2016 leverde securityprofessionals nogal wat stof tot nadenken op. Het jaar begon met aanvallen op energiecentrales in Oekraïne. We eindigden met het nieuws dat cybercriminelen de gegevens van een miljard Yahoo-gebruikers voor grof geld verhandelen. Wat gaat 2017 brengen? Erik Delfgaauw, Bastiaan Bakker en Bart Verhaar van Motiv komen tot de volgende voorspellingen.
Operationele technologie krijgt nog meer de aandacht van hackers
In november schokte een uitzending van Zembla Nederland. In ‘Hacken voor dummies’ liet de redactie van het onderzoeksprogramma zien hoe makkelijk het is om bij bedrijven werknemers en klanten te bespioneren via onbeveiligde beveiligingscamera’s. Vertrouwelijke politiedossiers van Europol bleken voor iedereen toegankelijk. De documenten stonden op een NAS-apparaat dat onbeveiligd aan het internet hing.
Kwetsbaar
“Deze uitzending maakte maar weer eens duidelijk hoe kwetsbaar operationele technologie is”, reageert Bastiaan Bakker, directeur Business Development bij Motiv. Of het nu gaat om bewakingscamera’s, kassasystemen of digitale videorecorders; meestal zijn ze niet ontworpen met ‘security in mind’. Voor hackers is het een koud kunstje om de controle over deze apparaten over te nemen en ze bijvoorbeeld in te zetten voor een aanval.
Operationele technologie (OT) zal ook de aandacht trekken van de verspreiders van ransomware. De slimme thermostaat of connected car besmet? Pas na betaling van losgeld kun je de temperatuur verhogen of de Tesla starten.
Beveiliging
“In 2017 moeten we meer aandacht besteden aan de beveiliging van operationele technologie”, vindt Bakker. “Vanuit security-oogpunt moeten we een beveiligingscamera op dezelfde manier behandelen als de conferencing-telefoon op het bureau van de manager. De eerste stap die gezet moet worden is het standaard wachtwoord wijzigen en het apparaat beveiligen met een firewall.”
Hackers tonen meer belangstelling voor kritieke infrastructuren
Volgens Bart Verhaar, productmanager bij Motiv, houdt de verhoogde aandacht van cybercriminelen voor operationele technologie ook risico’s in voor de kritieke infrastructuren in Nederland. “De operationele technologie in bijvoorbeeld slimme thermostaten en de Scada-systemen die nodig zijn om bijvoorbeeld sluizen te bedienen of water te zuiveren, houden wat mij betreft nauw verband met elkaar.”
Misschien is het wel goed als we een keer gierend uit de bocht vliegen
Grote aanval
“In andere landen hebben we al aanvallen op kritieke infrastructuren gezien”, vervolgt Verhaar, onder andere verwijzend naar de aanvallen op de Oekraïense energiecentrales eind 2015 en begin 2016. “Ook in Nederland moeten we in 2017 serieus rekening houden met een grote aanval op een kritieke infrastructuur. Ik denk dat we daar zeer alert op moeten zijn.” Aarzelend: “Misschien is het wel goed als we een keer gierend uit de bocht vliegen. Zo’n aanval opent misschien de ogen, zodat we dat echt werk gaan maken van de beveiliging van onze kritieke infrastructuren.”
Interesse in kwetsbaarheden bij grote cloudproviders neemt toe
Productmanager Erik Delfgaauw van Motiv verwacht bovendien dat ook de grote cloudproviders in 2017 mogen rekenen op een toenemende belangstelling van hackers. “Het zou me niet verbazen als we in 2017 te maken krijgen met een grote hack op een ‘Infrastructure as a Service-provider’. De vraag is echter hoe snel we van een dergelijke hack bij een grote cloudprovider horen. Hackers is er alles aan gelegen om zo lang mogelijk onopgemerkt te blijven.”
Bij zo’n hack kan het zijn dat de aanvaller toegang krijgt tot het managementsysteem van de provider om vervolgens wachtwoorden of netwerkinstellingen aan te passen. Ook een ‘hypervisor-hack’ behoort tot de mogelijkheden. De hacker breekt dan uit zijn eigen virtuele machine om de andere gebruikers van hetzelfde hardwareplatform aan te vallen. De impact van zo’n hack is enorm, omdat het heel veel klanten treft. De vraag is dan of de provider voldoende maatregelen heeft getroffen om dit te voorkomen.
Toename in vertrouwen cloud
“Het feit dat er nog geen grote hack bij een grote publieke clouddienstverlener heeft plaatsgevonden, zorgt ervoor dat het vertrouwen in de cloud toeneemt”, constateert Delfgaauw. “Steeds meer organisaties brengen hun applicaties naar de cloud. Daardoor worden de providers van publieke clouddiensten een steeds aantrekkelijker doelwit voor hackers. De interesse in kwetsbaarheden bij cloudproviders zal dan ook toenemen. Cybercriminelen opereren daar waar wat te halen valt. Cloudproviders zullen tot het uiterste moeten gaan om hun inkomsten te beschermen. Meer uitgeven aan informatiebeveiliging betekent echter niet automatisch dat de informatiebeveiliging ook beter wordt.”
De interne dreiging neemt in 2017 toe
De dreiging zal in 2017 niet alleen van buitenaf komen. Integendeel, stelt Bakker. “De focus ligt vaak op cybersecurity en het voorkomen van datalekken, maar in zeventig procent van de gevallen wordt schade veroorzaakt door onoplettendheid of nalatigheid van de eigen medewerkers.” Dan gaat het volgens Bakker bijvoorbeeld om het binnenhalen van malware door het klikken op een kwaadaardig linkje of het versturen van een e-mail naar een verkeerd contactpersoon. “Om dergelijke fouten te voorkomen, moeten we investeren in het creëren van beveiligingsbewustzijn en leren van onze fouten.”
In een enkel geval is er bij de ‘dreiging van binnenuit’ opzet of zelfs fraude in het spel. Onlangs kwam aan het licht dat duizenden werknemers van een bank persoonsgegevens van klanten hebben gebruikt om meer dan 2 miljoen nepaccounts te openen. Zo haalden ze hun salesdoelen en stelden ze hun baan veilig.
Next trend
“Ik denk niet dat de interne dreiging in 2017 afneemt”, zegt Bakker. “We moeten dus beter letten op de interne gebruiker door het gedrag van die gebruiker te analyseren.” ‘User Behavior Analytics’ (UBA) wordt in 2017 dan ook de ‘next trend’ op het gebied van security, voorspelt hij. Daarbij wordt het ‘normale gedrag’ van de gebruiker in kaart gebracht om de afwijkingen te kunnen detecteren. “Door gebruikersgedrag te analyseren kun je zien en misschien zelfs wel voorspellen waar het fout gaat en de schade minimaliseren.”
UBA moet de aandacht hebben van security managers
Volgens Bakker zal UBA in eerste instantie worden toegepast binnen het IT-domein, maar zal het uiteindelijk ook zijn weg vinden naar het OT-domein. “Het gedrag van gebruikers is bijvoorbeeld op kassasystemen altijd hetzelfde. Een kleine afwijking is direct verdacht. UBA is een onderwerp dat de aandacht moet hebben van zowel security- als facility managers. Start daarom zo snel mogelijk met het monitoren van gebruikers om erachter te komen wat het normale gedrag is.”