Na elke cyberaanval verschijnt een technische beschrijving van hoe websites of systemen werden gehackt, de manier waarop kwetsbaarheden werden blootgelegd, of hoe slachtoffers losgeld moesten betalen in een niet-traceerbare cryptocurrency. Daarbij wordt weleens vergeten dat achter elke hack een mens schuilgaat. Door te begrijpen dat er een menselijke kant aan hacken zit, zijn organisaties al een eind op weg om cybercriminelen te verslaan.
In de voortdurende strijd tegen cybercriminaliteit kunnen we hackers verslaan als we het gezegde ‘ken je vijand’ volgen. Dit wil niet zeggen dat cybercriminelen zich aan de spelregels houden, maar wel dat de morele normen waaraan zij zich houden niet zo ver van de onze af liggen.
Zie de Colonial Pipeline cyberaanval. DarkSide, het verantwoordelijke hackerscollectief, gaf een verklaring af waarin het zich verontschuldigde voor de veroorzaakte verstoring. De groep was niet van plan om in de hele staat brandstoftekorten te veroorzaken, en gaf expliciet aan dat zij gematigd te werk zouden gaan om maatschappelijke gevolgen bij toekomstige aanvallen te voorkomen. In het duistere morele universum van hackers is de grens tussen goede en kwade bedoelingen vaak vaag. Zie daarvoor de hack op het Nederlandse Rode Kruis. Maar hoe meer we begrijpen over de verschillende soorten hackers, hun motieven en hun tactieken, hoe beter we ons kunnen voorbereiden op toekomstige aanvallen en deze kunnen voorkomen.
Geen doekjes
Het is waar dat sommige hackers worden gemotiveerd door ethische of activistische overwegingen, terwijl white-hat-hackers de verdediging van organisaties onderzoeken om zwakke plekken in de beveiliging aan het licht te brengen (en te verhelpen). Maar laten we er geen doekjes om winden: cybercriminaliteit is een miljardenindustrie en bedrijven moeten er een stevige grip op krijgen als ze enige kans willen hebben om toekomstige aanvallen te voorkomen.
Hoe vreemd het ook mag klinken, maar hacking-organisaties maken zich net zoveel zorgen over hun reputatie als legitieme bedrijven. Ze willen bedrijven aanmoedigen om met hen te onderhandelen, en dat vereist dat ze op zijn minst een schijn van moraliteit ophouden.
Door nationale staten gesteunde hackingcampagnes worden echter niet gemotiveerd door het winstoogmerk. Zij opereren legaal in hun land van herkomst; hun doel is het beschermen van nationale veiligheidsbelangen (inclusief spionage en de verspreiding van nepnieuws). Zij worden dan ook vaak rechtstreeks door regeringen gefinancierd
Het brein van een crimineel
Het is één ding om te weten wie hackers zijn, maar het is net zo belangrijk om te begrijpen hoe ze denken. En hoewel er geen eenduidige criminele denkwijze is, duiken bepaalde gedragspatronen steeds weer op.
Zo wordt vaak waargenomen dat cybercriminelen zich richten op seizoens-evenementen, zoals Black Friday, andere nationale feestdagen of belangrijke nieuwsgebeurtenissen. Deze bieden een perfecte gelegenheid om toe te slaan wanneer de inspanningen van organisaties elders zijn geconcentreerd, wat ook dit jaar bij MediaMarkt gebeurde.
Hackers zijn ook scherpe studenten van de menselijke natuur. Ze begrijpen dat een van de beste manieren om een organisatie binnen te dringen is om in te spelen op de nieuwsgierigheid van mensen. Phishing is de afgelopen jaren veel geraffineerder geworden, met aannemelijke e-mails die eruitzien alsof ze van belanghebbenden en collega’s afkomstig zijn, waarbij ontvangers stiekem worden verleid om op een link te klikken en aanvallers toegang tot bedrijfssystemen te geven. Dit was met name een succesvolle tactiek tijdens de pandemie, waarbij (mis)informatie over vaccins een bijzonder dwingend, aanklikbaar onderwerp voor phishing-e-mails was. Het hoeft ons dan ook niet te verbazen dat de pandemie de perfecte voedingsbodem is voor cyberaanvallen, aangezien bedrijven tegelijkertijd hun waakzaamheden lieten verslappen en nieuwe potentiële beveiligingslekken openden naarmate ze werken op afstand mogelijk maakten.
Grote vergissing
In veel organisaties is de discussie over beveiliging en bescherming tegen cyberaanvallen meestal gericht op het implementeren of upgraden van beveiligingssystemen en technologie. De rol van de mens komt zelden aan bod, wat een grote vergissing is aangezien diezelfde beveiligingssystemen en technologie tenslotte door mensen worden ontwikkeld.
Organisaties zouden voorrang moeten geven aan een preventieve veiligheidsbenadering. Bij deze aanpak worden drie fundamentele zaken in aanmerking genomen: inzicht in de aard van de bedreiging, de bedoelingen erachter en de gebruikelijke tactieken van hackers. Er wordt ook rekening gehouden met interne zwakke punten.
Zoals – nogmaals – een oud gezegde luidt: ken je vijand. Of ze nu gebonden zijn door wetten of ethiek, mensen opereren doorgaans binnen parameters van de hoeveelheid schade die ze kunnen veroorzaken. Dit is toe te passen op de wereld van cybercriminelen. Hackers zijn mensen, en dus bestaan er ook mensen in de wereld van hacking, ondanks alle schade die systemen en technologie kunnen aanrichten, is het belangrijk te onthouden dat alles wordt aangedreven door een mens.
(Auteur Eric Milam is vp research and intelligence bij BlackBerry.)