Datalekken, de komst van de GDPR, het hacken van verkiezingen en ransomware waren reeds belangrijke thema’s in die besproken werden in 2016, maar nu, halverwege 2017 zien we dat er nog steeds weinig veranderd is.
De eerste maanden van 2017 is de GDPR steeds hoger verschenen op de agenda van Belgische bedrijven: wie meldt wat, aan wie, en wat wordt er dan gemeld? Een duidelijke trend is dat veel bedrijven meer en diepgaandere onderzoeken willen. Zo wordt ook de functie van de Privacycommissie veel actiever. Mede door campagnes om bedrijven te wijzen op de gevaren van datalekken.
Tot boetes kwam het nog niet, maar ik verwacht dat die in de toekomst zeker uitgedeeld gaan worden. Tijdens een interview hoorde ik de woordvoerster van de Belgische Privacycommissie nog zeggen dat ze een koele minnaar is van boetes. Ik begrijp dit want niemand krijgt graag een boete, maar ik vrees dat dit de enige mogelijkheid zal zijn om veel Belgische bedrijven wakker te schudden. Het zou zijn alsof er voor auto’s een snelheidslimiet is, maar als je er over gaat, je geen boete zou krijgen. En dan vooral vanwege de dieperliggende oorzaken van zo’n melding: als blijkt dat een organisatie haar it-beveiliging serieus slecht voor elkaar heeft, moet de Privacycommissie vermoedelijk hard gaan optreden.
Afwenteling van boetes
Een gevolg van de GDPR is dat veel bedrijven zich duidelijker realiseren dat ze zelf hun eigen security niet zullen kunnen handhaven. Bijgevolg zullen veel bedrijven op zoek gaan naar externe it- en security-leveranciers die hier veel ervaring mee zullen hebben. Gevolg hiervan zal zijn dat ook deze leveranciers volgens mij steeds scherper zullen moeten staan.
We verwachten dat organisaties die beboet gaan worden in het kader van de meldplicht datalekken, deze boete zullen proberen te verhalen op de dienstverleners: de it- en securitybedrijven zelf. Of die claims dan succesvol zullen zijn is een andere vraag, maar het zal ongetwijfeld een nieuwe dynamiek opleveren tussen cybersecuritybedrijven en hun afnemers. Hierdoor komt een grotere focus op het belang van cybersecurity bij afnemers en een verdere professionalisering van de security van it-producten en -diensten door cybersecuritybedrijven.
Spannende verkiezingen
In 2016 was er het nieuws dat Russische hackers de Amerikaanse verkiezingen gehackt hebben. Recentelijk nog hebben hackers geprobeerd om verschillende Nederlandse verkiezingswebsites te hacken en werd de campagne site van de Franse presidentskandidaat Macron in de laatste recht lijn gehackt. Het politieke niveau is niet nieuw voor cybercriminelen en -spionnen, maar ik zie wel een vernieuwde interesse, zeker met de komende verkiezingen in Duitsland en Italië, maar ook met zicht op de Belgische verkiezingen in 2018, die als hart van Europa een zekere politieke symboolwaarde zullen hebben.
Spionage en beïnvloeding via internet gebeuren al tientallen jaren en zullen ook na de verkiezingen niet ophouden. Een serieus incident kan een impact hebben van Diginotar-achtige proporties. Even belangrijk is het om de aandacht bij de afwezigheid van een incident na de verkiezingen niet te laten verslappen. Als expert kan ik alleen maar zeggen dat de hele sector hoopt dat politici van alle landen hopelijk tot het besef zullen komen dat cybersecurity ook een politieke dreiging kan zijn en dat ze verdere investeringen moeten doen op vlak van cybersecurity uit het belang van het land.
Ransomware blijft problematisch
De dreiging van ransomware zal nog jarenlang een probleem blijven, WannaCry was daar het beste voorbeeld van, en in vergelijking met een dreiging als fraude met internetbankieren zal het vele malen moeilijker onder controle te krijgen zijn. Bij ransomware is er niet een partij die zicht en invloed heeft op de geldstromen. Ransomware is veel moeilijker aan te pakken. Toch moeten dan ook de non-ransomware aanvallen in het oog gehouden worden.
Criminelen experimenteren steeds met afpersing waarbij geen ransomware nodig is, zoals we hebben gezien bij de aanvallen op MongoDB–databasesystemen die door een verkeerde configuratie onbeschermd aan internet hingen. Gerelateerd daaraan is afpersing met behulp van DDoS-aanvallen. Dit was in 2016 populair onder criminelen en blijft dat ook in 2017, net zoals aanvallen op basis van IoT-devices. De dreiging van afpersing wordt groter, in plaats van kleiner, en het is aan elke organisatie en elk individu om zichzelf afdoende te beschermen.
Ander jaar, zelfde fouten
Maar als we heel eerlijk zijn, blijven een heleboel dingen op het vlak van security in 2017 bij het oude. De meeste serieuze hacks beginnen ook in 2017 met een e-mail, waarna criminelen of spionnen in zeer korte tijd erin slagen om de complete infrastructuur van een organisatie over te nemen. Ook blijven er nog steeds ongepatchte en onbeschermde systemen aan het internet verbonden die perfect zijn voor datalekken, afpersings of DDoS-aanvallen.
Wat ook niet verandert, is de ongelijkheid tussen aanvaller en verdediger. Een aanvaller hoeft het maar één keer goed te doen om binnen te komen, terwijl de verdediger alle pogingen moet tegenhouden. Het is minder bekend dat de rollen daarna omgedraaid zijn! Een aanvaller in je infrastructuur is de verdediger geworden en moet continu onopgemerkt blijven. Als verdediger ben je de aanvaller geworden: je hoeft de tegenstander maar één keer te ontdekken. Het is dus heel belangrijk om niet alleen preventieve maatregelen te nemen, maar om ook slimme detectie toe te passen en een goede ‘digitale brandweer’ beschikbaar te hebben.
Erik de Jong, chief research officer bij Fox-IT