Cyber Security:
de gevaren zijn reëel
Editie 38

Cybercriminaliteit

Cyberaanvallen gebeuren echt. Toch steken veel ondernemingen de kop in het zand. Onderstaande feiten, trends en inzichten maken u niet alleen bewust van het gevaar, maar tonen ook hoe u zich wapent.

De evolutie van cybersecurity

  • Alleen op natuurrampen voorbereid
  • Fysieke maatregelen worden gepland: evacuatie, eerste hulp...
  • Noodnummer voor externe hulp
  • IT-architectuur: Mainframes

1970

  • Afhankelijkheid van nieuwe technologie
  • Eenvoudige ‘disaster-recovery’ als antwoord op mogelijk systeemfalen
  • Ontwikkeling van antivirussoftware
  • Beheer van gebruikersidentiteiten en toegangsgegevens
  • IT-architectuur: client/server

1980

  • Introductie van risicomanagement in de hele onderneming
  • Betere opvolging van regelgevend kader
  • Focus op continuïteit zakendoen bij incidenten
  • IT-architectuur: internet

1990

  • Vooruitgang in informatie- en cyberveiligheid
  • Massale overschakeling naar ‘online’
  • Introductie van outsourcing in IT, bijvoorbeeld Cloud
  • Introductie van verschillende geconnecteerde toestellen
  • IT-architectuur: e-commerce

2000

  • Wereldwijde schokken: terrorisme, klimaat, politiek
  • Ondernemingen focussen op ‘resilience’ of weerstand
  • Introductie van het internet der dingen
  • Betere identificatie, beheer en beveiliging van kritieke infrastructuur
  • Door staten gesponsorde spionage- en cyberaanvallen
  • IT-architectuur: digital

