Cybercrime: op termijn blijft niemand buiten schot
16 juli 2015 -
Niemand is veilig voor cybercriminelen. Hackers verspreiden phishingmails en malware, klantgegevens lekken uit en zelfs zorginstellingen zijn doelwit van cyberaanvallen.
Wie zelf niet in de listen van een cybercrimineel trapt, kan ook via een derde partij van zijn persoonsgegevens worden beroofd. Op termijn blijft dan ook niemand buiten schot. Tijd dus dat security bij zowel particulieren, bedrijven, overheden als instellingen de hoogste prioriteit krijgt.
Doelwit
"Met grote regelmaat vernemen we uit de media nieuws over bedrijven, instellingen en personen die doelwit zijn geworden van cybercrime. Een berucht en bekend voorbeeld is de grootschalige hack van de Amerikaanse winkelketen Target eind 2013. Door kassasystemen in een groot aantal filialen met malware te besmetten, wisten hackers 40 miljoen credit- en debitcardgegevens van miljoenen klanten in handen te krijgen," zegt Henk van der Heijden, Managing Director (a.i.) bij Comsec Consultancy Nederland & Partner bij TecHarbor.
"Nu lijkt het vaak alsof dit soort malversaties in mindere mate in Nederland plaatsvinden, maar dat is schijn. De Verenigde Staten kent immers een meldplicht bij datalekken. In Nederland moet deze wetgeving nog ingaan," verklaart Van der Heijden.
Particulieren blijven niet buiten schot
Ook particulieren zijn doelwit van cybercrime. Zo bleek onlangs een vrouw door een gerichte cyberaanval van maar liefst 70.000 euro beroofd te zijn. De vrouw was bezig met de koop van een nieuwe woning toen cybercriminelen haar e-mailaccount wisten te hacken. De aanvallers monitorden haar e-mailverkeer en zagen een e-mail voorbijkomen van een advocaat, die de vrouw verzocht pakweg 70.000 euro over te maken om de koop af te ronden. De advocaat vergat echter het rekeningnummer te vermelden.
Van der Heijden: "Deze fout is door de criminelen uitgebuit. De aanvallers stuurden korte tijd later een tweede e-mail naar de vrouw, waarin zij alsnog een rekeningnummer doorgaven. Deze bankrekening bleek in werkelijkheid echter in handen te zijn van de aanvallers, die de 70.000 euro direct wegsluisden."
Schade
In de meeste gevallen pakt de schade gelukkig lager uit. "De schade die particulieren leiden door cybercrime varieert per geval. Zo vergoeden veel banken de schade die klanten leiden door fraude met internetbankieren. Bij andere vormen van cybercrime hebben slachtoffers minder geluk. Denk hierbij aan spookfacturen, facturen die zonder aanleiding worden verstuurd. Wie zo’n rekening per ongeluk betaalt, kan zijn geld nooit meer terughalen. Dat geldt ook voor slachtoffers die een vervalste factuur binnenkrijgen, zoals de Britse vrouw die 70.000 euro verloor."
Digitale bankovervallen
Financiële transacties zijn dus regelmatig doelwit van cybercriminelen. Aanvallers richten hun pijlen niet alleen op bijvoorbeeld klanten van banken, maar ook op banken zelf. "Wie de controle over de interne systemen van een bank weet over te nemen, kan in één keer een grote som geld buitmaken met een ‘digitale bankroof’. Onderzoek van Raytheon|Websense toont aan dat de banksector maar liefst driemaal vaker doelwit is van cybercrime dan andere sectoren," zegt Van der Heijden. "De financiële sector is echter zeker niet de enige highrisksector. Ook andere markten waaronder de zorgsector zijn een geliefd doelwit van cybercriminelen. Dit werd pijnlijk duidelijk door de megahack bij de Amerikaanse zorgverzekeraar Anthem begin februari 2015. Allerlei gevoelige informatie van ruim 78 miljoen Amerikanen is buitgemaakt, waaronder namen, adresgegevens, geboortedata, woonadressen en sofinummers."
Gestolen data
"Het uitlekken van dit soort data is een groot probleem voor slachtoffers, die hierdoor het risico lopen doelwit te worden van identiteitsfraude. Wie immers persoonsgegevens en het sofinummer van een slachtoffer in handen heeft, kan onder meer op diens naam een lening afsluiten. Dit kan slachtoffers veel problemen opleveren", legt Henk van der Heijden uit.
"Ook medische gegevens, die overigens bij Anthem niet zijn gestolen, zijn van grote waarde voor kwaadwillende hackers. Onderzoek van PwC en het Nationaal Cyber Security Centrum laat zien dat medische dossiers al snel twintig dollar per stuk opleveren op de zwarte markt. Dit terwijl financiële gegevens voor slechts twee dollar per stuk over de toonbank gaan. Ik verwacht dan ook dat de zorgsector in de toekomst alleen maar vaker doelwit zal worden van cybercrime."
Tips en tricks
Nu vrijwel iedere organisatie of instelling te maken krijgt met de gevaren van gesofisticeerde aanvallen, moeten bedrijven ook de juiste technologie inzetten. "Bedrijven willen nog wel eens vergeten dat ondanks een goed dichtgetimmerde eigen organisatie, informatie ook gedeeld wordt met derden. Dan kan het alsnog fout gaan met de gegevens. Daarom is het essentieel om de bron zelf, ofwel de data, ook goed te beschermen. Hiermee voorkomen organisaties niet zozeer de cyberaanval zelf, maar ze minimaliseren wel de impact van zo’n aanval."
Simulaties
Daarnaast is het belangrijk dat ook managers zich meer bewust zijn van de security-risico’s. Simulaties zijn hierbij volgens Van der Heijden een zeer goed hulpmiddel. "Dankzij simulaties krijgen managers met behulp van real-time aanvallen inzicht in hun beveiligingsstrategie. Zij kunnen in de praktijk ervaren of hun maatregelen voldoende zijn om cybercriminelen buiten de deur te houden. Bovendien zien zij wat de gevolgen zijn als er toch iets daadwerkelijk mis gaat. Door het creëren van meer bewustwording over de gevaren die een organisatie loopt, weten managers ook beter hoe ze incidenten kunnen voorkomen. En dat is onvermijdelijk nu echt niemand meer buiten schot blijft."