Cybercriminaliteit, Security en Privacy

In oktober 2015 was ik te gast bij een bijeenkomst op de Amerikaanse ambassade in Den Haag. Naar aanleiding van dit bezoek heb ik deze blogreeks geschreven. Ik heb hiervoor gebruik gemaakt van informatie van de US Secret Service, Trust Guard, Business2you en Wikipedia. De in deze blogreeks genoemde cijfers zijn afkomstig uit de respectievelijke presentaties. Diverse onderwerpen heb ik verder uitgediept vanuit mijn eigen kennis en nader online research.
thema-veilig-open-laptop-dreamstime-transparent_foto

Door de recente grootschalige aanvallen in Nederland en andere landen worden we als burger steeds vaker met cybercriminaliteit geconfronteerd. Een greep uit de blogs die komen gaan:

  • In “Holland Strikes Back” beschrijf ik de internationale aanpak van cybercriminaliteit, inclusief de rol van diverse internationale projecten zoals Interpol, Europol, J-CAT en de US Secret Service.
  • De blog “Motivatie en vormen” geeft achtergronden over de motivatie van cybercriminelen en de soorten cybercriminaliteit.
  • In “Beveilig uw webtoepassing” beschrijf ik een aantal misvattingen en maatregelen die u zelf kunt (of moet) nemen. Maar ook over wie er verantwoordelijk is als het toch “fout” gaat.
  • De blog “Belang voor online verkopers” gaat in op de effecten van onzekerheden op de online verkoop via webwinkels.
  • “Bescherming Persoonsgegevens” gaat tenslotte over in hoeverre uw en onze gegevens al dan niet vrij toegankelijk zijn.

Cybercriminaliteit is een reden om alert te zijn

Cyberaanvallen worden steeds makkelijker, vooral ook doordat de technologie toegankelijker wordt, maar ook omdat gebruikers zich niet realiseren wat er gaande is. 11% van de ontvangers klikt op een phishing e-mail, 15% daarvan binnen een uur. Dat betekent dat een kwaadwillende binnen een uur beet heeft en aan de slag kan met de verkregen (creditcard)informatie.

Veel aanvallen worden uitgevoerd op ondernemers die de beveiliging negeren. Vaak denkt men dat het wel mee zal vallen of dat hun beveiliging volledig op orde is. In de praktijk zijn er twee soorten organisaties; zij die aangevallen zijn en het weten en zij die aangevallen zijn maar het niet weten. In de praktijk heeft elke beveiliging zwakke punten. Zolang mensen hebberig zijn en graag anderen helpen houden we beveiligingsproblemen.

Er zijn twee soorten organisaties; zij die zijn aangevallen en het weten en zij die zijn aangevallen maar het niet weten.

Enkele feiten

  • 75% van de hacks vinden plaats op applicatieniveau  – Gartner
  • 95% van alle kwetsbaarheden bevinden zich in de software  – Nist
  • 70% van alle websites heeft serieuze kwetsbaarheden  – White Hat Security
  • 62% van de organisaties heeft een aanval meegemaakt in de laatste 12 maanden, de meeste bedrijven weten dat niet eens  – Forester
  • Cross Site Scripting (XSS) is de oorzaak van 26% van de kwetsbaarheden.

Al met al voldoende reden om voldoende voorzorgsmaatregelen te nemen. In de volgende blogs zullen wij nader ingaan op de verschillende vormen van cybercriminaliteit en mogelijke preventieve maatregelen.

Zolang mensen hebberig zijn en graag anderen helpen houden we beveiligingsproblemen

Een belangrijke vorm van aanvallen is social engineering. In mijn tijd als manager van het security competence center van IBM (1998-1999) ben ik er meerdere keren getuige van geweest dat we met name via ‘aardige’ en ‘behulpzame’ mensen in staat waren om een systeem te hacken. Het is schrikbarend hoe makkelijk je door een beetje aardig of juist heel afwijkend te doen binnen kunt komen in de zwaarst beveiligde omgevingen. Hebberige mensen klikken daarnaast al snel op een link in een e-mail om bijvoorbeeld een door hun ‘gewonnen prijs’ te claimen, een inkopper voor kwaadwillenden.

No Comments