Tag: cybercriminaliteit

Belg niet bezorgd om cybercriminaliteit

  door

Dachten we dat het in Nederland al slecht gesteld was met het beveiligingsbewustzijn, dan kunnen onze zuiderburen er ook wat van.

Zes op de tien Belgen maakt zich weinig tot geen zorgen over computerbeveiliging en bescherming tegen virussen en spam. Dat blijkt uit de Unisys Security Index, die woensdag werd gepubliceerd. Meer dan de helft van de landgenoten is verder weinig of niet bezorgd over de veiligheid bij online shoppen of internetbankieren (bron).

Ja, zul je zeggen, maar dit zijn consumenten. Hoe zit het dan met de zakelijke Belgen? Ook daar kwam uit hetzelfde onderzoek een antwoord op.

De onverschillige houding van de gemiddelde Belgische internetconsument ten opzichte van beveiliging heeft ook effect op het bedrijfsleven. 46 procent van de werknemers zegt regelmatig vanop afstand in te loggen op het bedrijfsnetwerk. Daarbij denkt 20 procent helemaal niet aan veiligheid, verklaart 18 procent toegang te hebben tot documenten die ze voor hun werk eigenlijk niet nodig hebben en geeft 14 procent toe paswoorden aan collega’s door te spelen.

Nu heb ik zelf het onderzoek niet tot mijn beschikking. Maar dit lezende word ik toch wel benieuwd hoe dit zich verhoudt tot de Nederlanders. Dat het hier ook niet bijzonder gesteld is met het beveiligingsbewustzijn is bekend, maar scoren we nu juist beter of slechter dan de Belgen?

Blijkbaar is beveiligingsbewustzijn toch een wereldwijd probleem aan het worden. Er komen wel steeds nieuwe berichten in de media, maar die zullen misschien maar door een beperkte groep (vakgenoten) worden opgepikt. Het blijft dus een onderwerp waar niemand op zit te wachten en de vraag is hoe we dit nu voor eens en voor altijd gaan veranderen? Een interessante vraag, wat mij betreft, en ook ik heb daar geen pasklaar antwoord op. Blijkbaar maakt men zich niet zo druk, blijkbaar gebeurt er toch nog te weinig of blijkbaar is het toch nog een te-ver-van-mijn-bed-show.

Voorlopig blijft er dus werk aan de winkel en dan bedoel ik niet alleen maar technische beveiligingsmaatregelen, maar nu juist ook die initiatieven die zich richten op het verhogen van het bewustzijn: kennis, houding en gedrag.

Cybercriminaliteit kost Nederland miljarden

  door

Cybercriminaliteit kost de Nederlandse samenleving jaarlijks zeker 10 miljard euro. Dat is 1,5 tot 2 procent van het Nederlands bruto binnenlands product. Dat blijkt uit een gepubliceerde raming door onderzoeksorganisatie TNO. Inbreuken op intellectuele eigendom zijn met 3,3 miljard euro de grootste schadepost. Industriële spionage kost Nederland jaarlijks 2 miljard euro, gevolgd door belasting- en uitkeringsfraude met 1,5 miljard euro. (bron).

Voor iedereen die dacht dat cybercriminaliteit nog niet zoveel voorstelde, draagt een dergelijk bericht als het goed is bij aan het bewustzijn. Nu is het nog de vraag wat we daar als Nederlandse samenleving dan aan willen veranderen. Het gevaar van een dergelijk bericht is dat men nog steeds denkt dat het eerder een ander zal overkomen en dat het aan onze deur wel voorbij zal gaan.

Maar wat als grote organisaties getroffen worden door cybercriminaliteit? Is dan de kans niet enorm dat je als middelgrote organisatie binnenkort ook aan de beurt komt? Als die grote organisaties het al niet voor elkaar krijgen om de beveiliging op orde te hebben., hoe is het dan gesteld bij de middelgrote organisaties?

Het antwoord op die vraag zou tweeledig kunnen zijn:

  1. of de middelgrote bedrijven lopen een minder groot risico omdat ze minder aantrekkelijk zijn voor cybercriminelen en omdat hun infrastructuur nu eenmaal gemakkelijker te beveiligen is,
  2. of de middelgrote bedrijven lopen een veel groter risico omdat het ze aan kennis op het gebied van informatiebeveiliging ontbreekt waardoor er voor cybercriminelen eerder wat te halen valt.

Eerlijk is eerlijk, het definitieve antwoord op deze vraag heb ik ook niet en ik vraag me ook af of we het allemaal zo gemakkelijk kunnen generaliseren. Zou het niet zo zijn dat het ene middelgrote bedrijf het inderdaad veel beter voor elkaar heeft terwijl het bij het andere middelgrote bedrijf juist veel slechter gesteld is? Een combinatie dus van beide antwoorden dat hiermee situationeel afhankelijk is.

Ik geloof zelf dat het laatste antwoord er nog het best bij in de buurt komt: de status van de beveiliging is inderdaad situationeel afhankelijk. Bijkomend issue is dat we als organisatie onze beveiliging dus nog eens goed moeten doorlopen. We kunnen wel stellen dat we dat 10 jaar geleden ook al gedaan hebben, maar de bedreigingen, de risico’s, de kans en de impact zijn in die 10 jaar toch echt veranderd.

Neem nu bijvoorbeeld het risico op informatie kidnap. Wie had daar 10 jaar geleden al over gehoord? Sterker nog: wie heeft daar vandaag de dag over gehoord? Een cybercrimineel breekt in en versleuteld als het ware de informatie, jouw informatie. Natuurlijk wil hij er best voor zorgen dat die informatie weer ontsleuteld wordt, alleen moet je er dan wel eerst even flink voor betalen.

