Het afgelopen jaar begon en eindigde met een serie van zeer vernuftige digitale aanvallen, van de diefstal van 80 miljoen databestanden bij de Amerikaanse zorgverzekeraar Anthem tot aan de digitale insluipingen bij hotelketen Hyatt, waaronder drie hotels in Nederland.
In 2016 zullen dergelijke digitale aanvallen op grote merken en organisaties onverminderd doorgaan, of het nu gaat om standaard malware of geniepige insluipingen waar je maanden, zo niet jaren, later pas achterkomt. Vooral mobiele betaaldiensten zullen worden aangevallen, zo verwacht securitysoftwaremaker Websense, onderdeel van Raytheon.
Bedrijven en consumenten zullen ook gerichte aanvallen zien op verouderde internettechnologie, maar ook op social media-accounts van de Amerikaanse presidentskandidaten, zegt Carl Leonard, beveiligingsanalist bij Websense en auteur van het onlangs uitgebrachte rapport over de digitale bedreigingen die we dit nog jonge jaar gaan meemaken.
Carl Leonard - Websense.
CIO's, druk doende om de bedrijfsjuwelen te verdedigen tegen al die bedreigingen, moeten blijven investeren in verzekeringen tegen schade, hoewel dat steeds moeilijker wordt omdat verzekeraars steeds meer eisen stellen aan de beveiligingsmaatregelen die bedrijven moeten nemen, plus dat bedrijven tot achter de komma moeten omschrijven waar de eventuele risico's liggen. Op aangeven van Leonard geven we hier de vijf grootste risico's waaraan zowel de CIO als de CISO alle aandacht moet geven in het komende jaar.
1.Hacks van mobiele betaaldiensten en andere niet-traditionele betaalsystemen
De smartphone wordt steeds meer de belangrijkste authenticatiebron voor veel financiële transacties en malwareschrijvers zullen daarom grotere inspanningen doen om geld te stelen van consumenten die Apple Pay, Google Wallet en andere mobiele betaaldiensten gebruiken.
CIO's opgelet: als aanvallers eenmaal binnen zijn gekomen in de mobiele portemonnee van consumenten kunnen ze ook binnendringen in je bedrijfsnetwerk als ze inloggen met hun smartphone. "E-mails, contacten, authenticatiemethoden en apps die vanaf de smartphone toegang hebben tot het netwerk kunnen een fenomenale bron zijn voor aanvallers die uit zijn op je intellectueel eigendom, bedrijfsinformatie en andere vertrouwelijke assets", zegt Leonard.
2. Van Heartbleed tot hartzeer
Kwetsbaarheden in open source software, zoals Heartbleed, Shellshock en Poodle, joegen in 2015 Akamai en andere bedrijven flink angst aan. Verwacht meer aanvallen op de krakkemikkige internetinfrastructuur. Leonard merkt op dat een significant aantal van de topwebsites uit de Alexa 1000 hun certificaten niet up-to-date hebben. "We hebben een aantal certificaatproblemen gezien in relatie met oudere hashingmethoden zoals SHA-1, en ook problemen met de ondersteuning van sleutelversies. Als sommige van de 'grote namen' al moeite hebben om alles bij te houden, hoe kunnen de kleinere leveranciers dan daarmee omgaan?"
Bijkomende problemen zijn oudere en brakke Javascriptversies, end-of-life-uitdagingen voor belangrijke software zoals Windows XP, en nieuwe applicaties die gebouwd zijn op hergebruikte code met oude kwetsbaarheden. "Het is erg moeilijk systemen te migreren omdat je het risico loopt dat er functionaliteit verloren gaat of nieuwe bugs introduceert", zegt Leonard.
3. Nieuwe topleveldomeinen geven phishers nieuwe kansen
Algemene TLD's die geïntroduceerd worden (nu al meer dan 800 en mogelijk nog eens 1300 extra in de komende jaren) zullen worden gebruikt in actieve spam- en andere kwaadaardige campagnes. Leonard zegt dat criminelen en overheidsaanvallers onachtzame gebruikers erin proberen te luizen met malware of slimme vormen van datadiefstal via sociale media, e-mail en andere tools. Criminelen kunnen bijvoorbeeld argeloze consumenten verleiden om naar shop.apple te gaan, of apple.macintosh of apple.computer, en daarvandaan hun data proberen te stelen. In een proef met enkele TLD's vond Websense miljoenen urls die kwaadaardige content hosten. "Die TLD's maken het moeilijker om je ertegen te verdedigen omdat veel gebruikers niet zijn voorbereid op die nieuwe werkelijkheid", zegt Leonard.
