DearBytes: ‘Nederlandse organisaties onderschatten de gevaren van cybercrime’

5 redenen waarom Nederland wat betreft security niet op zijn lauweren kan rusten

Den Haag, 14 juni 2017 – Ondanks de groeiende dreiging van cybercriminaliteit en -spionage, onderschatten Nederlandse organisaties de impact hiervan. We lopen achter de feiten aan en dat schept grote, onnodige risico’s voor individuele bedrijven en onze kenniseconomie als geheel. Dat was een van de conclusies tijdens D3NH4CK, de securityconferentie die DearBytes gisteren hield in Den Haag.

Security leeft niet genoeg in het bedrijfsleven. Het staat nog onvoldoende op de agenda in veel boardrooms. “Zeer gevaarlijk, want ondertussen zijn we met zijn allen steeds meer afhankelijk van digitale technologie”, zegt Erik Remmelzwaal, directeur bij DearBytes. “Nederland als kenniseconomie heeft veel te vrezen van cyberdreigingen, die in aantal en professionaliteit toenemen.”

Deze zorgwekkende ontwikkelingen mogen absoluut niet onderschat worden:

1. Ransomware neemt in slagkracht toe

De schade van de recente WannaCry-uitbraak bleef in Nederland dan wel relatief beperkt, toch is ransomware veruit de grootste cyberdreiging van dit moment. Het probleem is dat cybercriminelen steeds slimmere technieken gebruiken.

Remmelzwaal: “Zo is gepersonaliseerde ransomware aan een opmars bezig. Hiermee kunnen kwaadwillenden kinderlijk eenvoudig een ransomwareaanval ‘op smaak’ brengen. Via een eenvoudige interface stellen ze bijvoorbeeld in welk mailadres de ontvanger te zien krijgt in de losgeldmelding, welke systemen besmet worden en welke bestanden het moeten ontzien. Een voorbeeld daarvan is WYSIWYE (What You See Is What You Encrypt).”

Een andere gevaarlijke trend is doxware. “Deze ransomwarevariant maakt gevoelige informatie openbaar op het moment dat losgeld niet betaald wordt. Hiermee hebben cybercriminelen een nieuw, krachtig pressiemiddel in handen”, zegt Remmelzwaal.

2. Quantum computing wordt nu echt realiteit

Al jarenlang schrijven experts en futurologen over quantum computing: systemen die dankzij technologie op atoomniveau ongekend krachtig zijn. Veel krachtiger dan de krachtigste systemen van nu. In handen van cybercriminelen is dat heel slecht nieuws. Zo is het kraken van veel van de huidige encryptiesystemen voor een quantum computer kinderspel. In handen van nieuwsgierige overheden vormen deze systemen om dezelfde reden een enorme potentiële inbreuk op de privacy van burgers en organisaties.

De eerste quantum computers zullen zeer waarschijnlijk binnen een aantal jaar het levenslicht zien. De discussie over het gebruik van dergelijke middelen is echter nog totaal niet op gang gekomen. Ondertussen hebben partijen als de NSA al wel vergevorderde plannen, en loopt Nederland straks achter de feiten aan. We moeten ons nu al buigen over deze problematiek. Remmelzwaal: “Het bedrijfsleven moet nagaan welke gevolgen quantum computing voor hun security kan hebben, en hoe zij hierop kunnen anticiperen. Zij moeten nu echt gaan nadenken over een levensvatbare strategie om deze problematiek het hoofd te bieden.”

3. Zowel organisaties als securitypartijen denken nog teveel in puntoplossingen

IT, en daarmee ook IT-security, is in relatief korte tijd enorm ingewikkeld geworden. Trends als Bring Your Own Device en cloud computing hebben geresulteerd in een diffuus IT-landschap met vele ‘ingangen’ voor kwaadwillenden. Waar vroeger security vooral een kwestie was van het plaatsen van een firewall aan de rand van de organisatie, is dat niet meer afdoende. Het vraagt om een geïntegreerde, strategische aanpak met op elkaar afgestemde oplossingen.

Toch denken nog steeds veel organisaties in puntoplossingen. “Bedrijven bestellen bijvoorbeeld nog vaak een firewall bij fabrikant A, en endpoint security bij partij B”, zegt Vincent Zeebregts, country manager Netherlands bij Fortinet. Die ‘best of breed’-aanpak levert een wirwar aan oplossingen die niet of onvoldoende op elkaar zijn afgestemd. Dat vormt een enorme bedreiging voor de security van organisaties.

Zeebregts: “Securityleveranciers moeten veel meer ‘uitzoomen’ en vanuit strategisch oogpunt op elkaar afgestemde totaaloplossingen aanbieden. Op hun beurt moeten organisaties beseffen dat het ‘bij elkaar shoppen’ van security leidt tot onveilige situaties. Bovendien zorgt het complexe beheer van zo’n omgeving vaak voor onnodig hoge kosten.”

4. Geavanceerde tools in handen van de ‘massa’

Zeer krachtige cyberwapens zijn in toenemende mate beschikbaar voor de hoogste bieder. Deze ‘democratisering’ van gevaarlijke hackingtools vormt een grote bedreiging voor de security van organisaties.

Een recent voorbeeld is het hackerscollectief The Shadow Brokers.Zij hebben van de NSA een aantal zeer krachtige hackingtools gestolen. Dit gevaarlijke digitale breekijzer verkopen zij voor geld aan derden. Het gebruik van die tools is geen hogere wiskunde: iedereen met enig verstand van IT kan deze inzetten om een digitale ramkraak te plegen. Bescherming tegen deze tools is zeer lastig en vereist geavanceerde middelen. Remmelzwaal: “Gelukkig komen er wel patches beschikbaar, maar dat vereist een actief patchbeleid. Er zijn nog teveel organisaties die daar onvoldoende aandacht aan schenken.”

