2016 en 2017: plus ça change?

Terugkijkend op 2016 en vooruitkijkend naar 2017

2016 en 2017: plus ça change?

Traditioneel is de maand januari altijd een moment om stil te staan bij het afgelopen jaar en vooruit te blikken op het komende jaar. In deze blog vertellen we over de opvallendste ontwikkelingen van het afgelopen jaar, en kijken we door onze oogharen naar 2017: wat kan er gaan gebeuren? We kiezen een aantal zaken uit.

Terugkijkend op 2016: spionage, criminaliteit en nieuwe wetgeving

Onverminderde spionage, ook in Nederland

We zagen onverminderd spionage, ook gericht op Nederlandse belangen. In 2016 hebben we zaken onderzocht waarbij landen als Rusland, China en de VS mogelijk als spionerende partij optraden. Tot zover weinig nieuws. De gebeurtenissen rondom de verkiezingen in de Verenigde Staten waren wel opvallend, specifiek omdat informatie uit succesvolle hacks actief gebruikt werd voor beïnvloeding van die verkiezingen. De aandacht hiervoor heeft voor publieke discussie gezorgd over mogelijke beïnvloeding van de verkiezingen in Nederland.

Ransomware bleef de meest zichtbare dreiging

Ransomware was in 2016 de meest zichtbare dreiging met grote aantallen slachtoffers, net als in 2015. Vanaf eind 2015 worden vaker grotere organisaties gericht aangevallen. De opbrengst voor criminelen bij dergelijke aanvallen is vele malen groter dan bij aanvallen op thuisgebruikers, omdat meer losgeld kan worden gevraagd: vaak enkele tienduizenden euro’s. Fox-IT heeft in 2016 meerdere van dergelijke gerichte aanvallen in Nederland onderzocht. Voor de ongerichte aanvallen op thuisgebruikers zijn in 2016 vooral de identiteiten van PostNL, T-Mobile en Ziggo misbruikt. Gerelateerd hieraan hebben we in 2016 meerdere malen op verzoek van onze klanten ransomware in detail geanalyseerd om de vraag te kunnen beantwoorden of de ransomware mogelijkheden had om persoonsgegevens te kunnen verzamelen en weg te sluizen. Deze vraag wordt exclusief gedreven door de nieuwe wetgeving rondom datalekken.

Credit cards en de groei van microbreaches

Credit cards blijven interessant voor criminelen. Opvallend is dat de Backoff malware (bekende malware met specifieke modules voor point-of-sales systemen) nu vaker gebruikt wordt voor zogenaamde microbreaches. Dit zijn inbraken bij kleine winkels om credit card gegevens te stelen. Een voordeel voor de criminelen is dat de oorsprong van de fraude voor creditcardmaatschappijen in dergelijke gevallen lastiger is om op te sporen. Een andere groepering die Fox-IT volgt, de navigator groep, lijkt haar focus uit te breiden naar de horecasector, en dan vooral hotelketens.

Grote bankroven

Aan de bovenkant van het criminele ecosysteem zijn meerdere groeperingen actief die zich richten op het uitvoeren van grote bankroven. In 2016 is veel aandacht geweest voor gecompromitteerde banken waar bij diverse aanvallen veel geld is buitgemaakt. Het grootste deel van de aanvallen is tijdig door SWIFT, het internationale betaalsysteem van 11.000 aangesloten banken, of door de betrokken banken gesignaleerd, maar aanvallen in onder meer Bangladesh, Vietnam, Ecuador en Filippijnen zijn wel geslaagd. Fox-IT helpt SWIFT om de veiligheid van internationaal bankieren te versterken en verbeteren, onder meer door in nauwe samenwerking met SWIFT’s Customer Security Intelligence team de informatie-uitwisseling met betrekking tot klantbeveiling van SWIFT te versterken.

