Hoezeer cybersecurity de samenleving beheerst, kun je afleiden uit de incidenten die het nieuws halen. Een oliepijpleiding in de VS is gehackt, waardoor in grote delen van het land de energievoorziening in gevaar kwam. Een wereldwijde vleesverwerker ging plat, waardoor een complete internationale supply chain vastliep. Deze twee gevallen zijn exemplarisch voor het toenemende aantal risico’s in relatie tot cybersecurity. Hoewel we ons steeds meer bewust zijn van de gevaren, nemen de incidenten en datalekken juist toe. Dat blijkt ook weer uit het 2021 Data Breach Investigations Report (DBIR) van Verizon.
De onderzoekers en analisten van Verizon moeten er soms moedeloos van worden. Ieder jaar opnieuw analyseren zij tienduizenden gevallen – in 2020 een kleine 80.000 – waarin het vermoeden bestaat dat systemen zijn aangevallen, data-integriteit is geschonden of medewerkers onzorgvuldig met gegevens zijn omgegaan. Waar je met een uitgebreid rapport als het DBIR hoopt een kentering teweeg te brengen, loopt het aantal cybersecurity incidenten juist op. Van al die onderzochte gevallen was er 29.000 keer sprake van een aantoonbaar incident. En deze incidenten leidden in ruim 5.200 gevallen tot een datalek. Dit onderscheid is altijd wat lastig te definiëren. Een denial of serviceaanval legt een site plat en kan grote gevolgen hebben voor een bedrijf, maar leidt in de kern niet tot een datalek. Vervelend is het uiteraard wel.
Blijven volharden
Wat je vooral te doen staat als het gaat om cybersecurity is volharden. Blijven wijzen op het bewustzijn bij medewerkers, blijven hameren op zorgvuldigheid en blijven investeren in een adequaat beveiligde infrastructuur. Tegelijkertijd zul je geregeld je securitybeleid tegen het licht moeten houden, waarbij je moet nagaan of het dreigingslandschap niet veranderd is en in lijn is met de genomen maatregelen. Het DBIR biedt dan ieder jaar weer een praktische leidraad. Enerzijds omdat het gerichte dreigingsinformatie verschaft over elf verschillende sectoren. Anderzijds omdat de belangrijkste actoren in kaart worden gebracht, alsmede hun favoriete modus operandi en drijfveren. Waarbij direct moet worden aangetekend dat het in veel gevallen eigen medewerkers zijn die verkeerd met data omgaan of hun toegangsrechten ‘misbruiken’. Meestal natuurlijk, gelukkig, zonder kwade bedoelingen, maar wel met kwalijke gevolgen.
Georganiseerde misdaad
Het gaat in ongeveer 20 procent van de gevallen om een interne actor die een datalek veroorzaakt. We zien dit aantal iets afnemen de laatste jaren. Je vraagt je af of dit komt door succesvolle bewustwordingscampagnes of simpelweg door het feit dat de interne actor wordt overschaduwd door de groeiende aantallen externe actoren; dit jaar dus goed voor 80 procent van de datalekken. Net als in de afgelopen jaren zijn financieel gemotiveerde aanvallen nog steeds de meest voorkomende. En als we dieper inzoomen op de externe actoren dan staat de categorie georganiseerde misdaad op nummer één, op grote afstand gevolgd door aan staten gelieerde organisaties. Dat laatste is een eufemisme voor de geheime diensten.
Phishing blijft aan de top
Vervolgens is het de vraag hoe deze externe actoren kunnen binnendringen. Als het gaat om incidenten zonder datalek, dan is denial of service de meest toegepaste methode (60 procent). Als het gaat om daadwerkelijke datalekken dan begint de ellende het vaakst door phishing (36 procent). In een kwart van de gevallen ontstaat een datalek als gevolg van het gebruik van gestolen credentials (inlognaam en wachtwoord). Zelfs in een jaar dat zo bijzonder is als 2020, zijn er enkele dingen waarvan we erop kunnen vertrouwen dat ze hetzelfde blijven. Phishing blijft een van de topvarianten en, om in sporttermen te spreken, heeft zijn toppositie verstevigt tijdens de lockdown. Vorig jaar was phishing nog verantwoordelijk voor slechts 25 procent van de datalekken. Deze stijging komt niet als een verrassing voor de onderzoekers. Toen iedereen de opdracht kreeg thuis te werken, was er een hausse te zien aan phishing mails die aan COVID-19 gerelateerd waren. In de kern heel eenvoudig: “log opnieuw in omdat we op een cloud applicatie zijn overgestapt”. En het leed is geschied.
Zorg voor back-ups
Laten we nog even terugkomen op de voorbeelden hierboven, het binnendringen van de systemen van de vleesverwerker en de energiemaatschappij. Dit betrof – naar verluidt – ransomware. De onderzoekers betogen dat ramsomware in toenemende mate het resultaat is van meervoudige, complexe aanvallen. Acties die mogelijk beginnen met phising, gevolgd door het planten van wat wachtwoord-trackers om hoger in de boom te komen en zo tot in het hart van een onderneming terecht te komen. Op deze manier is ransomware nog altijd aan een opmars bezig en is verantwoordelijk voor 1 op de 10 datalekken. In 2016 was dit nog slechts iets meer dan 1 procent. Mocht je getroffen worden door ransomware, dan raden de autoriteiten aan geen losgeld te betalen. Colonial Pipeline deed dit wel; en de FBI kon later nog ruim 63 bitcoins terugpakken. Beter is het om je goed voorbereiden op het moment dat het jou overkomt en noodscenario’s in werking te zetten en back-ups te installeren.
Lees ook:
- 2021 Verizon Data Breach Investigations Report
- Sluit het net rond cyberaanvallers
