Auteur:

Zowel politiek als politie falen in de aanpak van cybercrime en de wereldwijde recessie is een buitenkans voor cybercriminelen, dat is de conclusie van McAfee’s Virtual Criminology Report. Door de crisis en angst voor terreur verdwijnt computercriminaliteit onderaan de lijstjes, terwijl de crisis juist een klimaat van angst en ongerustheid schept waar cybercriminelen van profiteren. Volgens de beveiliger kan cybercrime zelfs het economisch herstel negatief beinvloeden. Daarom moeten overheden beter samenwerken en een hogere prioriteit aan bestrijding geven, iets wat nu niet zou gebeuren.

Beveiligingsmaatregelen zijn veelal die maatregelen waarop bezuinigd wordt in tijden van budgetrondes. Ten tijde van een kredietcrisis is het van groot belang om de continuiteit van de organisatie te beschermen, niet alleen voor eventuele financiele gevolgen maar juist ook tegen diefstal of verminking van informatie door te weinig of de verkeerde beveiligingsmaatregelen. Naast de overheden moeten ook organisaties hogere prioriteit geven aan de bestrijding van computercriminaliteit.

Door beveiliging op een integrale en doordachte wijze, op basis van risico management en kosten/baten analyses, in te richten kunnen de juiste maatregelen met een acceptabel kostenniveau geimplementeerd worden. Niet langer een bottom-up-benadering waarbij maatregelen worden geimplementeerd, maar een top-down-benadering waarbij risico´s worden gemitigeerd is het advies.

Het downloaden van bestanden is nog altijd de voornaamste reden dat internetgebruikers met malware besmet raken. 53% van alle infecties wordt opgelopen via zogenaamde video codecs of het openen van onbekende bestanden, zo blijkt uit cijfers van Trend Micro. De tweede grote infectiebron is malware die al op het systeem actief is en aanvullende malware downloadt. E-mail bijlagen en USB-sticks (Autorun malware) zijn met zo’n tien procent elk, de nummer drie en vier op de lijst.

Deze gegevens kunnen voor organisatie behulpzaam zijn bij het aanscherpen van het beveiligingsbeleid en de (technische) beveiligingsmaatregelen. Als downloaden zonder restricties wordt toegestaan dan is het wachten op een malware uitbraak. Het downloaden moet beperkt of tegengegaan worden, bijlages van emails moeten gecontroleerd worden en USB-poorten moeten worden dichtgezet of worden gemonitord.

Ook is het van belang dat de medewerkers bewust worden gemaakt van deze gevaren, vertel hen waarom downloaden aan regels is onderworpen, maak hen duidelijk dat bijlages en onbekende bestanden niet moeten worden geopend en laat hen weten hoe ze met mobiele gegevensdragers (zoals USB-sticks) om moeten gaan.

De toenemende cyberaanvallen op de Verenigde Staten zijn niet alleen een bedreiging voor de economie, maar ook voor de staatsveiligheid, zo waarschuwde de FBI deze week. Amerikaanse bedrijven en overheidsinstanties zouden het doelwit van buitenlandse spionnen en criminelen zijn. Volgens Shawn Henry, het net benoemde hoofd van de Cyber Divisie, houden niet alleen oplichters en identiteitsdieven zich met cybercrime bezig, de georganiseerde misdaad, terroristen en overzeese regeringen zijn ook betrokken. Henry vreest ook voor nieuwe groepen hackers die zich verenigen om kennis en ervaring uit te wisselen en samen cyberaanvallen uit te voeren. Hij vergelijkt het met bendes die een bank willen overvallen, waarbij er criminelen met verschillende expertise benodigd zijn.

Dit toont maar weer aan de het niet meer amateurs zijn die met wat simpele tooltjes proberen in te breken. De georganiseerde criminaliteit heeft zich jaren geleden ook al gericht op dit soort activiteiten en zelfs overheden bemoeien zich er mee. Voor het niveau van beveiliging betekent dit dat we het moeten managen en constant alert moeten zijn, we kunnen niet op onze lauweren rusten. De omgeving verandert continu, daar moeten we ons niveau van beveiliging dan ook continu op afstemmen. Wanneer heeft u voor het laatst de plan, do, check, act cyclus voor beveiliging doorlopen? Misschien is dit een goed moment om de inrichting van de beveiliging weer eens tegen het licht te houden.

De uitbraak van nep-virusscanners begint epidemische vormen aan te nemen, want volgens de Spaanse virusbestrijder Panda Security zijn wereldwijd 30 miljoen Windows computers ermee besmet. Via pop-ups en drive-by aanvallen laat de software gebruikers geloven dat hun systeem gevaar loopt en het aanschaffen van de nep-virusscanner de problemen oplost. De tactiek lijkt goed te werken, want uit cijfers blijkt dat maar liefst drie procent van alle geinfecteerde gebruikers besluit om de aangeboden software te kopen. Dat levert de verspreiders van de nep-virusscanners maandelijks tien miljoen euro op.

