A51 in het nieuws

De criminelen van de 21e eeuw

Uit: MT Mangement Team | 15 nov 2006 | Pierre de Winter

Onwetendheid 

Wat betekent dat allemaal? Dat wie zich onbeschermd op internet begeeft en vervolgens met z’n creditcard inkopen gaat doen, ervan uit mag gaan dat die gegevens razendsnel in handen komen van een crimineel. In het actualiteitenprogramma Nova werd eind vorig jaar een splinternieuwe pc aangesloten op internet, zonder firewall of anti-virussoftware. Binnen een kwartier was het apparaat geïnfecteerd met kwaadaardige code. Een goede wake-up call voor particuliere pc-bezitters, om de beveiliging van hun computer nog eens grondig te herzien.

Voor bedrijven ligt dat allemaal wat ingewikkelder. Grote bedrijven hebben grote ict-afdelingen, waar mensen zitten die de veiligheid van het netwerk kunnen waarborgen. Maar ook daar is het besef van de digitale gevaren en kwetsbaarheden vaak onder de maat, om van het midden- en kleinbedrijf maar te zwijgen “Bedrijven kunnen er niet meer van uitgaan dat hun informatie alleen van hen is,” zegt Nienke van den Berg. Ze is oprichtster van internetsecurity-consultant A51 en was tot eind 2004 directeur van het National High Tech Crime Center (NHTCC); een door de overheid opgericht expertisecentrum voor de bestrijding van cybermisdaad, dat dit jaar is opgegaan in de nieuwe High Tech Crime Unit van het Korps Landelijke Politie Diensten (KLPD). “Als iemand de informatie wíl vinden, dan kan hij dat, daar moet je vanuit gaan. En dat kan zijn uit criminele motieven, of bedrijfsspionage.” Wat Van den Berg veel tegenkomt bij bedrijven, is onwetendheid. “Langzamerhand begint het bij de Nederlandse manager te dagen dát hij niets weet. Dat noem ik vooruitgang.”

USB-sticks

Wat Van den Berg bedrijven en organisaties adviseert, is het laten doen van een volledige ict-scan, zowel extern als intern. “Dat softwaresystemen robuust moeten zijn en bestand tegen aanvallen van buitenaf, dat snapt de gemiddelde manager nog wel. Maar wat vaak vergeten wordt, zijn de risico’s die je loopt door het handelen van eigen mensen. Het downloaden van van alles, van porno tot muziek; het creëren van eigen draadloze netwerkjes; het aansluiten van mp3-spelers; het synchroniseren van Palm-organizers. Maar ook: hoe betrouwbaar is je systeembeheerder? Het zal niet de eerste keer zijn dat iemand uit, laten we zeggen, Australië met een strafblad vanwege digitale criminaliteit hier gewoon als systeembeheerder aan de slag gaat. Geen haan die ernaar kraait.”

Ze gaat door: “Mensen moeten getraind worden. Ze moeten leren zichzelf elke keer dat ze met it-gestuurde bedrijfsprocessen bezig zijn, af te vragen of ze het systeem niet aan het compromitteren zijn.” Ze noemt het voorbeeld van een bedrijf waar iemand op de parkeerplaats USB-sticks had rondgestrooid. Medewerkers wilden weten wat erop stond, plugden ze in hun pc op kantoor en binnen de kortste tijd was het hele systeem geïnfecteerd.

Kritieke processen

Onderbelicht zijn volgens Van den Berg ook de zogenaamde Scada-systemen (Supervisory Control And Data Acquisition). Dit zijn software-systemen die vaak kritieke processen beheren, zoals de productie en distributie van drinkwater, olieproductie en –transport, elektriciteitsvoorzieningen, spoorwegbeveiliging enzovoorts. Doorgaans zijn deze systemen slecht beveiligd en worden ze beheerd door elektrotechnici die van it-beveiliging geen kaas hebben gegeten. Volgens Nienke van den Berg worden dergelijke systemen wel degelijk actief aangevallen vanaf het internet. “In het nieuws hoor je dan dat iets was uitgevallen vanwege een ‘technische storing’. Ik zal je zeggen: in zo’n geval is er een kans van 95 procent dat er een Worm in een Scada-systeem is terechtgekomen.”

