Cybercriminaliteit
Cyberaanvallen gebeuren echt. Toch steken veel ondernemingen de kop in het zand. Onderstaande feiten, trends en inzichten maken u niet alleen bewust van het gevaar, maar tonen ook hoe u zich wapent.
De evolutie van cybersecurity
- Alleen op natuurrampen voorbereid
- Fysieke maatregelen worden gepland: evacuatie, eerste hulp...
- Noodnummer voor externe hulp
- IT-architectuur: Mainframes
- Afhankelijkheid van nieuwe technologie
- Eenvoudige ‘disaster-recovery’ als antwoord op mogelijk systeemfalen
- Ontwikkeling van antivirussoftware
- Beheer van gebruikersidentiteiten en toegangsgegevens
- IT-architectuur: client/server
- Introductie van risicomanagement in de hele onderneming
- Betere opvolging van regelgevend kader
- Focus op continuïteit zakendoen bij incidenten
- IT-architectuur: internet
- Vooruitgang in informatie- en cyberveiligheid
- Massale overschakeling naar ‘online’
- Introductie van outsourcing in IT, bijvoorbeeld Cloud
- Introductie van verschillende geconnecteerde toestellen
- IT-architectuur: e-commerce
- Wereldwijde schokken: terrorisme, klimaat, politiek
- Ondernemingen focussen op ‘resilience’ of weerstand
- Introductie van het internet der dingen
- Betere identificatie, beheer en beveiliging van kritieke infrastructuur
- Door staten gesponsorde spionage- en cyberaanvallen
- IT-architectuur: digital
Vijf jaar cyberaanvallen
Cyberattacks: de dreiging groeit
Cyberaanvallen zijn geëvolueerd. Vroeger had je de whizzkid die een website hackte om aandacht te krijgen. Maar nu wordt cybercriminaliteit steeds vaker ingezet door bedrijven in de strijd om concurrentieel voordeel. Ook zien we almaar vaker een internationale dimensie, waarbij natiestaten economisch of politiek voordeel trachten te verwerven.
‘Zo tracht China op grote schaal via steeds geraffineerdere cyberaanvallen intellectueel eigendom te bemachtigen’, weet Andy Deprez, vennoot EY Advisory, ‘vaak met de motivatie om slabakkende staatsbedrijven concurrentiëler te maken. De trend bestaat al lang, maar de impact groeit, zeker nu China het economisch moeilijk heeft. Staat en bedrijven liggen er heel dicht bij elkaar, en de cybercriminaliteit wordt er vaak door de overheid gesponsord.’
Rusland is de tweede grootste speler op de cyberscene. Maar hun optiek is anders. ‘Hun doel is meestal politiek of militair’, zegt Bernard Ghigny, vennoot EY Financial Services. ‘Kijk naar de Amerikaanse verkiezingen, waarbij de databases van de Democraten en de Republikeinen gehackt werden. De Russische cybercriminaliteit is heel goed georganiseerd.’
Intussen investeert de Belgische overheid volop om de slagkracht van onze cyberveiligheid te vergroten. ‘De overheid wil snel een dertigtal cyberveiligheidspecialisten extra aanwerven’, weet Ghigny. ‘Dat wordt een hele klus, want de oorlog om talent op de markt van beveiligingsspecialisten is enorm.’
‘Door staten gesponsorde cybercriminaliteit groeit met rasse schreden. China aast op intellectuele eigendom, en Rusland op politieke en militaire informatie.’ — Andy DeprezAndy Deprez, vennoot EY Advisory
‘Spearphishing is de grote trend.’ — Andy DeprezAndy Deprez, vennoot EY Advisory
Ddos en spearphishing
Ook de aard van de aanvallen is geëvolueerd. Vroeger waren ddos-aanvallen — zeg maar het bombarderen van systemen met talloze aanvragen tot connectie — wellicht het gevaarlijkst. Hun doel? Een systeem ‘platleggen’ en zo schade aanrichten. ‘Je daartegen beveiligen is vooral een technische IT-aangelegenheid’, zegt Deprez.
De grote trend is vandaag spearphishing. Via mails of frauduleuze kopieën van echte sites worden medewerkers verleid om op links te klikken die vijandige software downloaden, of om een wachtwoord in te geven. ‘Het gaat al lang niet meer om mails die in gebrekkig Engels rechtstreeks naar uw wachtwoord vragen’, weet Deprez. ‘Hackers gaan echt ver in de pogingen om het vertrouwen van het slachtoffer te winnen.’
Bij zulke aanvallen is de menselijke factor altijd de zwakste schakel. Beveiliging tegen spearphishing focust dan ook op het gedrag en de cultuur van de medewerkers. ‘De tools die we inzetten, zijn vernieuwd’, aldus Deprez. ‘We plaatsen medewerkers in een reële context waarin hun veiligheidsskills uitgedaagd worden. We laten bijvoorbeeld een aantal geïnfecteerde usb-sticks bij de koffiemachine achter en bespreken later hoe daarop gereageerd wordt. Of we sturen zelf verdachte mails om de veiligheidsreflex te peilen.’
Digitaal
Ook de recente wildgroei aan geconnecteerde toestellen houdt gevaren in. In het digitale tijdperk van het internet der dingen gaat dat niet alleen meer om tablets en smartphones, maar om koffiezetapparaten, printers, auto’s en andere op internet aangesloten toestellen.
