Laat je niet gek maken door cybercrime

‘Het bericht kwam van Hold Security, een Amerikaanse firma waar ik nog nooit van had gehoord’, zegt Axel Arnbak, onderzoeker cybersecurity en informatierecht aan de Universiteit van Amsterdam en research fellow aan het Berkman Center van de Harvard University. ‘De details over die inbraak zijn niet vrijgegeven en ook niet gedeeld met het internationale netwerk van Crisis Emergency and Response Teams. Dat is vreemd. Hold Security bood wel meteen een abonnement aan om voor $120 per jaar te onderzoeken of je naam op de lijst van gehackte accounts staat.’
Daar komt bij dat de Russische inbrekers volgens Arnbak de gegevens zouden willen gebruiken om de gebruikers twitterspam te kunnen toesturen. ‘De informatie lijkt dus weinig waard te zijn. Alles bij elkaar heb ik me daarom nogal gestoord aan de dynamiek en de hoeveel aandacht die het bericht al snel kreeg in alle media. Het had toch echt meer weg van een leuk verkooppraatje van Hold Security.’

Media zijn verzot op nieuws, maar ze duiden het niet

In het algemeen moeten volgens Arnbak vraagtekens worden gezet bij berichten over aanvallen op onafhankelijke media en ‘kritische infrastructuur’ zoals elektriciteitsnetwerken of energiecentrales. Vaak wordt gesuggereerd dat hier overheden achter zitten, maar de aanvallen zijn volgens Arnbak amper te herleiden tot landen. ‘Bij een raketaanval is het vrij snel duidelijk wie deze heeft uitgevoerd, maar bij een goede cyberaanval is dat heel moeilijk te achterhalen. Er zijn allerlei anonimiseringstechnieken, waardoor aanvallen gedaan kunnen worden zonder dat er een duidelijke dader is te vinden.’
Omdat moeilijk is vast te stellen wie er achter een cyberdiefstal zit, is er veel ruimte voor speculatie, bevestigt Arnbak. ‘Je moet je altijd afvragen wie wat zegt. Ongeveer een jaar geleden stelde een Amerikaanse firma dat Chinezen vanuit een gebouw in Sjanghai cyberaanvallen uitvoerden op The New York Times. Maar Chinezen zijn echt wel zo geavanceerd dat hun aanval niet te achterhalen is. Dan zet je toch een vraagteken achter de Amerikaanse firma die met dat nieuws komt’, zegt Arnbak. Zijn advies is dan ook dat iedereen zich vooral op de eigen verdediging moet richten, en niet zozeer op de moeilijk te achterhalen aanvaller.
Dat Rusland cyberaanvallen uitvoert als onderdeel van oorlogvoering, staat volgens Arnbak vast. Estland en Georgië, buurlanden van Rusland, zijn al eens het doelwit geweest. ‘Het is ook begrijpelijk dat je, voor de troepen het land binnenrijden, de onafhankelijke media en elektriciteitscentrales uitschakelt.’ Deze redenering omdraaien (zodra er een cyberaanval is, moet je beducht zijn op binnenrijdende troepen) noemt Arnbak te voortvarend. ‘Maar cyberaanvallen passen wel bij oplopende spanningen, zoals we die nu kennen.’

Weinig nieuws onder de zon

Ook in 2012 was er al een vergelijkbaar bericht. AON schonk ons toen het white paper ‘Cyberrisico’s onder controle?’
Dit rapport opent quasi objectief: “De cyberrisico’s nemen toe. Voor welke uitdagingen plaatsen deze nieuwe risico’s uw organisatie?” Uit twee onderzoeken van Aon wordt duidelijk dat experts cyberrisico’s inschatten als één van de belangrijkste bedreigingen voor organisaties. In de Aon Global Risk Management Survey en de Security Management Survey staan cyberrisico’s in 2011 zelfs voor het eerst in de top tien van meest genoemde risico’s. Ook weer zo’n verkooppraatje.
Eind 2011 deed Aon in samenwerking met het vaktijdschrift Security Management van Kluwer voor de tweede keer onderzoek onder security managers in Nederland. In het Security Management Survey 2011 maakten de ondervraagde security managers net als in 2010 duidelijk welke risico’s de meeste aandacht krijgen. De top tien security-risico’s 2011 is een volstrekt andere dan in 2010. De nieuwe, vooral digitale risico’s zoals informatiediefstal, het lekken of manipuleren van informatie en cybercrime (vooral hacking) zijn in 2011 volgens de ondervraagden opkomende, urgente risico’s.
De top tien security risico’s van Security Management Survey 2011 (tussen haakjes de positie in 2010):

1. (1) Diefstal
2. (-) Informatiediefstal
3. (4) Agressie
4. (6) Vandalisme
5. (5) Fraude
6. (7) Lekken of manipuleren van informatie
7. (9) Cybercrime
8. (-) Bedrijfsspionage
9. (-) Bewust toebrengen imagoschade
10. (-) Bewuste negatieve continuïteitsbeïnvloeding

De vraag dringt zich op, wat dan nu precies de cyberrisico’s zijn. Informatiediefstal is gewoon diefstal van informatie. Het hoort thuis onder het eerste punt. Cybercrime is uiteraard een cyberrisico. Maar betekent dat, dat nou juist jouw organisatie de strijd moet aangaan met de georganiseerde misdaad? 
Kortom, een dergelijk door onderzoeken onderbouwd whitepaper lijkt mooi en 1,2 miljard gestolen adressen lijkt erg, maar trekt wel je eigen conclusies. En wees erop verdacht, dat zelfs de overheid meedoet aan deze bangmakerij.
Hiermee zou ik dan dit verhaal kunnen afsluiten. Het vervolg is echter te interessant om er niets over te zeggen.