Ze kan de voorbeelden zo noemen: een grote elektriciteitsstoring in Canada en de VS in 2003, als gevolg van de Blasterworm. Of die keer dat in Australië een miljoen liter vervuild rioolwater in het milieu terechtkwam, als gevolg van een aanval op het beheerssysteem door een ex-medewerker van de betreffende dienst. Van den Berg: “Nog zoiets: medewerkers die wraak willen nemen. Dat is een groeiend probleem.” In een Amerikaans onderzoek blijkt dat het aantal bedrijven dat last heeft van ‘insiders’ is gegroeid van 39 procent in 2005 naar 55 procent dit jaar.

Webwinkeltje

Bedrijven die een verhoogd risico lopen om met online criminaliteit te maken te krijgen, zijn financiële dienstverleners, internetserviceproviders en natuurlijk het groeiende aantal bedrijven dat zijn zaken volledig via internet regelt: en met name de kleintjes onder hen. Van den Berg: “Als ik als crimineel aan creditcardgegevens wil komen, val ik niet Amazon aan, waar een hele batterij specialisten me zit op te wachten, maar een klein webwinkeltje dat minder veiligheidsmaatregelen heeft getroffen. Een beetje slimmerik heeft aan een à twee dagen genoeg om de hele database met creditcardgegevens buit te maken.”

Van de Nederlandse financiële instellingen heeft volgens de Global Security Survey van Deloitte (juli 2006) 83 procent te maken gehad met een inbreuk op hun beveiliging in het jaar daaraan voorafgaand. Helaas denkt maar zo’n 42 procent van hen de competenties in huis te hebben om er effectief op te kunnen reageren. Misschien is dat de reden dat – behalve de grote phishing-aanvallen die de Postbank dit en vorig jaar meldde – we er nooit iets van horen.

Aangifte

Want dat is het volgende punt waar iedereen die iets van het onderwerp weet het over eens is: in niet meer dan 5 procent van de gevallen doen bedrijven aangifte van schade door cybercrime. Jan-Willem van Empel van it-dienstverlener NDI, dat onder andere webhostingservices verzorgt voor bedrijven, kan daarover meepraten. “Er was op een server van een bedrijf kinderporno terechtgekomen. Binnen de kortste tijd zat het hier vol consultants van een securitybureau die die server onmiddellijk in quarantaine zetten. Een geheimzinnig sfeertje en toen het klaar was, hoorde je er niets meer van.”

Doofpot

De belangrijkste reden voor dit geheimzinnige gedrag: bedrijven willen geen reputatieschade leiden. Hoe leg je aan de buitenwereld uit dat die kinderporno buiten je medeweten op je webserver terecht is gekomen? Precies... in de doofpot ermee dus. Net als met een gijzeling van het netwerk van een creditcardmaatschappij. Daarnaast geloven bedrijven überhaupt niet dat aangifte doen enig effect sorteert. De politie is machteloos, zo luidt de consensus en die staat helaas dicht bij de waarheid. Het is een vicieuze cirkel want zo komt de politie ook moeilijk aan de kennis die ze nodig heeft om haar achterstand in te kunnen lopen.

Vandaar dat Nienke van den Berg bedrijven dringend adviseert wél aangifte te doen. “Ik heb niet het idee dat de Postbank door aangifte te doen van die phishing-aanvallen grote hoeveelheden klanten heeft verloren. En daarnaast: de politie – die met de dag meer leert - wil weten wie de grote jongens zijn en hen daadwerkelijk oppakken, ook al moet dat in samenwerking met buitenlandse diensten en kost het jaren speurwerk. Dat kan alleen als ze zoveel mogelijk informatie krijgt. Als bedrijf word je daar misschien niet meteen wijzer van, maar je draagt wel bij aan de wereldwijde bestrijding van dit voorlopig hard groeiende probleem.”

>>bekijk link

Pagina's