Belgische bedrijven en organisaties hadden in 2016 gemiddeld 5,3 dagen nodig om een beveiligingslek te dichten. Dat gemiddelde ligt ver onder het wereldwijde gemiddelde van 10,8 dagen. Ook worden lekken sneller gedicht dan in Nederland. Daar duurt het gemiddeld acht dagen voordat een lek na een melding is gedicht.
Dat concluderen de ethische hackers Vincent Toms en Victor Gevers van GDI.Foundation. De Nederlanders spoorden Voor het Project366 een jaar lang in hun vrije tijd kwetsbaarheden op om hacks te voorkomen. Daarin ontdekten ze 690 ernstige beveiligingslekken en rapporteerde deze aan meer dan 590 organisaties verdeeld over 71 landen.
In België en Nederland troffen ze respectievelijk veertien en 136 ernstige beveiligingslekken aan. Belgische organisaties hadden gemiddeld 5,3 dagen nodig om een beveiligingslek te dichten. Het wereldwijde gemiddelde is 10,8 dagen. Chinese bedrijven blijken sneller te reageren, er werden 43 lekken gemeld, de organisaties dichtten deze gemiddeld in 4,9 dagen tijd.
Gevers: ‘Ondanks dat niet elke organisatie even snel reageert, zijn we positief gestemd over het aantal reacties en wijze waarop gereageerd wordt. Van landen waarvan je geen reactie zou verwachten, komen vaak de leukste reacties en bedankjes. Ze vragen bijvoorbeeld wat het had opgeleverd als de data was verkocht of als er misbruik was gemaakt van de kwetsbaarheden. Gezien het grote aantal lekken en de hoge autorisaties die we konden bemachtigen, hadden we met de verkoop van data gemakkelijk meerdere langdurige vakanties kunnen bekostigen. Op zogeheten dark markets is namelijk een levendige handel in gebruikersgegevens die zijn buitgemaakt als gevolg van lekke databases.’
Dashboard
Hoewel Project366 officieel ten einde is, gaat GDI.Foundation in 2017 door met het opsporen van kwetsbaarheden. De organisatie licht toe: ‘De mogelijkheden van cybercriminelen nemen nog steeds toe, en om risico’s te reduceren is een integrale en internationale aanpak noodzakelijk. Mede door een financiering van de Stichting Internet Domeinregistratie Nederland (SIDN) kunnen we in 2017 starten met de ontwikkeling van een security dashboard dat landen, overheden en organisaties inzicht geeft in actuele beveiligingslekken en hoe die kunnen worden gedicht.’ Die tool moet ook inzicht bieden in trends en toekomstige cyberrisico’s, zodat sneller gepaste maatregelen genomen kunnen worden.
Top-5 cyberdreigingen 2017
Voor 2017 voorspelt GDI.Foundation de volgende top 5 cyberdreigingen:
Mens blijft zwakste schakel. Ook in 2017 weer op de eerste plaats als grootste dreiging. Het niet verrichten van noodzakelijk updates, de omgang met wachtwoorden en het versturen/meenemen van gevoelige documenten naar huis.
Legacy & bekende kwetsbaarheden. Dit is mede het gevolg van ons eigen handelen. Het uitbuiten van bestaande kwetsbaarheden wordt elk jaar gemakkelijker en vereist vrijwel geen technische kennis meer. Alles wat je moet weten om de kwetsbaarheden te misbruiken staat op internet, mits je weet waar je moet zoeken.
IoT & Time to Market. De markt voor IoT is booming, dankzij diverse nieuwe diensten en devices die blijven verschijnen. De mogelijkheden staan pas in de kinderschoenen en de kosten zijn bijzonder laag. Door de haast die bedrijven hebben met het uitbrengen van producten, wordt goede security vaak vergeten.
Big (lekkende) Data. Het voordeel voor cybercriminelen is dat veel privacygevoelige informatie al bijeengebracht is door een organisatie. Een wet die een opwaarts effect kan hebben op de prijs van data, is de nieuwe EU-wet General Data Protection Regulation (GDPR). Het gebruik van cookies voor marketing etc. wordt hierdoor bemoeilijkt, maar zal de behoefte naar informatie niet verminderen.
Cybercrime as a Service. Verdere professionalisering van internetdiensten op basis van vraag en aanbod. Cybercrime als service levert weinig risico voor de (ver)koper op en een hoge return of investment. Van ransomware tot het manipuleren van verkiezingen. Runner-up voor de top 10 van ‘Best betalende baan 2017’.
GDI.Foundation
GDI.Foundation is een Nederlandse stichting zonder winstoogmerk dat streeft naar een veilig en open internet. Sinds 1 januari 2016 heeft de stichting ruim 690 ernstige beveiligingslekken ontdekt, gerapporteerd en bedrijven belangeloos geadviseerd over het oplossen van kwetsbaarheden.
