Woonwinkels en tuincentra zijn relatief vaak slachtoffer van DDoS-aanvallen. Ze zijn kwetsbaar, doordat er in veel gevallen sprake is van een internetdomein dat met meerdere vestigingen wordt gedeeld via één centrale host. Bij een DDoS-aanval heeft dat gevolgen voor alle aangesloten websites. De kans op een DDoS-aanval is bij een centrale host 35 keer hoger dan bij een domein dat een vps (virtual private server) of dedicated host heeft.
Dat stellen stichting Nederlandse Beheersorganisatie Internet Providers (NBIP) en SIDN (Stichting Internet Domeinregistratie Nederland) na onderzoek. Zij bekeken DDoS-aanvallen op Nederlandse internetdomeinen, brachten aanvallen en risico’s in kaart en maakten een overzicht van de financiële schade door DDoS.
‘Per sector zijn de verschillen groot’, stellen NBIP en SIDN in een gezamenlijk persbericht. ‘Er is ook een verschil in de manier van aanvallen: bewust of als nevenschade (collateral damage). De potentiële schade van een bewust doelwit is het grootst in de overheidssector: bijna 60 miljoen euro. De ‘Home and Garden’-sector (tuincentra en woonwinkels, red.) lijdt het meest onder potentiële nevenschade (35 miljoen euro). De nevenschade komt door aanvallen op domeinen die bij een shared host staan’, stellen de onderzoekers.
De uitkomsten staan in het rapport ‘The impact of DDoS attacks on Dutch enterprises’. Voor dat onderzoek is data van de NaWas (Nationale Wasstraat), een initiatief van NBIP waarbij internetverkeer wordt geschoond van code die door internetcriminelen wordt gebruikt om systemen plat te leggen. Die gegevens worden gecombineerd met data van SIDN over de organisaties achter de getroffen .nl-domeinnamen, waarvan SIDN de beheerder is.
Schade
Op basis van die gegevens schatten beide organisaties dat de bij NaWas aangesloten ondernemingen 425 miljoen euro aan inkomsten zouden zijn misgelopen wanneer bescherming niet aanwezig was geweest. Dat is een optelsom van bijvoorbeeld het aantal uren dan een bedrijf niet bereikbaar is en geen gebruik kan maken van aan internet gekoppelde systemen.
De onderzoekers: ‘Omdat de NaWas 43 procent van de .nl domeinen beschermt (2,5 miljoen domeinen), en de data van SIDN zich beperkt tot .nl-domeinnamen (64 procent van alle domeinnamen in Nederland) vermoeden we dat de potentiële schade in werkelijkheid veel hoger uitvalt.’ Ook ontbreekt de data nog van een aantal grote organisaties die hun eigen DDoS-oplossing aanbieden.
‘Alleen kijken naar laagste prijs’
Bedrijven moeten er volgens de onderzoekers dus rekening mee houden dat de effecten van DDoS-aanvallen kunnen verschillen voor verschillende soorten hosting. ‘Hosting kan steeds sneller en goedkoper, maar het is niet zonder risico om alleen naar de laagste prijs te kijken. Aan de andere kant ligt er ook een verantwoordelijkheid voor de hosters zelf: zij dienen, in het belang van hun klanten, hen te wijzen op dit risico’, stelt Octavia de Weerdt, algemeen directeur stichting NBIP. Ze hoopt dat het onderzoek bijdraagt aan de bewustwording van het probleem bij beide partijen.
Michiel Steltman, directeur van Stichting Digitale Infrastructuur Nederland (DINL) stelt in het rapport: ‘De meeste bedrijven hebben tegenwoordig online activiteiten die cloudinfrastructuur of hosting vereisen. De prijs is vaak het leidende criterium voor het selecteren van zulke diensten. Maar nu DDoS-aanvallen steeds vaker voorkomen en de wet vereist dat persoonlijke gegevens worden beschermd, moeten beveiliging en het vermogen aanvallen te beperken een veel hogere prioriteit hebben.’
Economische gevolgen
De economische impact van DDoS-aanvallen is een schatting op basis van misgelopen inkomsten, wanneer er geen bescherming aanwezig was. Daarbij keken NBIP en SIDN naar omzetgegevens van de getroffen bedrijven en de duur van de aanvallen.
‘Het onderzoek heeft daarmee een indicatief karakter en pretendeert daarmee zeker geen exacte uitspraak te kunnen doen. Het Centraal Planbureau concludeerde in oktober al dat de exacte schade die DDoS aanricht moeilijk te kwantificeren is. Zo is het lastig te beoordelen of het gedurende een dag niet beschikbaar zijn van een website leidt tot uitstel of afstel van een zakelijke transactie’, aldus Michiel Henneke, marketingmanager SIDN. Ook betekent het gebruik van data aangeleverd door een anti-DDoS platform (in dit geval de NaWas) dat de schade vaak niet daadwerkelijk is opgetreden – er was immers bescherming.
Met het gezamenlijke onderzoek hopen NBIP en SIDN daarom een startpunt voor verder onderzoek te bieden. Ze schrijven: ‘In Nederland is er bijna geen onderzoek gedaan naar de financiële kanten van een DDoS-aanval. Het is ook een lastig onderwerp, want hoe meet je precies hoe ontwrichtend iets is voor de maatschappij? Samen met SIDN hopen we hiertoe een eerste gedegen aanzet te hebben geleverd’, aldus de Weerdt. ‘We roepen daarom overheden, instellingen en partijen in de markt op om meer onderzoek te doen naar de economische gevolgen van DDoS-aanvallen.’
