‘Cybercriminaliteit is inmiddels ‘Chefsache’’
Bewustwording is de eerste en beste verdedigingslinie tegen cybercriminelen
Chefsache. Tot voor enkele jaren een onbekend woord in het Nederlands taalgebied, maar sinds Angelica Merkel in Duitsland de scepter zwaait ook bij ons gemeengoed. Onder ‘Chefsache’ valt elk onderwerp dat normaal gesproken door een ambtenaar staatssecretaris of minister zou kunnen worden afgehandeld, maar dat door zijn complexiteit, reikwijdte of gevoeligheid nu alleen aan de premier kan worden overgelaten. Sinds cyberaanvallen zich tegenwoordig hebben ontwikkeld tot een machtig wapen zijn ze zeker ‘Chefsache’.
Vroeger had cybercriminaliteit nog iets lieflijks. Slimme hackers deden een voorzichtige poging om in je bedrijfssysteem in te breken. Niet om er veel schade aan te richten, maar gewoon om te laten zien dat ze het konden. Toen kwamen de jongens die er een verdienmodel in zagen, het werd al wat minder vriendelijk, of beter gezegd langzaam maar zeker enorm bedreigend. Tegenwoordig zetten overheden het in om tegenstanders te ontregelen of echt pijn te doen. Dat kan ver gaan. Wat te denken over een tegenstander die in staat is je elektriciteitscentrales lam te leggen, om nog maar te zwijgen over kerncentrales, de werking van een dam op afstand te sturen, de verkeersleiding van een vliegveld over te nemen, alle verkeerslichten op rood te zetten, of erger nog, op groen. Het kan ook gaan om het op grote schaal versturen van nepnieuws om bijvoorbeeld verkiezingen te beïnvloeden. Dat is geen uitzondering, het is de dagelijkse praktijk. Overigens zijn ook de cyberaanvallen op het bedrijfsleven van toon veranderd. Het verdienmodelletje van begin 2000 is veranderd in een zeer zware bedreiging. De Universiteit Maastricht betaalde recentelijk tonnen losgeld aan hackers, waarschijnlijk dezelfde die in 2018 de Universiteit Antwerpen onder vuur namen.
Een stukje historie
‘Is dit een grap, of om te huilen’, zong Herman van Veen. Nou, het is om te huilen. Al in 2015 lukte het hackers om een elektriciteitscentra in de Oekraïne plat te leggen. Zo’n 700.000 mensen zaten uren zonder stroom. In 2016 werd de elektriciteitsvoorziening van de Amerikaanse staat Vermont aangevallen. Gelukkig werd de hack snel opgemerkt en kon een ramp worden voorkomen. Het leidde wel tot vragen over de veiligheid van Amerikaanse nutsbedrijven. De bron van alle ellende bleek een Russische hackersoperatie. Rusland is niet de enige staat die zich van deze methoden bedient, ook China kan er wat van. In Shanghai bevindt zich het Chinese hoofdkantoor voor cyberspionage. Het computerbeveiligingsbedrijf Mandiant leverde het bewijs, dat door Amerikaanse beveiligingsspecialisten al snel werd bevestigd. Volgens het bedrijf zit het Chinese leger achter deze ‘Shanghai Groep’. Mandiant ontdekte dat de hacks een lange looptijd hebben. Gemiddeld blijft de groep een jaar in een gehackt computernetwerk actief om inzicht te krijgen in technologische plannen, productieprocessen, tests, prijsafspraken, onderhandelingsstrategieën of andere strategisch belangrijke informatie. De groep stal info bij ruim honderd Amerikaanse klanten in zo’n twintig verschillende bedrijfstakken, van defensie tot chemie en mijnbouw tot telecommunicatie. Hacken om te ontregelen of waardevolle informatie te stelen, worden die praktijken alleen door Russen en Chinezen gebruikt? Het antwoord is een volmondig nee. Amerikaanse cyberspionnen hebben samen met Israël kwaadaardige software ontwikkeld (Stuxnet) in een poging het Iraanse atoomprogramma te ontregelen. Hacken is zo langzamerhand een belangrijke (militair) wapen dat op afstand voor enorme schade kan zorgen. Bovengenoemd voorbeeld betrof een aanval op een elektriciteitscentrale, wat als hackers het hebben voorzien op onze infrastructuur, het bankwezen totaal en langdurig verstoren of de landelijke media platleggen en zo alle communicatie onmogelijk maken?
