompen, pacemakers, wearables, smart homes, drones, robots, stoplichten, billboards, het aantal beveiligingsincidenten met IoT-apparaten zal in de nabije toekomst alleen maar verder toenemen. In de industrie lopen meet- en regelsystemen met programmeerbare logische controllers (plc’s) op basis van een Scada-architectuur potentieel gevaar. Alles dat met het internet verbonden wordt, is te hacken. De bovengenoemde DDoS-aanval op de Frans webhoster was alleen maar mogelijk dankzij meer dan 150.000 gecompromitteerde cctv-camera’s uit de openbare ruimte.
Er ligt een zware verantwoordelijkheid bij de ontwerpers en leveranciers van IoT-apparaten, maar ook bij de gebruikers zelf. Een standaard of makkelijk te kraken wachtwoord (zoals ‘admin’ of ‘0000’) kan jaren later nog grote gevolgen hebben. De Nederlandse Cyber Security Raad spreekt over ‘zorgplichten voor consument en bedrijf’, over een verantwoordelijkheid voor de eigen en andermans veiligheid. Agentschap Telecom pleit voor aanvullende richtlijnen en standaarden op gebied van ‘security by design’ en onderhoud: de wijze waarop het apparaat beveiligd is en blijft tegen ‘ongewenst bezoek’.
Vuile werk
De genoemde ratrace tussen cybercriminelen en bedrijven leidt ertoe dat kennis en vaardigheden van security-professionals al snel verouderen. Bovendien zijn er te weinig echte security-specialisten. De kenniskloof is gedeeltelijk te overbruggen door het uitbesteden van eerstelijns analyses aan software bots.
Bijna een derde van de respondenten van het State of cybersecurity report 2017 verwacht dat machine learning en kunstmatige intelligentie hierbij een sleutelrol gaan vervullen. De toekomstige cyberoorlog zal volgens de onderzoekers worden uitgevochten tussen ‘the good and bad bots’. De menselijke factor zal hierbij steeds meer op de achtergrond raken, omdat de grote hoeveelheden te analyseren big data het menselijk bevattingsvermogen al snel te boven gaan. Kortom: complexe algoritmes zullen voortaan het ‘vuile werk’ opknappen.