Achter de schermen bij Fox-IT

FoxCERT, Fox-IT’s incident response team,  is 187 keer in actie gekomen in 2016. Duidelijk is dat de gemiddelde omvang van de zaken die we hebben gedraaid omhoog is gegaan ten opzichte van 2015. Klanten assisteren die onverwacht geconfronteerd worden met een incident is zeer bevredigend werk: het stelt ons in staat om onder hoge druk, als het er echt toe doet, de talenten van Fox-IT in te zetten om voor onze klanten hun probleem op te lossen. De klanttevredenheid van klanten die FoxCERT inschakelen ligt niet voor niets al jaren boven de 9.

Onder minder druk en minder adhoc, maar feitelijk nog belangrijker, is het werk dat wordt uitgevoerd binnen Fox-IT’s Security Operations Center. Hier waken onze medewerkers 24×7 over de infrastructuren van aangesloten klanten, met als doel ze tijdig te waarschuwen bij incidenten. Als we waarschuwen doen we dat na analyse en verificatie om zeker te weten dat onze melding geen vals alarm is: als wij bellen, dan is er echt iets aan de hand. Ons cyber threat management platform heeft een totaal van 55 miljoen ruwe alerts door machine-analyse teruggebracht naar 43 duizend potentiele incidenten die door onze experts zijn onderzocht. In 2.973 gevallen was sprake van een incident en moest er snel actie worden ondernomen. 2.973 keer hebben wij onze klanten in een vroeg stadium gewaarschuwd bij een incident en ze daarmee geholpen de gevolgschade van het incident zo klein mogelijk te houden.

Vooruitkijkend naar 2017: boetes na datalekken, verkiezingen en afpersing

Boetes na datalekken

Het afgelopen jaar was nog proefdraaien met de meldplicht datalekken: wie meldt wat, en wat wordt er dan gemeld? Een duidelijke trend was dat onze klanten meer en diepgaander onderzoek willen bij een mogelijk datalek. In de tweede helft van het jaar werd ook de Autoriteit Persoonsgegevens (AP) actiever: vaker kregen meldende organisaties een brief of telefoontje van de AP met de instructie om snel meer duidelijkheid te geven en eventueel getroffen personen te gaan informeren. Tot boetes kwam het nog niet, maar wij verwachten dat die in 2017 zeker uitgedeeld gaan worden. En dan waarschijnlijk niet eens om de melding zelf of hoe het onderzoek is gedaan, maar vanwege de dieperliggende oorzaken van zo’n melding: als blijkt dat een organisatie haar IT beveiliging serieus slecht voor elkaar had, zal de AP vermoedelijk harder gaan optreden.

Afwenteling van boetes op IT & Security-leveranciers

Wij verwachten dat organisaties die beboet gaan worden in het kader van de meldplicht datalekken, deze boete zullen verhalen op verwerkers: vaak leveranciers van IT & Security-diensten. Of die claims dan succesvol zullen zijn is natuurlijk vraag twee, maar het zal ongetwijfeld een nieuwe dynamiek opleveren tussen IT & Security-leveranciers en hun afnemers. Het zal zorgen voor meer aandacht voor het belang van cybersecurity bij afnemers en een verdere professionalisering van de security van IT producten en diensten door IT & Security-leveranciers.

Spannende verkiezingen: en wat gebeurt erna?

Op 15 maart zullen de Tweede Kamerverkiezingen plaatsvinden. Voorafgaand hieraan en als gevolg van de gebeurtenissen in de Verenigde Staten heeft zich in Nederland een publiek debat ontwikkeld over mogelijke beïnvloeding van de verkiezingen door buitenlandse mogendheden. Verhoogd bewustzijn is altijd goed, maar deze dreiging is niet nieuw: spionage en beïnvloeding via internet gebeuren al tientallen jaren en zullen ook na de verkiezingen niet ophouden. Een serieus incident kan een impact hebben van Diginotar-achtige proporties. Even belangrijk is het om de aandacht bij de afwezigheid van een incident na de verkiezingen niet te laten verslappen. Wij verwachten dat het nieuwe kabinet aanzienlijk meer zal investeren in cybersecurity: tussen de vijfhonderd miljoen en een miljard euro.

