Wat zijn de grootste cyberrisico’s?

Wat zijn in 2018 de belangrijkste risico’s voor bedrijven op cybersecuritygebied? CFO.nl vroeg het drie deskundigen: Chief Information Security Officer bij KPN Jaya Baloo, hoogleraar Cyber Security aan de TU Delft en Universiteit Leiden Jan van den Berg en Erik de Jong, Chief Research Officer bij Fox-IT.

Ransomware, DDoS-aanvallen of cryptoware: sommige bedreigingen voor bedrijven in het cyberdomein zijn bekend, andere zijn nieuw. 
Veel incidenten komen voort uit cybermisdaad: criminelen die op zoek zijn naar financieel gewin. Dat gebeurt bijvoorbeeld door ransomware die systemen gijzelt, DDoS-aanvallen die gepaard gaan met afpersing of CEO-fraude.

“Alle bedrijven, van groot tot klein, moeten rekening houden met cybercriminaliteit. Niemand is er immuun voor”, zegt Erik de Jong van Fox-IT. “Ransomware is een groot risico dat iedereen kan raken, omdat het  ongericht de wereld in wordt gestuurd.” Ook hoogleraar Jan van den Berg wijst op de gevaren van de gijzelsoftware. “Het WannaCry-virus heeft veel schade veroorzaakt, onder andere in de gezondheidszorg in Groot-Brittannië. Deels kwam dit omdat de ziekenhuizen hun IT niet op orde hadden. Een organisatie die geen goede back-ups heeft, kan na een succesvolle ransomware-aanval enkel nog bij haar gegevens na betaling aan cybercriminelen. Via Bitcoin kan dat zonder dat de aanvaller eenvoudig wordt ontmaskerd.”

Betaal nooit

Jaya Baloo van KPN wijst er wel op dat er steeds meer mogelijkheden zijn voor bedrijven die met zo’n aanval te maken hebben. KPN doet mee aan het internationale initiatief No More Ransom, opgezet door overheden, internationale opsporingsdiensten en beveiligingsbedrijven. Betaal nooit, stelt dit platform, dat codes deelt waarmee blokkades opgeheven kunnen worden. Baloo: “Vaak denken getroffenen dat ze genoodzaakt zijn te betalen, het bedrijf moet door. Maar dit is niet altijd het geval.” Andere remedies zijn regelmatig online en offline back-ups maken en op tijd patchen (software updaten om fouten eruit te halen, red.).

De risicoverschillen per bedrijfstak binnen het cyberdomein zijn wel groot. Bij ziekenhuizen kunnen patiëntgegevens op straat komen te liggen of operaties onmogelijk worden door uitval van systemen. Een fabriek kan zelfs volledig plat gaan. Maar voor bedrijven met minder IT-afhankelijkheid zijn de gevolgen van een incident veel kleiner, zegt Van den Berg.

Cyberspionage: steeds hoger hek nodig

Naast criminaliteit is cyberspionage een belangrijk issue. Hierbij gaat het om diefstal van informatie, bijvoorbeeld op het gebied van veiligheid, technologie of innovatie. “De hack van ASML is een beroemd voorbeeld. Het intellectuele eigendom van dit soort bedrijven is van enorme waarde”, zegt Jan van den Berg. Spionage is vooral een risico bij overheden, high tech-organisaties en multinationals, zegt Erik de Jong. “Toeleveranciers van dit soort organisaties, worden zelf ook een doelwit.” Wie achter de spionage zit blijft vaak onduidelijk. Het gaat om groepen, achter wie een onbekende opdrachtgever schuil gaat.  

Bedrijven die doelwit zijn van spionage, mogen in termen van beveiliging extra hard aan de bak. Er is een belangrijk verschil tussen cybercriminaliteit en –spionage: “Iedereen heeft geld, maar specifieke informatie is vaak slechts op enkele plekken te vinden. Bedrijven die doelwit zijn zitten in een lastige positie. Ze kunnen wel proberen het hek steeds hoger maken, maar de aanvallers zullen altijd manieren blijven zoeken om dan ook net iets hoger te springen”, zegt De Jong.

Het gevaar van IoT

Door de technologische ontwikkeling in de maatschappij ontstaan ook in sneltreinvaart nieuwe risico’s, die bedrijven raken. Zo zagen we in de eerste weken van 2018 in Nederland een groot aantal DDoS-aanvallen, op banken, Digi-D en de belastingdienst. Baloo ziet dat deze aanvallen steeds groter worden in omvang en aangevallen gebied. Reden is dat bij deze aanvallen steeds vaker apparaten worden gebruikt die gekoppeld zijn aan het internet, maar een beperkte beveiliging hebben. “De clou is dat we allerlei nieuwe apparaten blijven produceren met oude kwetsbaarheden”, zegt Baloo. “En we blijven die apparaten maar aan elkaar verbinden. Dat kun je niet doen zonder extra beveiliging toe te voegen.” De Jong vindt dat de overheid op dit gebied eisen moet gaan stellen. Ook de Cyber Security Raad heeft hierover onlangs een advies uitgebracht.

Extra gevaarlijk is de blinde vlek die binnen dit domein heerst. De dreiging die de slechte beveiliging van Internet of Things-apparaten (IoT) met zich meebrengt, lijkt inmiddels bekend. Maar bij deze apparaten denkt iedereen enkel aan onze broodroosters, blenders of koelkasten, zegt Baloo: “Het gaat ook gaat om zaken als apparatuur in vrachtauto’s, de verwarming, airconditioning, smart offices of lichtinstallaties. Cybercriminelen laten die apparaten samenwerken en gebruiken de rekencapaciteit om DDoS-aanvallen uit te voeren.” Van den Berg wijst erop dat de grootste DDoS-aanval ooit op deze manier werd uitgevoerd.

Technologie zelf veroorzaakt ook nog op een ander vlak een risico, in de vorm van nog niet ontdekte fouten in soft- of hardware. Baloo wijst op Spectre en Meltdown, de vorig jaar gedane ontdekking van fouten in de chips waarmee bijna alle computers, servers en smartphones zijn uitgerust. Ze verwacht dat er dit jaar nog veel meer van dit soort “latente kwetsbaarheden” aan het licht komen; fouten die onze cyberveiligheid beperken: “Het gaat om fundamentele zaken die niet op orde zijn. Als de software die een bedrijf koopt onontdekte fouten bevat, wordt het bedrijf onveiliger, hoeveel ze ook doen aan cybersecurity.”

Cryptoware

Ook de populariteit van cryptovaluta brengt een nieuwe bedreiging met zich mee. Cybercriminelen verspreiden malware en gebruiken de rekenkracht van de geïnfecteerde computers om cryptovaluta te minen. De opbrengsten gaan vanzelfsprekend naar de aanvaller, zegt Baloo. “Ik verwacht dat er meer van dit soort mining ware gaat komen.”

Dit artikel is onderdeel van een reeks. Lees hier de andere twee delen:
Is de AVG een stok achter de deur?
Hoe organiseer je cybersecurity?

 

Gerelateerde artikelen