Spionage is prachtig materiaal voor spannende films. De spion is uit op informatie, op inlichtingen, maar moet onder de radar blijven. Zo kan hij onbespied en ongestoord opereren. Bespioneerd worden mag dan erg onaangenaam zijn, maar gevaarlijk? Nee. Precies die redenering zien we ook als het gaat om spyware, software die vaak legitiem oogt en ongemerkt informatie verzamelt. De werkelijkheid is anders.
Verwoestende impact spyware
Veel organisaties doen spyware af als een vervelend maar onschuldig fenomeen. Toch kan spyware een verwoestende impact hebben. Niet alleen op individuen, maar ook op organisaties. Want de informatie die spyware verzamelt kan en zal tegen de bespioneerde persoon en de organisatie worden gebruikt. Spyware kan bijvoorbeeld registreren wat computergebruikers allemaal intoetsen. Dat levert een schat aan gegevens op, van betaalgegevens tot inlogcodes. Die kunnen verkocht worden. Of ze worden door de spyware-exploitant zelf benut. Bijvoorbeeld om als ogenschijnlijk legitieme gebruiker de systemen en apparaten van de organisatie binnen te dringen. Dan is het hek van de dam en de aanvaller heeft vrij spel. Wie geïnfecteerd is met spyware wordt dan ook heel kwetsbaar voor nog meer aanvallen.
Spyware legitiem?
Spywaremakers promoten hun software vaak als legitieme tools. Zij claimen dat hun software nuttige diensten levert en dat zij zich houden aan licentieovereenkomsten. In die pagina’s lange overeenkomst is dan ergens in de kleine lettertjes wel iets te vinden over de spionagefunctionaliteit. Het verandert niks aan het feit dat het spyware is die in het geheim gevoelige gegevens verzamelt en verzendt. Malware dus, ook wel potentially unwanted applications (PUA’s) genoemd. Al kunnen we dat potentially hier eigenlijk wel weglaten.
Een op de vijf bedrijven besmet
In ons meest recente Midyear Cybersecurity Report rekenen we drie brede categorieën tot spyware. Namelijk adware, systeemmonitors en trojans. De onderzoekers bestudeerden ook enkele maanden lang het netwerkverkeer van 300 bedrijven om te achterhalen met welke soorten spywarefamilies zij besmet waren en in welke mate. Het bleek dat een op de vijf van deze bedrijven besmet was. Als dit al de uitkomst is van een eerste kleinschalig onderzoek, verwachten we bij verdergaand onderzoek vele malen meer spyware-infecties te vinden. Er zijn namelijk honderden spywarefamilies!
Voorkomen beter dan genezen
Cruciaal bij de aanpak van spyware is rekening houden met het spionageaspect. Dit is het opereren onder de radar. Het geldt natuurlijk voor alle aanvallen, maar zeker ook hiervoor is dat deze malware zo snel mogelijk ontdekt moet worden. Dan kan het wegsluizen van informatie worden aangepakt. Het probleem is dat bij menige organisatie deze ‘time to detection’ weken kan duren, terwijl de schade in uren gerealiseerd is. Met de beste securityoplossingen is die tijd totdat een aanval wordt ontdekt inmiddels teruggebracht tot 3,5 uur. Die oplossingen moeten dus ook absoluut spyware meenemen.
Zoals altijd is voorkomen beter dan genezen. Wat dan absoluut moet gebeuren is dat alle medewerkers op de hoogte gesteld – en gehouden – worden van de risico’s van potentially unwanted applications. Spyware die zich voordoet als legitieme software is echt een groot veiligheidsrisico. Het moet dus ook als zodanig worden herkend en behandeld.
Michel Schaalje, Directeur Security Cisco Nederland
