Cybercriminaliteit een halt toe roepen is niet zo simpel
27 maart 2014 -
Security is een hot topic, en dat zal het ook nog even blijven. Zeker nu er dagelijks meer cyberattacks plaatsvinden dan ooit tevoren. En dit aantal zal alleen maar toenemen. Tijdens de ict-vakbeurs CeBIT in Hannover deelde Neelie Kroes, commissaris Digitale Agenda van de Europese Commissie, al haar bezorgdheid over deze toenemende cybercriminaliteit wereldwijd.
"Een terechte zorg," zegt Patrick de Goede van Eijk, Solution Expert Security & Enterprise Architect bij T-Systems in Nederland. "Ik hoop alleen dat het niet blijft bij het uitspreken van deze zorg, maar dat er ook daad bij het woord wordt gevoegd."
Betere security
Kroes stelt dat het voor overheden hoog tijd is om beter beveiligde IT-infrastructuren in te richten en te zorgen voor betere security services. "Dagelijks verschijnen er ongeveer 200.000 nieuwe versies van wormen en virussen. De site www.sicherheitstacho.de toont nog eens zeven miljoen aanvallen per dag. Deze website is in het leven geroepen om zicht te krijgen op alle aanvallen, van waaruit deze gepleegd worden, en welke landen het grootste doelwit vormen," zegt De Goede van Eijk. "Dit is waar overheden mee moet starten – met het monitoren van cyberaanvallen in real-time. Weten waar de dreigingen zitten is van essentieel belang om deze hackers op grote schaal enigszins te kunnen dwarsbomen en een halt toe te roepen."
Geen effect
Goedbedoelde initiatieven hebben tot dusver nauwelijks tot geen effect gehad op de mate waarin social media hacking, afluisterpraktijken en het ontwikkelen van geavanceerde malware, toeneemt. "Kroes heeft dus gelijk dat we nu echt actie moeten ondernemen. Enige tijd geleden liet minister Opstelten weten cybercriminaliteit strenger te willen aanpakken. Ook wordt er op Europees niveau al nagedacht over het verscherpen van wet- en regelgeving," aldus De Goede. "Maar om het wereldwijde probleem aan te pakken, is dit niet genoeg. Het kan niet bij goede intenties blijven, er moet daadwerkelijk wat gebeuren."
Complex
Dit blijkt vaak lastiger dan verwacht. De gewiekstheid van hackers en hun – steeds sluwer wordende – methoden, maken hen uiterst moeilijk vindbaar. Bedrijven, instellingen, overheden en landen blijven dus nog voortdurend met hen te maken hebben. Hun systemen worden gehackt en bedrijfsgevoelige informatie en data worden gestolen. De complexiteit van het grootschalige probleem zorgt ervoor dat overheden nu met de handen in het haar zitten. "Voor bestuurders is het moeilijk in te schatten wat de uiteindelijke impact is, maar ook om te achterhalen waarop die aanvallen gericht zijn. Om überhaupt actie te kunnen ondernemen, zullen zij moeten starten bij de basis. Lees u in, vraag om hulp en ga uit van de ervaringen en kennis van anderen. De technologie en de expertise is er namelijk in overvloed. Security managers, data scientists en informatiebeveiligingsexperts maken daarbij al veelvuldig gebruik van monitoringswebsites en security visibility tools."
Kennis is macht
"Uiteindelijk geldt in dit geval ook weer: kennis is macht. Nu overheden het belang inzien van het gezamenlijk tegengaan van digitaal terrorisme, hoop ik dan ook dat zij dergelijke technologie vaker inzetten. Bestuurders kunnen nog zoveel leren van Big Data en analytics. Zij kunnen hiermee gedragingen voorspellen, overzicht krijgen, dreigingen detecteren voordat het te laat is, en nog veel meer. Pas als we allemaal continu een totaalbeeld van de situatie blijven schetsen, is cybercriminaliteit gestructureerder, gerichter en effectiever aan te pakken," besluit De Goede van Eijk.
Security is inderdaad een groot en actueel onderwerp. Verbeter de wereld en begin bij jezelf! Security is een verantwoordelijkheid van iedereen. Bekijk het onderwerp security eerst eens op het niveau van je eigen bedrijf. Heeft u alles wel goed onder controle? Om risico's op cybercrime te verlagen dien je 3 belangrijke peilers in je organisatie te adresseren: De mens, de processen en de techniek. De techniek is duidelijk: Firewalls, Intrusion Prevention systemen, Access Management, etc. etc. Veel bedrijven besteden hier aandacht aan en regelen dit adequaat. Maar dit is niet genoeg! Als je alles technisch hebt afgedicht maar de medewerkers blijven bijvoorbeeld vrolijk op phishing-mails klikken en/of onveilige passwords gebruiken blijf je kwetsbaar. Het veilige gedrag van de mens kan middels goede security awareness training een grote bijdrage leveren aan het verlagen van de risico's. Maar ook de processen in een organisatie spelen een belangrijke rol. Laat u uw webapplicaties regelmatig controleren op nieuwe kwetsbaarheden? Als uw organisatie zelf software ontwikkeld, heeft u dan een security-test opgenomen in het ontwikkelproces? Of denken uw programmeurs ook dat security de verantwoordelijkheid is van de ICT afdeling? Staat security op de agenda van het management? Wordt er wel eens over gesproken tijdens afdelingsvergaderingen? Heeft u een security awareness programma? Weten uw medewerkers wat ze moeten doen bij een incident? Worden incidenten überhaupt gerapporteerd? Inventariseert u wel eens welke informatie u heeft in uw organisatie? Welke bestanden heeft u? Welke informatie staat daar in? Met welk doel worden deze gegevens bewaard? Wie hebben er toegang tot die bestanden? Waar staan die bestanden fysiek opgeslagen? In het kader van de nieuw aangekondigde wetgeving (Europese Privacy Verordening en de wet meldplicht datalekken) dien je deze informatie beschikbaar te hebben voor het geval van een incident. Sebyde helpt!