2010
  1. 11970
  2. 21980
  3. 31990
  4. 42000
  5. 52010

Vijf jaar cyberaanvallen

12013Socialenetwerksite Tumblr wordt gehackt. Er worden meer dan 65 miljoen e-mails en wachtwoorden buitgemaakt. De informatie wordt op het Dark Web te koop aangeboden. Lees meer
2Februari 2014Mt. Gox, handelaar in de virtuele munt Bitcoin, vraagt het faillissement aan. Er werd voor 460 miljoen dollar Bitcoins van hun servers gestolen.
3Oktober 2014Het computersysteem van het Witte Huis wordt gehackt. Computers van medewerkers worden voor veiligheidsredenen afgesloten. Naar verluidt zou het gaan om cyberterrorisme dat door een vijandige staat gesponsord wordt. Rusland wordt met de vinger gewezen. Lees meer
4November 2014Uit onvrede met de film ‘The Interview’, een komedie waarin twee journalisten Noord-Korea’s Kim Jong Un moeten vermoorden, worden de servers van Sony Pictures gehackt door een collectief dat zichzelf ‘Guardian of Peace’ noemt. Enorme hoeveelheden gevoelige data worden gestolen en uitgewist. Noord-Korea is hoofdverdachte. Lees meer
5Juni 2015De dossiers en vertrouwelijke gegevens van 21,5 miljoen mensen worden gestolen van de servers van de administratie van de Amerikaanse overheid. Velen kijken beschuldigend in de richting van de Chinese regering.
6Juli 2015De servers van Ashley Madison, een website voor buitenechtelijke relaties, worden gehackt. 9,7 gigabyte vertrouwelijke klantengegevens werden een maand later op internet gedumpt. Lees meer
7Februari 2016Digitale bankrovers trachten 951 miljoen dollar van de Bank van Bangladesh te stelen. Ze komen weg met 101 miljoen dollar. Een klein deel van de buit wordt nog gerecupereerd. Lees meer
8September 2016Hacker Ardit Ferizi, beter bekend als Th3Dir3ctorY, wordt veroordeeld tot 20 jaar gevangenis. Hij werd gearresteerd wegens het hacken van servers in de VS en het doorsluizen van informatie aan leden van IS. Lees meer
9Oktober 2016De cyberaanval op Dyn, een centraal element van de internetinfrastructuur, legt grote internetplatformen en -diensten plat. De hacktivistische groeperin-gen Anonymous en New World Hackers eisen de aanslag op. Ze maken ge-bruik van een botnet dat bestaat uit talloze geconnecteerde toestellen als printers, camera’s en zelfs babyfoons. Lees meer
10Maart 2017WikiLeaks publiceert CIA Vault 7: duizenden documenten over spionageoperaties en hackingtools. De wereld leert meer over het hackerarsenaal van de Amerikaanse overheid: malware, virussen, trojans, zeroday-zwakheden, zelfs de mogelijkheid om te spioneren via bepaalde digitale televisietoestellen.
11Mei 2017De grootste ransomwareaanval ooit infecteert meer dan 230.000 computers in meer dan 150 landen. Het gerucht doet de ronde dat het om een slecht afgelopen cyberaanval van de Noord-Koreaanse regering gaat. Voor zo’n grootschalige operatie was de buit eerder mager: 52 bitcoins ter waarde van amper 100.000 euro. Lees meer
12Juni 2017Petya vermomde zich als ransomware, maar het ging om malware ontwikkeld om maximale economische schade aan te richten in vooral Oekraïne. Alweer wordt Rusland met de vinger gewezen. Netwerken van grote internationale bedrijven leden schade: onder meer de farmagigant Merck uit de VS, de Deense rederij Maersk, maar ook het Russische oliebedrijf Rosneft. In Oekraïne liepen energiebedrijven, luchthavens, openbaar vervoer en de centrale bank grote schade op. Lees meer
13December 2017Yahoo! maakt bekend dat de hack in 2013 nog erger was dan gevreesd. In 2016 had Yahoo! toegegeven dat de persoonlijke informatie van 1 miljard klantenrekeningen in 2013 gestolen was. De onderneming moet toegeven dat alle rekeningen - en dat zijn er maar liefst 3 miljard - gecompromitteerd zijn. Yahoo werd in juli overgenomen door Verizon, voor een gevoelig lagere prijs dan gepland. Lees meer

Cyberattacks: de dreiging groeit

Cyberaanvallen zijn geëvolueerd. Vroeger had je de whizzkid die een website hackte om aandacht te krijgen. Maar nu wordt cybercriminaliteit steeds vaker ingezet door bedrijven in de strijd om concurrentieel voordeel. Ook zien we almaar vaker een internationale dimensie, waarbij natiestaten economisch of politiek voordeel trachten te verwerven.

‘Zo tracht China op grote schaal via steeds geraffineerdere cyberaanvallen intellectueel eigendom te bemachtigen’, weet Andy Deprez, vennoot EY Advisory, ‘vaak met de motivatie om slabakkende staatsbedrijven concurrentiëler te maken. De trend bestaat al lang, maar de impact groeit, zeker nu China het economisch moeilijk heeft. Staat en bedrijven liggen er heel dicht bij elkaar, en de cybercriminaliteit wordt er vaak door de overheid gesponsord.’

Rusland is de tweede grootste speler op de cyberscene. Maar hun optiek is anders. ‘Hun doel is meestal politiek of militair’, zegt Bernard Ghigny, vennoot EY Financial Services. ‘Kijk naar de Amerikaanse verkiezingen, waarbij de databases van de Democraten en de Republikeinen gehackt werden. De Russische cybercriminaliteit is heel goed georganiseerd.’

Intussen investeert de Belgische overheid volop om de slagkracht van onze cyberveiligheid te vergroten. ‘De overheid wil snel een dertigtal cyberveiligheidspecialisten extra aanwerven’, weet Ghigny. ‘Dat wordt een hele klus, want de oorlog om talent op de markt van beveiligingsspecialisten is enorm.’


