Kleinere organisaties worden steeds vaker door cybercriminelen aangevallen om via hen toegang te krijgen tot grotere organisaties. Kleinere organisaties die in een dergelijke indirecte aanval worden gebruikt, worden ook wel ‘stepping stones’ (opstap, red.) genoemd. Deze manier van aanvallen is steeds meer in opkomst, maar waarom zijn deze stepping stones zo geliefd bij cybercriminelen?
Kleine organisaties zijn een makkelijker doelwit voor cybercriminelen. ‘Dit komt doordat het juist in kleine organisaties vaak ontbreekt aan kennis en kunde om zaken goed te beveiligen’, meent Martijn Bellaard, lead architect bij ict-consultant en dienstverlener TriOpSys. ‘Ze moeten vaak volledig vertrouwen op hun ict-dienstverlener, als ze die al hebben. Eigenaren van en medewerkers in kleinere organisaties zijn over het algemeen geen ict-specialisten en zijn gespecialiseerd in andere vakgebieden. Ze vertrouwen hierbij volledig op een derde partij. Helaas worden nieuwe desktops en laptops slecht of niet beveiligd afgeleverd. Meestal is de gebruiker op zijn werkplek ook de beheerder en heeft hij een virusscanner die maar een maand geldig is. Ook het updaten van hun systeem op de werkplek gebeurt dan slecht of niet. Deze pc’s zijn dus een ideaal doel om gehackt te worden.’
Gewild slachtoffer
Grotere organisaties daarentegen hebben dikwijls de beschikking over meer geld en middelen voor een goede ict-beveiliging, voegt Michiel Broekhuijsen, managing consultant bij Lantech, toe. Vaak worden zij hiertoe gedwongen door regelgeving. ‘Dit maakt kleinere bedrijven een gewild slachtoffer voor cybercriminelen. Niet dat zij op zich zelf waardevol zijn, maar zij bieden wel toegang tot grotere en interessantere, potentiële slachtoffers.’
Doordat cybercriminelen steeds meer georganiseerd te werk gaan, krijgen zij steeds beter inzichtelijk welke kleine organisaties verbonden zijn aan grotere, belangrijkere organisaties. ‘Ze weten dus bij welke kleinere organisaties ze moeten inbreken om vrij baan te krijgen naar de organisaties die er voor hen echt toe doen’, verduidelijkt SecureLabs-cto Ronald Kingma.
Vpn-koppeling
Kleine organisaties kunnen gewoonweg niet alles zelf doen en werken daarom vaak samen met partners en leveranciers, aldus Bellaard. ‘Nu heeft een leverancier niet één klant, maar vaak vele klanten die allemaal effectief moeten worden ondersteund en waarbij de kosten moeten worden beperkt. Om die reden wordt er zoveel mogelijk geautomatiseerd.’ ‘Bovendien vertrouwen bedrijven in de keten elkaar en daarom worden de it-netwerken vaak aan elkaar gekoppeld, bijvoorbeeld door middel van een vpn-koppeling’, zo vult Martijn Doedens, netwerk- en securityconsultant bij Securelink Nederland, aan.
Omdat deze vpn-koppeling dan als vertrouwd wordt bestempeld, zijn volgens Doedens de securitymaatregelen die op de internetkoppeling aanwezig zijn, niet actief op deze vpn-koppeling. Ronald Kingma bevestigt dit. ‘Wanneer er iets binnenkomt via deze vpn-koppeling, dan denkt de ontvangende partij al snel ‘het komt vanuit dat bedrijf, dus het zal wel goed zijn’. Wanneer cybercriminelen vervolgens de zwakste schakel in deze koppeling aanvallen, in dit geval het kleine bedrijf, kan deze gebruikmaken van de onbeschermde vpn-koppeling om zo het grotere bedrijf te infecteren en gegevens te stelen.’
Social engineering en fraude
Vaak is ict slechts een beperkt onderdeel van deze criminaliteit, zo meent Hans van de Looy, mede-operichter en principal security consultant bij Madison Gurkha. ‘Uiteindelijk gaat het in veel gevallen ook domweg om zogenaamde social engineering en ‘ouderwetse’ fraude. De ict-beveiliging bij kleine bedrijven is vaak minder goed op orde. Bovendien wisselen steeds meer bedrijven gegevens uit via gekoppelde netwerken of het internet. Voor een cybercrimineel is het vervolgens aanzienlijk eenvoudiger om via de kleine organisatie contact te leggen met een grote partij en je voor te doen als een te vertrouwen partij.’
Dat ict deze fraude mogelijk, en wellicht eenvoudiger, maakt, wordt volgens Van de Looy niet onderkent. ‘Dat steeds meer informatie wordt opgeslagen in, mogelijk minder goed beveiligde, ict-omgevingen zorgt er nog niet voor dat deze vorm van criminaliteit ook onder het kopje ‘cybercriminaliteit’ komt te vallen.’
Bewustzijn verhogen
Michiel Broekhuijsen meent dat grotere organisaties met veel toeleveranciers zich dus extra bewust moeten zijn van de risico’s die kleinere, minder goed beveiligde, partijen met zich mee kunnen brengen. ‘Het goed controleren van apparaten voordat deze zich zomaar toegang tot het bedrijfsnetwerk verschaffen, is een minimale vereiste in deze.’ Ronald Kingma meent dat veel grote organisaties, zoals banken, al strenge eisen stellen aan de beveiliging van de kleine bedrijven met wie zij in de keten zijn gekoppeld.
Maar met alleen het bewustzijn verhogen van de grotere organisaties zijn we er nog niet. Volgens Broekhuijsen moet er meer aandacht worden gegeven aan de keuze, implementatie en het beheer van oplossingen die de gehele ict-infrastructuur in de gaten kunnen houden. Uit verzamelde data kunnen slimme verbanden ontdekt worden, waardoor aanvallen, of de aanloop tot een aanval, op tijd gedetecteerd en gestopt kunnen worden.
InfoSecurity
Ook geïnteresseerd in ketenbeveiliging? Kom dan op 29 en 30 oktober 2014 gratis naar de InfoSecurity in de Jaarbeurs in Utrecht. Voor meer informatie en inschrijven ga ja naar http://www.infosecurity.nl.