Eerst de FOD Financiën, daarna VTM. De impact van DDoS-aanvallen in België, bleek de voorbije dagen overduidelijk. Maar wat kan je er als bedrijf of it-afdeling tegen beginnen? En moet je het als it-afdeling ook melden?
Om maar gelijk met de deur in huis te vallen: er is vrij weinig dat organisaties kunnen uitrichten tegen DDoS-aanvallen. Dat wil niet zeggen dat er lijdzaam moet worden toegekeken hoe de servers van je website worden platgegooid.
Een ‘distributed denial of service’-aanval, zoals een DDoS-aanval voluit heet, is een aanval die wordt uitgevoerd door zogenaamde botnets. Een botnet is eigenlijk een groot netwerk van geïnfecteerde computers die door kwaadwillenden op afstand kunnen worden bestuurd. Zo kan de computer thuis ook zonder jouw medeweten onderdeel zijn van een botnet. De mensen die een DDoS-aanval willen uitvoeren op de servers van een bepaald bedrijf, sturen alle pc’s in zo’n botnet. Dat kan bestaan uit miljoenen computers wereldwijd, naar de website van dat bedrijf. De servers waarop die website draait, kunnen die enorme vraag niet aan en gaat plat. Dat is in het kort een DDoS-aanval.
Risicoanalyse
Eigenlijk kun je je als organisatie nauwelijks wapenen tegen zulke aanvallen. Natuurlijk zijn er technologische maatregelen zoals intrusion prevention, web application firewalls en intrusion protection anti flooding, maar net als met gewone inbrekers geldt: als ze naar binnen willen, komen ze er echt wel in. De technologische maatregelen zijn solide sloten, maar daar heb je bar weinig aan als er iemand met een bulldozer door je veranda rijdt.
Bedrijven moeten een goede risicoanalyse maken en aan de hand daarvan bepalen welke investeringen in solide sloten noodzakelijk zijn. Als een website slechts een digitale folder van het bedrijf is, kun je je afvragen hoe ernstig het is als die even onbereikbaar is. Maar is de site bedrijfskritisch, omdat je er bijvoorbeeld via een webshop je omzet mee haalt, dan zijn investeringen in maatregelen al meer gerechtvaardigd. Voor echt grote bedrijven met dito budgetten, die miljoenen omzet maken via hun website, is het logisch dat zij alles uit de kast halen om de uptime van de website te garanderen.
Imagoschade
Als de website bedrijfskritisch is, dan is het outsourcen naar een hosting partij de meest eenvoudige manier om te zorgen voor uptime. Daarbij kan er ook worden gekozen om de site over meerdere datacenters te verspreiden, zodat er in geval van een aanval uitgeweken kan worden. Maar dat zijn vooral maatregelen om ervoor te zorgen dat je zo weinig mogelijk schade ondervindt van een aanval. Het zijn geen oplossingen om een aanval tegen te gaan, omdat die er feitelijk niet echt zijn. Zorg ervoor dat je een duidelijk stappenplan hebt, zodat je weet wat er moet gebeuren op het moment dat de bedrijfswebsite ten prooi valt aan een DDoS-aanval.
VTM was donderdag nog het slachtoffer van een DDoS-aanval, waardoor de voting van het programma ‘Mijn Pop-uprestaurant’ in het honderd liep. Eigenlijk zijn zij het klassieke voorbeeld van onmacht. Je mag er vanuit gaan dat de grootste commerciële omroep van ons land wel op orde is op het vlak van it-security. Wellicht valt er hier en daar nog wel wat aan te passen, maar ik vind het al knap dat ze niet hebben geroepen ‘We doen er alles aan om het te voorkomen en zorgen dat het niet meer gebeurt’. Want bij een DDoS-aanval kun je die garantie gewoon niet geven. En als je vervolgens nogmaals plat gaat, is de imagoschade alleen maar groter. Je moet als bedrijf geen beloftes doen die je niet kunt houden.
Melden?
Het aantal DDoS-aanvallen stijgt gestaag. Dat is te wijten aan het stijgende belang van internet. Pas de afgelopen jaren is internet voor veel bedrijven bedrijfskritisch geworden. De risico’s zijn groter, maar het gewin dus ook. DDoS-aanvallen worden niet alleen uit financieel gewin uitgevoerd, maar het zijn steeds meer sociaal-maatschappelijke aanvallen zijn. Dat vind ik een interessante ontwikkeling. Een groep als Anonymous laat op zo’n manier heel duidelijk merken aan organisaties wat zij vinden dat correct is en wat niet. Het is een moderne manier van actievoeren maar met het grote verschil dat niet het ganse land er last van heeft.
In principe hoeft een organisatie een DDoS-aanval niet te melden onder de komende EU wetgeving op gebied van databeveiliging. Feitelijk zijn het twee zaken die los staan van elkaar. Toch sluimert daar een gevaar. Hoe weet een organisatie nu zeker dat het alleen een DDoS-aanval was en dat er niet ook iemand binnen is geweest? Bij een DDoS-aanval gaat alle aandacht daar naar uit. Als hackers kwaad willen, zouden ze dat met zo’n aanval kunnen verbergen. Het is een theoretische mogelijkheid, maar dat betekent dat in de toekomst ook DDoS-aanvallen gemeld moeten worden.
ICT-beurzen
Computable.be is hoofdmediapartner van de gecombineerde ict-beurzen Infosecurity Belgium, Storage Expo en The Tooling Event op woensdag 15 en donderdag 16 juni te Brussels Expo. Sophos is te vinden op stand 03.C060. Daarnaast geeft het om 13:30 uur de seminar ‘Your organization WILL suffer a data breach and the EU is waiting for it‘.