Cyberwar
Cybersecurity omvat alle zaken die te maken hebben met het beveiligen en verdedigen van digitale systemen, van je smartphone tot enorme databanken en alles wat daartussen zit. De dreiging waartegen cybersecurity moet beschermen is drieledig: cyberwar (vaak politiek gemotiveerd), cybercrime (voor financieel gewin) en cyberterreur (met als doel paniek te veroorzaken). Zo ontstond recent een interessante discussie over de militaire sterkte van Iran in zijn confrontatie met Amerika. Die is verwaarloosbaar, ze zijn geen partij. Daarom heeft het land de afgelopen jaren zwaar geïnvesteerd in het ontwikkelen van cyberslagkracht. Het kan zich niet meten met cyberreuzen als Amerika, Israël, Rusland of China. Ze staan wel op gelijke voet met landen als Noord-Korea en Nederland. Ook wij investeren al vele jaren – ook toen er al fors werd bezuinigd op defensie – op onze cyberkracht. Het mooie van cyberwar is dat je je tegenstander totaal kunt ontregelen of zelfs zware schade toe kunt brengen zonder dat de vingers meteen jouw kant op beginnen te wijzen. Het duurt vaak lang voordat duidelijk wordt wie de verantwoordelijke voor een cyberaanval was. In 2019 werden negen Iraniërs in Amerika opgepakt voor diefstal van een enorme hoeveelheid gegeven van universiteiten en bedrijven. Hun doel: diefstal en verwoestingen aanrichten. Iran en ook Nederland behoren dus nog maar tot de tweede divisie, wat als Rusland en China zich serieus kwaad maken en een gestructureerde massale aanval in gang zetten?
Cybercrime
Hackers die zich op bedrijven richten hebben vaak spionage of financieel gewin als doel. Ze gebruiken (net als in cyberwar) verschillende methodes om computers en netwerken te infiltreren. De bekendste zijn: virussen, wormen, spyware en trojans. Virussen en wormen kunnen zichzelf kopiëren en bestanden of systemen beschadigen, terwijl spyware en trojans vaak worden gebruikt om stiekem gegevens te verzamelen. De gemiddelde gebruiker komt doorgaans in aanraking met schadelijke code via een ongevraagde e-mailbijlage of door het downloaden van programma’s die er legitiem uitzien, maar in feite malware bevatten. Bedrijven en instellingen worden platgelegd via DDos-aanvallen. Dat is uiteraard bij Cyberwar nooit het geval, daar zal de aanvaller er alles aan doen om onbekend te blijven. Van cyberterreur is sprake als er terroristische activiteiten via het internet worden uitgevoerd. Dat kan gaan om geweld of het aanrichten van substantiële schade. Het grote voordeel voor terroristen is dat de aanval op afstand kan worden uitgevoerd en dat niet snel duidelijk is wie er achter zit. De stabiliteit van onze samenlevingen is steeds meer afhankelijk van het goed en betrouwbaar functioneren van informatie- en communicatiesystemen en die zijn in veel gevallen kwetsbaar. Denk bijvoorbeeld aan de stroomvoorziening of noodsystemen, die soms gemakkelijk kunnen worden gehackt via publiek toegankelijke instrumenten. Bijkomend nadeel is dat ze vaak nauw met elkaar zijn verweven en er in het geval van een aanval al snel sprake kan zijn van een domino-effect. Cybersecurity heeft alle aandacht van de overheid, omdat men zich volledig bewust is van de omvangrijke gevaren. De Amerikaanse regeling besteedt jaarlijks zo’n 30 miljard aan cybersecurity en dat bedrag groeit elk jaar weer. Het bedrijfsleven doet zijn best om bij te blijven, maar volgens schattingen wordt jaarlijks zo’n 40% van alle ondernemers op de een of andere manier slachtoffer van cybercrime. De schade die ze daardoor lijden is moeilijk in te schatten. Je hebt het dan over de directe schade, zoals een productieproces dat stilvalt, maar er kan ook ernstige imagoschade ontstaan. Hoe leg je je klanten uit dat hun persoonsgegevens in handen van derden zijn gekomen? Veel particuliere gebruikers van digitale apparatuur lijken zich geen zorgen te maken en dat is volledig onterecht. De consument is zich nog steeds onvoldoende bewust van de gevaren waaraan hij zich dagelijks blootstelt.
Bewustwording
Cybercrime is een probleem dat elk jaar groeit, bovendien worden hackers steeds slimmer en vinden ze nieuwe en effectievere wegen om hun doelen te bereiken. Politie en justitie lopen altijd achter de feiten aan, je kunt pas actie ondernemen als er een slachtoffer is gevallen, er een nieuwe worm of een nieuwe vorm van spyware is ontdekt, dat is dus altijd reactief. Toch kun je ook als bedrijf zelf veel doen om ellende te voorkomen. Het begint er mee dat cybersecurity altijd op de agenda van het management en elke medewerker moet staan. Bovendien moeten de genomen veiligheidsmaatregelen voortdurend worden gecheckt en geüpdatet. Wie heeft toegang tot welk onderdeel van het systeem, wie mag met gevoelige informatie werken en hoe controleer je dat? Hoe voorkom je dat medewerkers via usb-sticks of privé devices toegang krijgen tot het systeem, bijvoorbeeld omdat ze soms vanuit huis werken. Zo kunnen ze eenvoudig en onbedoeld spyware in je systeem planten. Haal professionele hulp in huis, mensen die verstand hebben van ict-beveiliging, eventueel ethische hackers die je systeem met regelmaat op lekken checken. Het belangrijke van allemaal: bewustwording. Bewustwording is de eerste en beste verdedigingslinie tegen cybercriminelen. Zorg dat de hele organisatie goed is doordrongen van de gevaren die schuilen in een hack. Het heeft vele bedrijven aan de rand van de afgrond gebracht of er net overheen geduwd.