In 1980 publiceerde prof. Arnold Heertje smeuïge details over het zwartgeldcircuit in Nederland. Het door hem beschreven officieuze circuit met zwart en grijs geld bestaat anno 2015 nog steeds, als Underground Economy. Ondertussen zat de Belastingdienst niet stil en moderniseerde aan de lopende band. De nieuwe Belasting-app is een groot succes.
Ook cybercriminelen zitten niet stil, zo bleek toen wij samen met consultants van Deloitte een exclusieve Cyber Security Round Table organiseerden voor onze relaties. Voor de meesten ging er een nieuwe wereld open. Twee confronterende filmpjes van Deloitte zorgden voor het bekende schokeffect. Maar angst wordt meestal snel weggerationaliseerd door zaken te bagatelliseren. Wat te denken van: “leuk filmpje, maar…”, “de filmpjes hebben een te hoog James Bond-gehalte”, en “in het echte leven werkt het niet zo”. Kortom: de bekende struisvogelpolitiek.
Mensen steken niet alleen de kop in het zand, maar zijn daarnaast ook kort van geheugen. Wie herinnert zich nog de DDoS-aanvallen op Nederlandse banken en overheidsdiensten, zoals DigiD, en de kwetsbaarheden in OpenSSL (Heartbleed) en Java? De OV-chipkaart is vandaag nog steeds zo lek als een mandje en Heartbleed is still bleeding, zo weet ik uit betrouwbare bron. Eigenlijk is er maar één remedie: leer te denken als een hacker, bijvoorbeeld door honeypots als lokkertjes in te zetten.
Vanuit de diepste, donkerste krochten van het internet creëren hackers, terroristen, cyberspionnen, cybervandalen, scriptkiddies en niet te vergeten (schurken)staten een hele nieuwe ondergrondse economie waar bitcoins het nieuwe betaalmiddel zijn. En ze hebben de tijdgeest mee. Met de komst van The Internet of Things ontstaat volgens cryptoloog James Lyne van Sophos een nieuwe goudmijn voor cybercriminelen. “If you can connect to it you can own it”, met andere woorden: elk apparaat dat met het internet is verbonden is te hacken. Niet voor niets stond de vakbeurs Infosecurity.be onlangs in het teken van The Internet of Things. “Shodan is the Google for the Internet of Things”, de zoekmachine is tegelijkertijd een speelplaats voor hackers en terroristen.
Netwerkbeveiliging in onze (virtuele) datacenters is essentieel om te voorkomen dat cybercriminelen de communicatie tussen het apparaat en de server kunnen onderscheppen en op die manier data stelen via het publieke internet. Een afgeschermd MPLS-VPN of private cloud doet wonderen. Voor Nederland wordt de jaarlijkse economische schade als gevolg van cybercriminaliteit becijferd op zo’n 8,8 miljard euro. Tijdens onze rondetafeldiscussie, passeerden alle vormen van cybercriminaliteit kort de revue: DDoS, back doors, key loggers, skimming, spam, phishing, spear-phishing, fraude met internetbankieren, diefstal van creditcards, datadiefstal, identiteitsfraude en hacking. Het arsenaal aan wapens is gigantisch. Hackers zelf heb je ook weer in allerlei soorten en smaken: Black Hats, Grey Hats en White Hats.
Overheden, bedrijven en particulieren weten vaak niet eens dat ze gehackt zijn en door wie. Uit onderzoek van informatiebeveiliger Mandiant A View from the Front Lines blijkt dat het in 2014 gemiddeld 205 dagen duurde voordat uit kwam dat bedrijven gehackt waren. Ondertussen kunnen hackers ongestoord hun gang gaan. De onderzoekers hebben ook onderzocht wie uiteindelijk de hack ontdekte. In 69 procent van de gevallen was dat iemand van de buiten de onderneming.
De strijd tussen hackers en ondernemers is asymmetrisch. Hackers hebben alle tijd, hun investeringen zijn nihil en ze lappen alle regels aan hun laars. Ondernemers daarentegen hebben nauwelijks tijd en een beperkt IT-budget. In de vertrouwelijke sfeer van de Security Round Table legden de ondernemers hun pijnpunten op tafel. Aan de hand van stellingen werd druk gediscussieerd.
In de praktijk leven nog steeds een aantal hardnekkige misverstanden over cybersecurity: “In de cloud is mijn data veiliger dan in mijn datacenter”, “mijn werknemers zijn 100 procent te vertrouwen”, “mijn bedrijf is niet interessant genoeg om te hacken”, “ik accepteer gewoon dat ik een keer gehackt zal worden”, “ik ben volledig bij met patches en updates”, “ik heb een vooropgezet plan om een cyber security-aanval te overleven” en “wij raken geen USB sticks kwijt.” Als je zo redeneert, maak je het cybercriminelen wel heel gemakkelijk.
Criminele organisaties worden net als de Belastingdienst steeds professioneler. Cybercrime-as-a-service is geen gekkigheid, maar realiteit. Tegenwoordig kunnen ook minder ervaren criminelen complexe cyberaanvallen uitvoeren of daarmee dreigen. Er is, net als in de tijd van prof. Heertje, een groeiende grijze en zwarte markt ontstaan, maar nu voor exploits, waarin ieder jaar meer geld omgaat. De marktprijzen voor een gehackt PayPal account of een gecompromitteerde server met RDP-verbinding worden openlijk gepubliceerd. Een gestolen creditcardnummer heb je al voor 1,8 dollar. Met de opkomst van CryptoLocker, een variant van ransomware waarbij losgeld wordt geëist, ontstaat een winstgevend businessmodel voor cybercriminelen.
Maar daarmee is de kous nog niet af. Volgens het Nationaal Cyber Security Centrum (NCSC) verkopen cybercriminelen hun diensten steeds vaker door. Deze diensten worden heel professioneel en compleet geleverd: van technische hulpmiddelen tot infrastructuur, inclusief helpdeskfunctionaliteit. Cybercriminelen in spe kunnen hiermee direct aan de slag. Wat Heertje ooit ouderwets het officieuze circuit noemde, heet nu The Underground Economy en die draait op volle toeren.
Martijn ten Kate, country manager bij Interoute