4. De Amerikaanse presidentsverkiezingen betekenen een topperiode voor de "hacktivisten"
Gaandeweg het jaar komt november naderbij en dat betekent een maandenlange toename in het zo genoemde "hacktivisme", waarin geprobeerd wordt de social media-accounts van de Amerikaanse presidentskandidaten en grote nieuwsuitgeverijen te kapen om zo valse informatie te verspreiden. Mensen krijgen e-mails die lijken te komen van politieke partijen of kandidaten met een link naar een online petitie of onderzoek naar specifieke items die in verkiezingsdebatten aan de orde zijn gekomen, of een link naar een nieuwsverhaal. "Het zijn vooral politiek gedreven hackers die er een genoegen in scheppen om later omstandig hun 'prestaties' wereldkundig te maken", zegt Leonard. Om dergelijke risico's af te dekken zouden campagneteams een CIO moeten inhuren om hun (sociale) mediadomeinen te beschermen.
5. Verzekeringen worden beter in overeenstemming gebracht met de eventuele digitale risico's
De verzekeringspremies vlogen vorig jaar omhoog nadat bedrijven zich haastten om zich tegen de digitale risico's in te dekken. Om hun winstgevendheid te waarborgen moeten verzekeraars meer inzicht krijgen in de bedreigingen en de beveiliging daartegen. Er moet een minimum aan vereisten worden geformuleerd waaraan een beveiligingsbeleid moet voldoen. Een dergelijk beleid moet rekening houden met de grootte van het bedrijf, het risicoprofiel, de frequentie waaraan het blootgesteld wordt aan aanvallen alsook de weerbaarheid van het bedrijf ten aanzien van aanvallen en het herstelvermogen.
Verzekeraars zullen auditors sturen om assessments van beveiligingsystemen te doen en het gebruik van geavanceerde detectiesystemen afdwingen. "Dat kan door verschillende premies te hanteren of zelfs door te dreigen met het niet uitbetalen na claims", zegt Leonard. "We verwachten dat de kwaliteit wordt verhoogd in de manier waarop risico's worden gekoppeld aan de poliskosten, net zoals de premie van een autoverzekering wordt gekoppeld aan het aantal jaren schadevrij rijden."
Reden voor wat optimisme
Jezelf beschermen tegen al die bedreigingen lijkt ondertussen wel Sisyphusarbeid. Maar Leonard slaat een optimistische toon aan en merkt op dat CIO's zich kunnen versterken door een team samen te stellen met zowel interne als externe partners. Zo'n team kan onderling taken verdelen als het volgen van technologische ontwikkelingen en het introduceren van nieuwe technologie, het volgen van de werkwijzen van criminelen, en de vernieuwingen in de wetgeving.
Verder moeten bedrijven data-eigenaren en databeschermers aanwijzen om zo de verantwoordelijkheid te delen in het veilig houden van data. Leveranciers moeten worden gescreend, net als de bedrijven met wie zij samenwerken. Het onderrichten van de eigen werknemers, vaak de zwakste schakel in de beveiliging, is enorm belangrijk. CIO's moeten blijven hameren op beveiliging, door te blijven communiceren, te blijven testen en door risico's waar mogelijk te vermijden.
Het is minofmeer, - gemak dient (NIET) de mens, de mens is niet capable tot het creëren van een 'sluis' (cynaps) in de 'comfortdevisie'.
Opensource is hier de oplossing.
Opensource betalen , opensoiurce systemen...
Ook daar kunnen fouten ontaan maar de patch snelheid is velen malen hoger dan een close source systeem van welke fabrikant dan ook.
Ook de laaste hacks op het electriciteit net in israel tonen dat duidelijk weer aan.
Reageer
Preview