De term cybercriminaliteit is al zo’n vijf jaar lang een modewoord, zeker nu steeds meer prominente datalekken het nieuws halen. De algemene indruk is dat cybercriminelen aan de winnende hand zijn en dat bedrijven achter de feiten aanlopen. Maar is dat eigenlijk wel zo? Zit er niets anders op dan geduldig af te wachten totdat de volgende cyberaanval plaatsvindt? Het antwoord is een stellig nee!
Elke organisatie is tegenwoordig op de een of andere manier afhankelijk van digitale technologie, voor haar communicatie, zakelijke transacties of concurrentievermogen. Bedrijven onderscheiden zich tegenwoordig van de concurrentie door hun vermogen om te profiteren van digitale innovaties. Betere tools voor samenwerking, snellere en robuustere netwerken, meer opslagmogelijkheden, meer partners en een wereldwijd speelveld: dit alles vraagt om de uitwisseling van steeds meer informatie. En deze bedrijfskritische data is bepalend voor de concurrentiepositie van bedrijven. Deze gegevens vormen hun intellectuele eigendom en zijn cruciaal voor het bedrijfsimago.
Maar als bedrijfsdata de levenslijn van elke onderneming vormt, rest de vraag waarom zo veel organisaties de beveiliging daarvan als een sluitpost zien.
De harde waardheid over cybercriminaliteit
Ons meest recente Data Breach Investigation Report toont eens temeer aan dat een ondoordringbaar systeem simpelweg niet bestaat. Met een redelijke beveiliging is het echter mogelijk om cybercriminelen af te schrikken. Zij zullen al snel op zoek gaan naar een makkelijker prooi. Een goede basisbeveiliging is misschien wel meer dan het halve werk.
We hebben gemerkt dat veel bedrijven nalaten om basismaatregelen op het gebied van ICT-beveiliging te nemen (of deze op de juiste wijze toe te passen). Dat is nogal verbazingwekkend gezien alle cybercriminele activiteiten om ons heen. Bij 63 procent van alle bevestigde datalekken was sprake van zwakke, standaard of gestolen wachtwoorden. Voor de meeste aanvallen werd misbruik gemaakt van kwetsbaarheden die nooit waren gepatched, hoewel er al maanden of zelfs jaren een beveiligingsupdate beschikbaar was.
Dit is mogelijk te wijten aan het gebruik van verouderde beleidsregels voor de beveiliging, een gebrekkig inzicht in sectorspecifieke cybercriminaliteit, het feit dat de beveiliging onvoldoende prioriteit heeft of simpelweg een gebrekkige voorlichting aan het personeel.
De realiteit is dat cybercriminelen in staat zijn om binnen een paar minuten bedrijfsnetwerken binnen te dringen en bedrijfsinformatie naar buiten te smokkelen. In 93 procent van alle gevallen van gegevensdiefstal die we onderzochten, bleek dat systemen binnen luttele minuten werden geschonden. In 28 procent van alle gevallen werden er al na een paar minuten gegevens naar buiten gesluisd. Maar zelfs in gevallen waarin dit proces dagen in beslag neemt, hoeven cybercriminelen zich weinig zorgen te maken. Want in 83 procent van alle gevallen kwam de getroffen organisatie er pas weken of zelfs maanden later achter dat er bij hen was ingebroken.
Hoe langer het duurt om een datalek te detecteren, des te meer tijd cybercriminelen hebben om de waardevolle bedrijfsinformatie te bemachtigen waarnaar zij op zoek zijn en/of bedrijfsprocessen te verstoren. Standaard beveiligingsmechanismen zijn daarom niet toereikend. Bedrijven moeten over effectieve detectie- en herstelsystemen en –processen beschikken om aanvallen af te kunnen slaan en eventuele schade tot een minimum te beperken.
Hebben de slechteriken bij voorbaat gewonnen?
Tijdens het opstellen van de 2013-editie van ons rapport vroegen we ons af of het mogelijk was om onze data over beveiligingsincidenten inzichtelijker te maken door deze terug te brengen tot een handvol aanvalspatronen. We pasten technologie voor het analyseren van big data toe op onze data over de afgelopen tien jaar om de beveiligingsrisico’s in kaart te brengen. Hieruit bleek dat een groot percentage van alle beveiligingsincidenten kan worden teruggebracht tot negen aanvalspatronen die per sector variëren. Uit ons onderzoek blijkt dat cybercriminelen consistent gebruik blijven maken van deze aanvalstechnieken.
Volgens ons rapport voor dit jaar kan 95 procent van alle datalekken en 86 van alle beveiligingsincidenten worden herleid tot dezelfde negen bedreigingspatronen. Dit zijn
‘overige fouten’ (zoals het verzenden van e-mailberichten naar de verkeerde persoon), crimeware (vormen van malware die zijn ontwikkeld om de controle over bedrijfssystemen over te nemen), misbruik door insiders/misbruik van speciale rechten, diefstal/verlies van apparatuur, aanvallen op internetapplicaties, denial-of-service (DoS)-aanvallen, cyperspionage, inbreuk op point of sale (POS)-systemen en skimming.
Het is ook mogelijk om voor elke verticale markt drie specifieke aanvalspatronen uit te lichten. In de financiële dienstverlening vertegenwoordigen drie patronen 88 procent van alle aanvallen (Denial of Service, aanvallen op internetapplicaties en crimeware). In de detailhandel zijn drie patronen goed voor 90 procent van alle aanvallen (inbreuk op POS-systemen, DDoS-aanvallen, aanvallen op internetapplicaties). En ook in de productie-industrie kan 82 procent van alle aanvallen tot drie patronen worden herleid (DDoS-aanvallen, misbruik door insiders/misbruik van speciale rechten, cyberspionage).
Door deze informatie openbaar te maken, hopen we organisaties te helpen om gerichte beveiligingsmaatregelen te treffen, rekening houdend met de aanvalspatronen die het meest binnen hun sector voorkomen. Dit maakt het mogelijk om een actievere beveiligingsstrategie te hanteren in de strijd tegen cybercriminaliteit.
Alex Schlager, Managing Director Nederland bij Verizon Enterprise Solutions