5. ‘Dat overkomt ons niet’-mindset heerst nog steeds

Veel bedrijven denken dat ze niet interessant zijn voor cybercriminelen. Hun argumenten zijn talrijk. Omdat hun activiteiten niet aanstootgevend zijn voor bepaalde groeperingen, ze niet over waardevolle patenten beschikken of simpelweg omdat er weinig te halen zou zijn. ‘Dat overkomt ons niet’, is dan ook volgens Remmelzwaal een veelvoorkomende mindset.

Onterecht, want het overgrote merendeel van cyberaanvallen is helemaal niet specifiek gericht op een bepaalde organisatie, maar puur opportunistisch van opzet. “Cybercriminelen gooien vaak gewoon zoveel mogelijk hengels uit. Het maakt hen niet uit wie toehapt. Iedere willekeurige organisatie kan slachtoffer worden van een cybercrimecampagne. Niemand staat buiten schot. Te weinig organisaties voeren een vulnerability scan uit, om te kijken waar hun kwetsbare plekken zitten. Die kop-in-het-zand-mindset moet echt veranderen. Daar dragen we als DearBytes graag ons steentje aan bij.”

Animatie ransomware

DearBytes: ‘Securitystrategie in Nederland moet radicaal anders’

IT-leveranciers moeten inherent veilige oplossingen leveren

Den Haag, 13 juni 2017 – De huidige securitystrategie in Nederland is achterhaald. Security wordt nog steeds massaal als oplossing achteraf verkocht. Terwijl iedereen weet dat die aanpak niet meer voldoende is om cyberdreigingen het hoofd te bieden. Erik Remmelzwaal, directeur bij DearBytes, vindt dat security- en IT-partijen in actie moeten komen om samen inherent veilige oplossingen te leveren. “Uiteindelijk moeten securityleveranciers zoals we ze nu kennen overbodig zijn.”

Security als attribuut

Remmelzwaal ziet heil in een andere mindset. “Security moet een attribuut zijn, een eigenschap van digitale middelen, in plaats van een toevoeging achteraf. Nederland heeft behoefte aan netwerkconnectiviteit, hardware en software die inherent veilig is. Over digitale veiligheid moet al in de designfase zijn nagedacht. Security-by-design moet de nieuwe norm zijn.”

Goede voorbeeld

DearBytes gaf zelf onlangs het goede voorbeeld door samen te gaan met KPN. Volgens Remmelzwaal was de verkoop van DearBytes een logische zet en in lijn met de missie. “KPN is gespecialiseerd in connectiviteit en ICT-diensten, wij in security. Dankzij de symbiose van deze diensten, bieden we gebruikers oplossingen die vanuit de basis veilig zijn. Zo dragen we op een andere manier dan gebruikelijk bij aan een veiliger Nederland, en uiteindelijk een veiligere wereld.”

Onvoldoende aandacht

Op dit moment geven veel IT-leveranciers de veiligheid van hun producten en diensten onvoldoende aandacht. “Internet of Things-apparaten zijn daarvan doorgaans een goed voorbeeld. Daar zie je standaardwachtwoorden die gebruikers niet hoeven aan te passen en patches die niet of laat verschijnen. De gevolgen hebben we kunnen zien tijdens de aanvallen van het Mirai-botnet vorig jaar. Dat botnet bestond uit honderdduizenden gekaapte IoT-devices.”

Samenwerking tussen IT- en securityleveranciers

Een andere mindset tijdens de ontwikkeling van IT-oplossingen is niet voldoende. IT-leveranciers moeten veel meer de samenwerking zoeken met securitypartijen. “Security-by-design vereist specialistische kennis. Die kennis zit bij partijen die nu security leveren als dienst achteraf. Zij moeten op hun beurt die kennis beschikbaar stellen aan software- en hardwareontwikkelaars.”

Onafhankelijke controle

Een onafhankelijke partij moet volgens Remmelzwaal vervolgens die veiligheid beoordelen, en onveilige producten van de markt weren. “We hebben bijvoorbeeld de Nederlandse Voedsel- en Warenautoriteit die de veiligheid beoordeelt van voedsel en consumentenproducten. Die controle is echter nog niet doorvertaald naar het digitale tijdperk. Ze moeten digitale veiligheid meenemen in hun beoordeling. Dat verkleint de kans dat je een inherent onveilig product koopt.”

Factor mens

De factor mens speelt ten slotte een cruciale rol. Voldoende security-awareness is volgens Remmelzwaal onmisbaar. “Wie wil overleven in deze digitale wereld, moet zich ook bewust zijn van de gevaren die daarmee gepaard gaan. Oplossingen kunnen nog zo veilig zijn, met ondoordacht gebruik zet je alsnog de poort voor cyberdreigingen wagenwijd open.” Volgens Remmelzwaal kan educatie daarbij helpen. “Voorlichting is enorm belangrijk. We moeten zorgen dat mensen in een vroeg stadium in hun leven al een stukje bewustzijn wordt bijgebracht. We kennen zoiets als seksuele voorlichting, maar wat mij betreft mag security-voorlichting net zoveel aandacht krijgen.”
Malware_fighters_menu_0003_Vulnerable_i7 klein