‘Door staten gesponsorde cybercriminaliteit groeit met rasse schreden. China aast op intellectuele eigendom, en Rusland op politieke en militaire informatie.’ — Andy DeprezAndy Deprez, vennoot EY Advisory

‘Spearphishing is de grote trend.’ — Andy DeprezAndy Deprez, vennoot EY Advisory

Ddos en spearphishing

Ook de aard van de aanvallen is geëvolueerd. Vroeger waren ddos-aanvallen — zeg maar het bombarderen van systemen met talloze aanvragen tot connectie — wellicht het gevaarlijkst. Hun doel? Een systeem ‘platleggen’ en zo schade aanrichten. ‘Je daartegen beveiligen is vooral een technische IT-aangelegenheid’, zegt Deprez.

De grote trend is vandaag spearphishing. Via mails of frauduleuze kopieën van echte sites worden medewerkers verleid om op links te klikken die vijandige software downloaden, of om een wachtwoord in te geven. ‘Het gaat al lang niet meer om mails die in gebrekkig Engels rechtstreeks naar uw wachtwoord vragen’, weet Deprez. ‘Hackers gaan echt ver in de pogingen om het vertrouwen van het slachtoffer te winnen.’

Bij zulke aanvallen is de menselijke factor altijd de zwakste schakel. Beveiliging tegen spearphishing focust dan ook op het gedrag en de cultuur van de medewerkers. ‘De tools die we inzetten, zijn vernieuwd’, aldus Deprez. ‘We plaatsen medewerkers in een reële context waarin hun veiligheidsskills uitgedaagd worden. We laten bijvoorbeeld een aantal geïnfecteerde usb-sticks bij de koffiemachine achter en bespreken later hoe daarop gereageerd wordt. Of we sturen zelf verdachte mails om de veiligheidsreflex te peilen.’

Digitaal

Ook de recente wildgroei aan geconnecteerde toestellen houdt gevaren in. In het digitale tijdperk van het internet der dingen gaat dat niet alleen meer om tablets en smartphones, maar om koffiezetapparaten, printers, auto’s en andere op internet aangesloten toestellen.

‘Enkele grote cyberaanvallen hebben daar al gebruik van gemaakt’, zegt Ghigny. ‘Bedrijven zijn zich daar te weinig van bewust. Voor de toestellen die nu op de ontwerptafel liggen, is cyberveiligheid een belangrijk thema. Maar met de toestellen die al op de markt zijn, lopen bedrijven een reëel gevaar, dat nog een aantal jaar erg actueel blijft.’

Kroonjuwelen

Niet alleen de dreigingen zelf, maar ook de verdediging evolueert snel. Vroeger was het centrale thema in cyberveiligheid het perimeterconcept. ‘Maar het idee om met een firewall een veilige zone te creëren, wordt langzaam verlaten’, zegt Deprez.

De trend nu? De optimale bescherming van de meest waardevolle assets, zeg maar de kroonjuwelen van het bedrijf. Het gaat om op risico gebaseerde beveiliging: de budgetten worden ingezet waar de dreiging het hoogst is. ‘Dat is geen zuivere IT-activiteit meer’, zegt Deprez. ‘Om je risico’s in kaart te brengen en af te schermen, moet je met alle bedrijfsgeledingen rond de tafel gaan zitten.’


‘Koffiezetapparaten, printers, auto’s en andere op internet aangesloten toestellen vormen een reëel gevaar.’ — Bernard GhignyBernard Ghigny, vennoot EY Financial Services bij EY

Top 5 risicosectoren


1 financiële instellingen


2 informatie- en telecommunicatie


3 maakindustrie


4 detailhandel (retail)


5 gezondheidszorg

Bron: IBM X-Force Cyber Security Intelligence Index

Risicosectoren

Volgens de IBM X-Force Cyber Security Intelligence Index groeide het aantal gecompromitteerde datapunten van 600 miljoen in 2015 tot meer dan 4 miljard in 2016. Waar in 2016 de gezondheidszorg nog het belangrijkste doelwit was van cyberaanvallen, staat in 2017 de financiële sector met stip op één.