Wat zijn oorzaken van cyberrisico’s?

Hieronder drie belangrijkste oorzaken van cyberrisico’s op een rij:

1. Moedwillig handelen: risico’s die te maken hebben met cybercriminaliteit. Denk aan het verspreiden van kwaadaardige software, identiteitsfraude en hacking.
2. Technisch falen: risico’s als gevolg van falende systemen zoals ICT-storingen of uitval.
3. Menselijk falen: onder deze categorie vallen risico’s door het niet goed beheren of beveiligen van de ICT-infrastructuur. Denk aan het kwijtraken of onbetrouwbaar raken van informatie, het te laat of niet adequaat updaten van software of systemen

Zolang misdaad loont, zullen er mensen zijn die er hun geld mee verdienen. Mensen die dat doen, noemen we criminelen. In de echte wereld komt een crimineel binnen, als hij dat echt wil. 100% veiligheid bestaat immers per definitie niet. In de cyberwereld is dit niet anders. En in beide werelden geldt, dat je standaard je basismaatregelen moet treffen en voor je kroonjuwelen aanvullende voorzieningen moet treffen. Dat is niet nieuw en ook geen reden om de directie te alarmeren. Technisch falen van systemen heeft altijd bestaan en zal altijd bestaan.
Dan resteert het menselijk falen. Hier wordt dat vooral toegespitst op ICT-beheerders. Ook dit risico is niet nieuw. Opvallend is echter, dat het menselijk falen van gebruikers niet wordt meegenomen. Terwijl dat eigenlijk de grootste verandering in het cyberrisico vormt voor je informatiebeveiliging.

De gebruiker als cyberrisico

Juist bij de gebruikers zit de belangrijkste verandering en bij de mogelijkheden die gebruikers door de voortschrijdende technologie hebben om informatie te benaderen. Ontwikkelingen als de cloud, de smartphone, het tablet en BYOD betekenen, dat steeds meer informatie beschikbaar komt buiten de doorgaans goed beveiligde bedrijfsmuren. De noodzaak van kennis delen wordt steeds groter. De traditionele beveiligingsstrategieën en –systemen gericht op het beveiligen van de infrastructuur schieten daardoor steeds meer tekort. Informatiebeveiliging gaat over data. De hoeveelheid data groeit gemiddeld met 50% per jaar. Van ieder belangrijk document in een organisatie bestaan gemiddeld 20 kopieën (print, mail, USB-stick, laptop, cloud etc). 80% van alle documenten wordt niet meer geopend nadat ze eenmaal zijn aangemaakt. En precies deze explosie aan veelal decentraal opgeslagen data vormt het belangrijkste cyberrisico. Want de beveiliging van al die decentrale infrastructuur is maar beperkt centraal te regelen. Vaak is het een zaak van de gebruiker zelf. Het wordt daardoor steeds belangrijker om naast de infrastructuur ook de vitale data te beschermen. En in dat woordje vitaal zit nu net de crux.

Bescherming van vitale data (kroonjuwelen)

Als je niet op zoek gaat naar een specifieke invulling voor je organisatie, is het onontkoombaar dat informatiebeveiliging een molensteen om de nek wordt. Vaak wordt gedacht dat ICT de oorzaak is van alle ellende en tevens de oplossing voor het probleem. Maar dat is onzin. Het gaat om het maken van keuzes over wat je kroonjuwelen, je vitale data zijn. En dat is mensenwerk.
Een goed uitgangspunt is, dat data niet vitaal zijn. Als iemand dat voor bepaalde data wil weerleggen, dan zal hij anderen ervan moeten overtuigen dat die bepaalde data wel vitaal zijn en moeten aangeven welke velden in datarecords dan vitaal zijn. Als het bijvoorbeeld gaat om persoonsgegevens, dan zijn de meeste velden niet vitaal. Alleen als je creditcardgegevens opslaat bij de identificerende gegevens of bij velden die verwijzen naar ziektes, geloof of ras, dan moeten er maatregelen getroffen worden. Het meest eenvoudige is deze gegevens te verwijderen. Als dit niet kan, dan moet je de identificerende gegevens scheiden van de zaakgegevens. De slechtste oplossing is om te proberen alle persoonsgegevens te beveiligen. Dan krijg je een onwerkbare situatie of een oplossing, die zo lek is als een mandje.
Iets dergelijks geldt ook voor procesautomatisering. Als het gaat om de input voor het productieproces, dan hebben we het over vitale data. Machines, productielijnen of bewakingssystemen moeten doen wat we ervan verwachten en als buitenstaanders het productieproces of het bewakingssystemen kunnen manipuleren, dan heb je een probleem. Data betreffende output en administratieve processen zijn doorgaans niet vitaal.
Ongetwijfeld kun je nog andere data verzinnen, die specifiek voor je organisatie van vitaal belang zijn. Wellicht kan ‘Checklist risico analyse informatiebeveiliging ISO 27001 en NEN 7510’ je hierbij helpen.
Voor de meeste organisaties is het zinvol om de risico’s voor informatiebeveiliging tegen het licht te houden. De beveiliging is doorgaans verzonnen door ICT’ers en vaak heeft niemand een goed beeld of maatregelen werken en zo ja, of de maatregelen wel nodig zijn en of er misschien ook witte vlekken in de beveiliging zitten. Slechts de vitale data behoeven een adequate bescherming. Voor de rest gaat het om basismaatregelen. Maar die moet je dan wel treffen om bestuurdersaansprakelijkheid af te dekken. En besef hierbij dat mensen en vooral je loyale medewerkers ook in deze tijd van cyberrisico’s nog steeds de zwakste schakel zijn.