Afpersing zal nog vaker voorkomen en is moeilijk te bestrijden

De dreiging van ransomware zal nog jarenlang een probleem blijven, en in vergelijking met een dreiging als fraude met internetbankieren zal het vele malen moeilijker onder controle te krijgen zijn. Bij ransomware is er niet een partij die zicht en invloed heeft op met name de geldstromen. In het geval van fraude met internetbankieren waren dat de bank, die het probleem om die reden zeer succesvol hebben kunnen aanpakken. Ransomware en eigenlijk afpersing via internet in het algemeen, waarbij gebruik wordt gemaakt van betalingen in Bitcoins, is veel moeilijker aan te pakken. Criminelen experimenteren ook met afpersing waarbij geen ransomware nodig is, zoals we hebben gezien bij de aanvallen op MongoDB databasesystemen die door een verkeerde configuratie onbeschermd aan internet hingen in januari 2017. Gerelateerd daaraan is afpersing met behulp van DDoS-aanvallen. Dit was in 2016 populair onder criminelen en zal dat in 2017 zeker blijven. Voor mega-aanvallen zullen ook weer IoT-devices worden ingezet. De dreiging van afpersing wordt groter, in plaats van kleiner, en het is aan elke organisatie en elk individu om zichzelf afdoende te beschermen.

Maar ook: 2017, plus c’est la même chose

Maar als we heel eerlijk zijn, blijven een heleboel dingen op het vlak van security in 2017 helaas bij het oude. De meeste serieuze hacks zullen ook in 2017 beginnen met een e-mail, waarna criminelen of spionnen in zeer korte tijd erin slagen om de complete infrastructuur van een organisatie over te nemen. Ons eigen red team slaagt daar altijd binnen enkele uren in, op een enkele uitzondering na. En natuurlijk blijven er nog genoeg ongepatchte en onbeschermde systemen aan het internet verbonden die regelmatig voor ellende gaan zorgen in de vorm van datalekken, afpersingsmiddelen of onbedoelde hulpmiddelen in DDoS-aanvallen. Op het vlak van IoT verwachten we regulering, maar het zal op zijn vroegst in 2018 zijn voordat daar echt beweging in komt, tenzij een serieus incident dit in een stroomversnelling brengt.

Organisaties blijven voorlopig nog wel roepen dat cyber security een onderwerp is op de board agenda en evenzo duurt het nog wel even voor de daar bedachte strategieën helemaal uitgewerkt en doorgesijpeld zijn in alle lagen van een bedrijf.

Doen we dan helemaal niets met de lessen uit het verleden? Integendeel, daar gaan gelukkig steeds meer organisaties beter mee om. Incidenten worden geanalyseerd om er van te leren en relevante maatregelen worden getroffen, hoewel Fox-IT er een voorstander van is om informatie over aanvallen en daadwerkelijke incidenten veel breder te (mogen) delen, ofwel: de plek van de misdaad blijft geheim, informatie over de aanvaller en zijn wapen niet.

Wat ook niet verandert, is de ongelijkheid tussen aanvaller en verdediger. Een aanvaller hoeft het maar één keer goed te doen om binnen te komen, terwijl de verdediger alle pogingen moet tegenhouden. Het is minder bekend dat de rollen daarna omgedraaid zijn! Een aanvaller in je infrastructuur is de verdediger geworden en moet continu onopgemerkt blijven. Als verdediger ben je de aanvaller geworden: je hoeft de tegenstander maar één keer te ontdekken. Het is dus heel belangrijk om niet alleen preventieve maatregelen te nemen, maar om ook slimme detectie toe te passen, de potentiële impact van een succesvolle aanval te beperken en een goede ‘digitale brandweer’ achter de hand te hebben.

Nu bij Fox-IT

Neem contact op

+31 (0) 15 284 79 99

fox@fox-it.com

Delft