Cybermisdaad in de financiële sector

De financiële sector is het geliefkoosde doelwit van cybercriminelen. In die sector valt de grootste buit te rapen. Dat werd bijzonder duidelijk bij de digitale overval op de nationale bank van Bangladesh, waarbij hackers via onwe-tende medewerkers opdracht gaven om 951 miljoen dollar op buitenlandse rekeningen te storten.

Log

Historisch focusten aanvallers zich niet op de logge IT-infrastructuur, want het IT-platform was een onneembare vesting. ‘Maar de digitale revolutie heeft de klantenverwachtingen diepgaand gewijzigd’, zegt Bernard Ghigny, Vennoot Advisory bij EY.

De traditioneel behoudsgezinde sector vernieuwt zich dan ook grondig. Maar de monolithische platformen zijn niet voorzien op snelle wijzigingen. ‘Vernieuwende applicaties eisen dat gevoelige data en financiële transacties veel gemakkelijker beschikbaar zijn, en ook veel sneller, voor meer partijen en via verschillende kanalen’, zegt Ghigny. Vaak kan het eigen IT-team niet snel ge-noeg aan alle vragen voldoen, d aarom wordt de ontwikkeling vaak uitbe-steed aan derden.’

Met als ontnuchterend resultaat: de centrale IT-diensten krijgen minder en minder zicht op wat er precies met welke data gebeurt, waar die opgeslagen zitten en wie toegang heeft via welk kanaal. Vaak is de roep om vernieuwing ook zo dringend, dat er een compromis gemaakt moet worden tussen opti-male beveiliging en optimale klantentevredenheid.

Dreigingen

De dreigingen zelf zijn zeer divers. Er is het risico dat klanten hun beveiligingscodes per mail of telefoon aan hackers doorgeven, of dat medewerkers phishingmails openen en zo malware in het systeem binnenhalen. Er zijn ook de ddos-aanvallen, fraude met kredietkaarten en gesofisticeerde cyberaanvallen – vaak vanuit vreemde mogendheden.

Bescherming

‘Financiële instellingen moeten beseffen dat 100 procent veiligheid niet bestaat’, zegt Dieter Vandenbroeck, Manager EMEIA Financial Services - Information Security bij EY. Cyberbeveiliging moet aangepakt worden via risicomanagement, niet als een technische IT-aangelegenheid: ‘Je moet weten welke risico’s je loopt, hoe frequent ze zich voordoen, wat de eventuele schade is en hoeveel het kost om het risico af te dekken.’

De volgende stap: vanuit uw algemene bedrijfsstrategie bepalen welke risico’s prioritair afgedekt moeten worden. ‘Natuurlijk moet het IT-departement volgen’, zegt Vandenbroeck. ‘Als daar grote lekken zitten, helpen strategie en risicomanagement niet.’

Maar de grootste beveiligingsuitdaging is wellicht cultureel: ‘De gebruiker blijft de zwakste schakel’, zegt Vandenbroeck. ‘Zowel eindgebruiker als personeel en externe partijen moeten voldoende getraind worden om aan cyberaanvallen te weerstaan.’

Intussen zitten ook de regelgevers niet stil. Er zijn richtlijnen van de EU, van de Europese Centrale Bank, van sectororganisatie Febelfin en van de Belgische overheid. ‘Dat alles legt een enorme druk op de schouders van onze financiële instellingen’, zegt Vandenbroeck. ‘Gelukkig is het topmanagement meer en meer betrokken, en bereid om meer middelen vrij te maken. De laatste stap is dat topmanagement geen push van de regelgevers nodig heeft maar zelf proactief inzet op cybersecurity.’

Contact

Andy Deprez
vennoot EY Advisory 

 

Bernard Ghigny
vennoot EY Financial Services

 
Lees meer