Ook al zien de nep-virusscanners er nog zo goed en betrouwbaar uit, een korte zoektocht op internet laat al snel zien wat het echte doel van deze nep-virusscanners is. Het wordt dan ook aangeraden te controleren of de virusscanner die je wilt gaan gebruiken ook echt een virusscanner is en hoe goed hij zijn werk doet. Computermagazines testen regelmatig de werking van virusscanners en het wil absoluut niet zeggen dat de scanner die je tien jaar geleden gebruikte vandaag de dag nog zo goed is.

Uiteraard moeten we naast anti-virusprogramma´s niet de firewall (inclusief de juiste instellingen), anti-spyware en alle andere soorten beveiligingsprogramma´s vergeten. De juiste combinatie van beveiligingsprogramma´s kan veel problemen voorkomen, niet alleen voor thuis, maar zeker ook in de zakelijke wereld.

Bedrijven slaan teveel informatie over hun klanten en werknemers op en brengen die en zichzelf daardoor in gevaar. Door de verzameldrift van bedrijven zullen bedreigingen voor die data de komende tijd niet verdwijnen. “Het model dat we nu gebruiken betekent dat organisaties teveel gegevens bezitten. In een normale e-commerce transactie wil de ondernemer meer informatie bewaren als de de waarde van de transactie omhoog gaat. Maar dat geldt ook voor de aansprakelijkheid en risico. Dat proces moet veranderen,” aldus vice president Gerry Gebel. Het proces vindt niet alleen bij klanten plaats, ook gegevens van personeel zoals screenings, medische verzekeringen en salarisgegevens worden massaal opgeslagen.

Binnen Nederland is de Wet Bescherming Persoonsgegevens van kracht als het gaat om de opslag van persoonsgegevens. Niet alleen moeten organisaties de persoonsgegevens aanmelden ook moeten zij aantoonbaar beveiligingsmaatregelen implementeren om deze gegevens te beschermen.

Toch worstelen veel organisaties met de bescherming van deze gegevens. Het College Bescherming Persoonsgegevens heeft een zelfevaluatie gemaakt waarmee organisaties inzicht kunnen krijgen in de status van de Wet Bescherming Persoonsgegevens, de zelfevaluatie is hier te vinden

Door zich voor te doen als bankmedewerkers zijn criminelen erin geslaagd bij talloze Ierse winkels de betaalautomaten te manipuleren en zo tenminste 20.000 creditcardgegevens te stelen. De criminelen maakten de winkeleigenaren wijs dat ze onderhoudswerkzaamheden kwamen verrichten. Zodoende wisten ze apparatuur toe te voegen die de kaartgegevens via het internet toegankelijk maakte (Security.nl, 19 augustus 2008).

Buiten de manipulatie van de betaalautomaten zijn ook de winkeleigenaren gemanipuleerd, ze zijn om de tuin geleid en zijn ervan uit gegaan dat de persoon die voor ze stond ook echt een bankmedewerker was. Hieruit blijkt het belang dat gehecht moet worden aan de controle van de identiteit van leveranciers, service monteurs en alle andere externe partijen. Niet alleen als ze in levende lijve voor je staan maar ook als ze je telefonisch benaderen.

Hoe vaak gebeurt het niet dat je via de telefoon benaderd wordt voor informatie, weet je dan altijd wie de vraag stelt, ken je de ander aan de andere kant van de telefoonlijn? En weet je ook zeker dat hij is wie hij zegt dat hij is? Als je het niet helemaal vertrouwd zou je het telefoonnummer kunnen vragen en de persoon terug kunnen bellen. Zo heb je al enige zekerheid, maar vertrouwelijke informatie moeten we natuurlijk nooit via de telefoon verstrekken. Dat weet jij, maar weten je collega´s het ook, zijn ze zich er voldoende van bewust? Een beveiligingsbewustzijnscampagne kan het bewustzijn onder het personeel vergroten.

De Telegraaf bericht over de onveiligheid van thuiswerkplekken. Zo blijkt, niet geheel verrassend, dat een groot deel van de thuiswerkplekken onveilig is. Hackers of virussen kunnen op deze manier toegang krijgen tot gevoelige bedrijfsgegevens. Hierdoor kunnen gegevens verloren gaan of gemanipuleerd worden.

Thuiswerken wordt steeds populairder en meer en meer organisaties stimuleren hun medewerkers om op deze manier 24 uur per dag bereikbaar te zijn. Naast een laptop beschikken we ook over een pda of Blackberry en omdat we graag willen werken moeten we toch vooral en overal beschikken over de bedrijfsinformatie.

Is informatiebeveiliging al een ingewikkelde uitdaging binnen het bedrijfsnetwerk. Met het meer en meer open worden van de infrastructuren en de toename van de mobiele werkplekken wordt deze uitdaging er niet gemakkelijker op.

De software op de werkplek moet up-to-date blijven, de firewall moet ingeschakeld zijn, de anti-virus maatregelen moeten bij de tijd zijn en moet worden voldaan aan alle andere technische voorschriften van de ICT-afdeling. Een organisatie moet nadenken over de wijze waarop met gevoelige informatie wordt omgegaan en welke eisen we aan de informatie maar ook aan de medewerkers stellen. De medewerker op zijn beurt moet begrijpen dat de informatie waarmee hij werkt weleens gevoelig kan zijn.