Security wordt een van de aandachtspunten voor 2021. En het om cyberdreigingen gaat, helpt het om het verleden te begrijpen om je op de toekomst voor te bereiden. Daarom deze drie mijlpalen in security.
We overlopen de trends met enkele security-specialisten op basis van ‘Cyberthreats: a 20-year retrospective‘. In dit rapport geeft beveiliger Sophos een chronologisch overzicht van de dreigingen en gebeurtenissen, die sinds 2000 die de grootste invloed hebben gehad op het beveiligingslandschap.
Tijdperk 1 – 2000 tot 2004 : wormen & botnets
In de eerste jaren van Y2K werd de ene worm na de andere op de wereld losgelaten. ‘Ze raasden over internet met infectiepercentages die in minder dan tien seconden konden verdubbelen’, aldus Erik Farine, regional director Benelux bij Sophos. Naar schatting infecteerde de I Love You-worm minstens tien procent van de internethosts, en dit op enkele uren tijd.
Veel van de wormen maakten misbruik van kwetsbaarheden waarvoor al patches beschikbaar waren. ‘Deze wormen veroorzaakten in totaal ongeveer honderd miljard doller aan schade en kosten. Ze maakten de weg vrij voor de massale spamverspreidende botnets.’
Tijdperk 2 – 2005 tot 2012 : spammers & Stuxnet
In dit tijdperk werd cybercriminaliteit een business. ‘Goed georganiseerde spammers richtten zich op gebruikers met apotheekzwendel en malvertising. Het landschap werd voor altijd veranderd door exploitkits en door de door staten gesponsorde bedreigingen en hun geavanceerde tools’, aldus Farine.
Het Storm-botnet, bijgenaamd ‘de grootste supercomputer ter wereld’, heeft tussen de een en tien miljoen apparaten gecompromitteerd. In deze tijdzone dook ook een andere mijlpaal in cybercriminaliteit op: Stuxnet. ‘In 2009 liet Stuxnet de wereld zien hoe cyberwapens konden worden gebruikt om fysieke systemen als doelwit te nemen.’
Tijdperk 3 – 20013 tot heden: ransomware
De opkomst van cryptocurrencies maakte een nieuwe mogelijkheid voor aanvallers mogelijk om geld te verdienen: ransomware. Deze fenomenen doken eerder op, maar bloeide de laatste jaren open. ‘In de afgelopen jaren heeft geen enkele cyberdreiging een meer schadelijke impact gehad dan ransomware. Tot op heden lopen de schade en de impact van ransomware op tot miljarden dollars.’
Het voorbije jaar was het jaar van ransomware, erkennen ook andere specialisten. ‘In vergelijking met de situatie voor Covid-19 hebben wij het aantal cybersecurityevents met ramsomware en mailphising met twintig à dertig procent zien toenemen’, stelt Michael Boeckx, chief security officer bij The NRB Group vast. Al is ransomware volgens hem niet zozeer een kwestie van Covid-19. ‘Het is een uiting van crimineel cyberterrorisme. Door die nieuwe stijging in bedreigingen kan security niet meer naast it-levering staan, maar moet het volledig geïntegreerd zijn. Vandaar dat het devsecops-verhaal zoveel tractie kent’, vult Boeckx aan.
…en complexiteit
Los van ransomware, doken in dit tijdperk de aanvallen via Wannacry en NotPetya, een voortzetting van de botnets, wormen, spam en door nationale staten gesponsorde cyberwapens. Op. ‘Diefstal van online betalingen, steeds geavanceerdere phishing, afname van online privacy en alles-als-een-service die cyberaanvallen binnen het bereik van zelfs de laagst geschoolde cybercriminelen bracht. Het komt allemaal voor in een steeds groter, en steeds complexer, wordend dreigingslandschap’, oppert Farine.
De constante: phishing (en menselijke fouten)
Iets wat op zijn minst in alle tijdperken meespeelde, is phishing, vermits de eerste phishingmail al in de jaren negentig werd verstuurd. ‘Mensen zijn nog steeds de zwakste schakel zijn binnen de bedrijfsbeveiliging’, vindt Arnout Van de Meulebroucke, expert cybersecurity en oprichter van Phished.
Opvallend: publieke sectoren bleken, volgens Phished, in 2020 kwetsbaarder dan privésectoren. Gemiddeld werden volgens hem publieke medewerkers 5 procent vaker gephisht. ‘Ondanks de verhalen die steeds vaker naar buiten komen van grote datalekken, ransomwareaanvallen en bankfraude, blijven organisaties jaarlijks miljoenen euro’s verliezen aan menselijke fouten. Phishing awareness blijft pijnlijk afwezig’, aldus Van de Meulebroucke.
Drie op tien geeft richtlijnen
Bewustwording (of het gebrek eraan) is dé constante in het hele security-verhaal. Zo geeft vandaag (slechts) drie Belgische bedrijven op tien aan zijn medewerkers richtlijnen mee om veilig thuis te werken, aldus recent onderzoek van Multiscope en G Data bij ruim 1.500 Belgen en Nederlanders. Belgische organisaties onderschatten de risico’s van thuiswerken, vindt Eddy Willems, security evangelist bij G Data.
Vooral kleinere organisaties denken vaak dat ze geen aantrekkelijk doelwit zijn voor cybercriminelen, stelt Willems. ‘Dat is in normale tijden al een riskante gedachte, maar in tijden van crisis kan deze instelling desastreus zijn.’