‘Enkele grote cyberaanvallen hebben daar al gebruik van gemaakt’, zegt Ghigny. ‘Bedrijven zijn zich daar te weinig van bewust. Voor de toestellen die nu op de ontwerptafel liggen, is cyberveiligheid een belangrijk thema. Maar met de toestellen die al op de markt zijn, lopen bedrijven een reëel gevaar, dat nog een aantal jaar erg actueel blijft.’
Kroonjuwelen
Niet alleen de dreigingen zelf, maar ook de verdediging evolueert snel. Vroeger was het centrale thema in cyberveiligheid het perimeterconcept. ‘Maar het idee om met een firewall een veilige zone te creëren, wordt langzaam verlaten’, zegt Deprez.
De trend nu? De optimale bescherming van de meest waardevolle assets, zeg maar de kroonjuwelen van het bedrijf. Het gaat om op risico gebaseerde beveiliging: de budgetten worden ingezet waar de dreiging het hoogst is. ‘Dat is geen zuivere IT-activiteit meer’, zegt Deprez. ‘Om je risico’s in kaart te brengen en af te schermen, moet je met alle bedrijfsgeledingen rond de tafel gaan zitten.’
‘Koffiezetapparaten, printers, auto’s en andere op internet aangesloten toestellen vormen een reëel gevaar.’ — Bernard GhignyBernard Ghigny, vennoot EY Financial Services bij EY
Top 5 risicosectoren
1 financiële instellingen
2 informatie- en telecommunicatie
3 maakindustrie
4 detailhandel (retail)
5 gezondheidszorg
Risicosectoren
Volgens de IBM X-Force Cyber Security Intelligence Index groeide het aantal gecompromitteerde datapunten van 600 miljoen in 2015 tot meer dan 4 miljard in 2016. Waar in 2016 de gezondheidszorg nog het belangrijkste doelwit was van cyberaanvallen, staat in 2017 de financiële sector met stip op één.
Cybermisdaad in de financiële sector
De financiële sector is het geliefkoosde doelwit van cybercriminelen. In die sector valt de grootste buit te rapen. Dat werd bijzonder duidelijk bij de digitale overval op de nationale bank van Bangladesh, waarbij hackers via onwe-tende medewerkers opdracht gaven om 951 miljoen dollar op buitenlandse rekeningen te storten.
Log
Historisch focusten aanvallers zich niet op de logge IT-infrastructuur, want het IT-platform was een onneembare vesting. ‘Maar de digitale revolutie heeft de klantenverwachtingen diepgaand gewijzigd’, zegt Bernard Ghigny, Vennoot Advisory bij EY.
De traditioneel behoudsgezinde sector vernieuwt zich dan ook grondig. Maar de monolithische platformen zijn niet voorzien op snelle wijzigingen. ‘Vernieuwende applicaties eisen dat gevoelige data en financiële transacties veel gemakkelijker beschikbaar zijn, en ook veel sneller, voor meer partijen en via verschillende kanalen’, zegt Ghigny. Vaak kan het eigen IT-team niet snel ge-noeg aan alle vragen voldoen, d aarom wordt de ontwikkeling vaak uitbe-steed aan derden.’
Met als ontnuchterend resultaat: de centrale IT-diensten krijgen minder en minder zicht op wat er precies met welke data gebeurt, waar die opgeslagen zitten en wie toegang heeft via welk kanaal. Vaak is de roep om vernieuwing ook zo dringend, dat er een compromis gemaakt moet worden tussen opti-male beveiliging en optimale klantentevredenheid.
Dreigingen
De dreigingen zelf zijn zeer divers. Er is het risico dat klanten hun beveiligingscodes per mail of telefoon aan hackers doorgeven, of dat medewerkers phishingmails openen en zo malware in het systeem binnenhalen. Er zijn ook de ddos-aanvallen, fraude met kredietkaarten en gesofisticeerde cyberaanvallen – vaak vanuit vreemde mogendheden.
Bescherming
‘Financiële instellingen moeten beseffen dat 100 procent veiligheid niet bestaat’, zegt Dieter Vandenbroeck, Manager EMEIA Financial Services - Information Security bij EY. Cyberbeveiliging moet aangepakt worden via risicomanagement, niet als een technische IT-aangelegenheid: ‘Je moet weten welke risico’s je loopt, hoe frequent ze zich voordoen, wat de eventuele schade is en hoeveel het kost om het risico af te dekken.’
De volgende stap: vanuit uw algemene bedrijfsstrategie bepalen welke risico’s prioritair afgedekt moeten worden. ‘Natuurlijk moet het IT-departement volgen’, zegt Vandenbroeck. ‘Als daar grote lekken zitten, helpen strategie en risicomanagement niet.’
Maar de grootste beveiligingsuitdaging is wellicht cultureel: ‘De gebruiker blijft de zwakste schakel’, zegt Vandenbroeck. ‘Zowel eindgebruiker als personeel en externe partijen moeten voldoende getraind worden om aan cyberaanvallen te weerstaan.’
Intussen zitten ook de regelgevers niet stil. Er zijn richtlijnen van de EU, van de Europese Centrale Bank, van sectororganisatie Febelfin en van de Belgische overheid. ‘Dat alles legt een enorme druk op de schouders van onze financiële instellingen’, zegt Vandenbroeck. ‘Gelukkig is het topmanagement meer en meer betrokken, en bereid om meer middelen vrij te maken. De laatste stap is dat topmanagement geen push van de regelgevers nodig heeft maar zelf proactief inzet op cybersecurity.’