Cybercriminaliteit is big business, maar daar handelen we niet naar. Vandaag verschijnt het elfde Data Breach Investigation Report van Verizon. Dit rapport analyseert 53.000 beveiligingsincidenten en 2.216 datalekken in 65 landen van over de hele wereld. IT Executive sprak met Laurance Dine, manager van het Incident Response Team van Verizon dat datalekken onderzoekt en helpt stoppen.

Het rapport bevestigt wat we al jaren weten: aanvallen zijn vooral gedreven door financieel gewin, criminelen gebruiken jaar op jaar dezelfde beproefde methoden en gebruikers blijven dezelfde fouten maken. En een aanzienlijk deel van de inbreuken/datalekken is op conto te schrijven van medewerkers, al dan niet met kwade opzet.

Ransomware evolueert

Is er iets echt nieuws dat je na elf jaar analyse van security gegevens opvalt? “Elk jaar is er wel iets dat intrigeert. Dit jaar is het met name interessant om te zien hoe het gebruik van ransomware verandert en dat deze vorm van malware steeds meer invloed heeft op back-end systemen. Dit toont aan dat de tactiek van cybercriminelen zich aan het ontwikkelen is. Ze plukken de vruchten van bestaande zwakke veiligheidsstrategieën en tekortkomingen in de opleiding van werknemers.”

Ook het veranderende gebruik van sociale aanvallen – phishing en pretexting – valt dit jaar op. Dit soort aanvallen richt zich bovendien meer en meer op de afdeling personeelszaken. Pretexting, waarbij een aanvaller zich bijvoorbeeld voordoet als de CEO, is sinds het DBIR van 2017 meer dan vervijfvoudigd.

Opvoeden

“Bedrijven moeten blijven investeren in de opvoeding van hun werknemers”, zegt Dine. “Blijf ze vertellen over cybercriminaliteit en de schadelijke effecten die een datalek kan hebben op merk, reputatie en resultaat. Werknemers moeten de eerste verdedigingslinie van een bedrijf zijn en niet de zwakste schakel in de veiligheidsketen. Voortdurende opleidings- en onderwijsprogramma’s zijn essentieel. Er is maar één persoon nodig om op een phishing e-mail te klikken en de hele organisatie bloot te leggen.”

In het DBIR valt het enorme aantal incidenten (22.788) bij overheden op, voor een groot deel (44%) gedreven door spionage. Daartegenover staat een betrekkelijk laag aantal datalekken (304). De conclusie ligt voor de hand dat de overheid zich goed beschermt. Maar er blijkt sprake van een vertekend beeld. In de Verenigde Staten zijn bijvoorbeeld entiteiten van de federale overheid verplicht om veiligheidsincidenten te melden bij het US-CERT. Het US-CERT levert een bijdrage aan het Data Breach Investigations Report van Verizon en geeft alle veiligheidsincidenten door.

Veel van deze incidenten leiden niet tot een datalek. Het gaat bijvoorbeeld om een overtreding van algemeen beleid of de besmetting van één apparaat met malware die snel aangepakt kon worden. In andere sectoren hoeven dergelijke gebeurtenissen (nog) niet gemeld te worden en daarom komen ze niet voor in het DBIR.

Zorgsector baart zorgen

In de zorgsector zijn 536 van de 750 inbreuken die onderzocht zijn door Verizon geslaagd. Meer dan de helft ervan (56%) heeft een interne oorzaak. Hoe verklaart Dine dat? “De zorgsector heeft een heel ander bedrijfsprofiel dan de andere sectoren die we onderzoeken, daarom is er sprake van een specifiek beveiligingsprobleem.

Artsen en ander medisch personeel hebben volledige toegang nodig tot onze gezondheidsinformatie, omdat ze anders niet tijdig een belangrijke diagnose kunnen stellen. Dit, en de aard van de gegevens, draagt ertoe bij dat de sector een interessant doelwit voor criminelen is.

De gezondheidszorg is de enige sector waarin interne spelers de grootste bedreiging vormen voor een organisatie. Vaak worden ze gedreven door financieel gewin, zoals belastingfraude of het verkrijgen van kredieten, nieuwsgierigheid naar persoonlijke informatie van beroemdheden of familieleden of gewoon gemakzucht.”

Naarmate de digitale transformatie van de zorgsector zich voortzet, zullen beveiligingsstrategieën en interne procedures aangepast moeten worden om de extra cyberdreigingen die hieruit voortkomen, te bestrijden. Denk bijvoorbeeld aan het toegenomen gebruik van het internet of things.

Criminelen passen zich aan

Het lijstje aanbevelingen is al jaren ongeveer hetzelfde. Security wordt nu wel serieuzer genomen dan enkele jaren terug. Maar het aantal incidenten en lekken neemt niet af. “Het is waar dat nu nog steeds dezelfde fundamentele aanbevelingen gelden als jaren geleden. We stellen nog steeds vast dat de veiligheidsstrategieën niet actueel worden gehouden en niet tijdig aangepast worden aan de cyberbedreigingen die ze bestrijden.

“Je kunt alleen winnen van de bad guys door je dynamisch en proactief op te stellen, niet statisch als voorheen”

Wij vinden dat organisaties proactief moeten zijn in hun veiligheidsstrategieën. Daarom hebben we een paar weken geleden een nieuwe dienst gelanceerd, het Verizon Risk Report – een raamwerk voor veiligheidsbeoordeling dat bedrijven en overheden op hen toegespitste informatie over cyberbedreigingen biedt. Je kunt alleen winnen van de bad guys door je dynamisch en proactief op te stellen, niet statisch als voorheen. Organisaties moeten de kans op een cyberaanval verkleinen, zich bewuster worden van de bedreigingen en intelligente beveiligingsoplossingen gebruiken om deze te bestrijden.”

Tenslotte geeft Dine nog een aantal aanbevelingen om de impact van phishingmails te verkleinen:

  • Verminder de impact die een besmet apparaat kan hebben door het netwerk te segmenteren. Scheid clients en kritieke bedrijfsmiddelen. Wie toegang wil tot een andere beveiligingszone, moet gebruikmaken van sterke authenticatie. Op die manier is er meer nodig dan een keylogger om schade te kunnen aanbrengen aan bedrijfskritische systemen. Bij gebruik van e-mail in de cloud, is twee-factor authenticatie essentieel.
  • Train de beveiligingsspecialisten samen met de eindgebruikers. Test het vermogen van je organisatie om een aanval te ontdekken, potentiële besmette hosts te identificeren, de apparaatactiviteit na het incident te bepalen en het weglekken van gegevens te herkennen. Oefen, oefen, oefen om snel en efficiënt te reageren en de impact van een succesvolle phishing-campagne te beperken.
  • Bied gebruikers die een interessant doelwit zijn op basis van hun rechten een training aan die is toegespitst op hun rol. Maak medewerkers die toegang hebben tot werknemersgegevens of in staat zijn om geld over te maken ervan bewust dat zij waarschijnlijk het doelwit zijn. Verhoog hun mate van scepcis – het is geen paranoia als iemand er echt op uit is om ze te pakken te krijgen.

LAAT EEN REACTIE ACHTER

Laat alsjeblieft een reactie achter!
Laat hier je naam achter