Zat deze bedreiging nog niet standaard in de risico analyse? Dan wordt het misschien tijd om dat toch te overwegen. Niet alleen omdat cybercriminelen van buitenaf een dergelijke actie zouden kunnen ondernemen maar ook interne medewerkers zouden wel eens kunnen besluiten om kritische informatie te versleutelen en daarna de sleutels weg te gooien (of te vergeten). Staat er binnenkort weer een reorganisatie voor de deur? Dan wordt het risico hierop alleen nog maar groter. Maar goed, je bent gewaarschuwd.

Voor nu sluiten we af met dit voorbeeld. Een voorbeeld van een dreiging die er 10 jaar geleden nog niet was (of nog niet opportuun was). Kijk nog eens naar jouw risicolijstje, moeten we dat niet weer eens updaten om de juiste risico’s inzichtelijk te hebben?

Cybercriminelen maken overuren tijdens feestdagen

  door

Voordat mensen inloggen via een pc, Mac of mobiel toestel moeten consumenten volgens McAfee stilstaan bij de Kerstzwendels, de gevaarlijkste online zwendels rond de feestdagen. McAfee laat zien waar men de komende weken attent op moet zijn (bron).

De titel van het originele bericht doet vermoeden dat het artikel ook echt in gaat op de specifieke aspecten van cybercriminaliteit tijdens de feestdagen. Lees je door dan zie je uiteindelijk dat deze criminaliteit op iedere willekeurige andere dag gepleegd kan worden. Jammer, ik verwachtte zelf toch wat meer, bijvoorbeeld voorbeelden van aanvalsmethodieken die kerst gebruiken om mensen binnen te lokken. Nee, de conclusie wordt getrokken omdat men tijdens de feestdagen meer actief is op internet en meer aankopen doet. Blijkbaar kan er nog veel geld verdient worden aan de verkoop van software voor mobiele apparatuur als tablets en smartphones. Maar goed, we kunnen natuurlijk wel algemene lessen trekken:

“Consumenten maken reisplannen, zoeken online naar cadeaus en de beste koopjes, updaten hun Facebook en leggen contact met vrienden. Het overgrote merendeel heeft echter geen beveiliging ingesteld voor hun smartphones of tablets, ondanks het feit dat juist deze tijdens de feestdagen extra vaak worden gebruikt.

Mobiele gebruikers moeten weten dat op mobiele apparatuur gerichte malware aan een opmars bezig is, en Android smartphones lopen het meeste risico. Nieuwe malware werd onlangs aangetroffen die zich richt op QR-codes, een digitale streepjescode die consumenten kunnen scannen via hun smartphone om de beste deals te vinden, of gewoon om informatie te krijgen over producten die ze willen kopen.

Ook apps verdienen de aandacht. Er zijn mobiele apps die puur ontwikkeld zijn om informatie te stelen van smartphones, of om dure sms-berichten te versturen zonder toestemming van een gebruiker. Gevaarlijke apps worden meestal gratis aangeboden onder het mom van leuke applicaties, zoals games.

Ook moeten mensen bedacht zijn op Smishing, oftewel sms-phising. Oplichters sturen hun valse berichten via een sms-melding naar een telefoon, om een nietsvermoedende consument zogenaamd te waarschuwen dat er iets aan de hand is met zijn of haar bankrekening. De cybercriminelen instrueren de consument vervolgens om een telefoonnummer te bellen om zijn of haar rekening opnieuw te activeren en verzamelen zo persoonlijke gegevens van de gebruiker, zoals burgerservicenummer, adres en rekeninginformatie.

Ach, we hebben toch weer een korte opsomming gekregen van zaken waar we rekening mee moeten houden, niet alleen tijdens de feestdagen, maar gewoon 365 dagen per jaar. Wil je deze problemen oplossen dan heeft McAfee vast een geschikte oplossing voor je. Ze willen in ieder geval erg graag bij jou onder de kerstboom liggen.

‘Internetters zijn zich niet bewust van gevaren’

  door

Cybercriminaliteit neemt steeds grotere vormen aan. Hackers creeeren enorme netwerken die bestaan uit computers van nietsvermoedende gebruikers van over de hele wereld en zetten deze in om creditcardgegevens te verzamelen, spam te versturen en zelfs complete identiteiten te stelen, die vervolgens voor nog geen 5 euro worden doorverkocht. Volgens veiligheidsexpert Rik Ferguson zijn computergebruikers zich niet genoeg bewust van de gevaren die ze lopen (bron).

Jouw identiteit en al je gegevens zijn dus nog geen 5 euro waard. Per doelwit natuurlijk niet zoveel. Maar als je er vanuit gaat dat er (bij dit betreffende botnet) zo’n 13 miljoen gekaapte computers waren (65 miljoen in totaal) ja dan wordt het een ander verhaal.

Criminaliteit loont en een omzet van 65 miljoen, genoeg bedrijven die daar voor tekenen. En dan hebben we het nog maar over een botnet. Geen flauw idee hoeveel van die botnets er zijn maar ongetwijfeld meer dan een.

Schrikbarender wordt het als we nagaan wat de kopers van al die gegevens er mee doen. Helaas kan ik daar geen feiten over vinden. Maar ga er maar vanuit dat die schade post vele malen groter is. Met de gegevens worden creditcards aangevraagd, worden bankrekeningen geplunderd, worden mensen gechanteerd en worden gegevens vernietigd die wellicht nooit meer te herstellen zijn.