Internet wordt steeds griezeliger, vindt u ook niet? Je leest almaar meer over slechte beveiliging tegen cybercrime. En het aantal gevallen van cybercriminaliteit neemt pijlsnel toe. Alleen onze overheid en ons bedrijfsleven zijn er jaarlijks al ruim 10 miljard euro aan kwijt. Regelmatig maken internetcriminelen in één klap miljoenen euro’s of enorme hoeveelheden gevoelige data buit. Steeds meer consumenten, bedrijven, overheden en andere organisaties krijgen met cybercrime te maken en lijden financiële en imagoschade. En de kans dat de cyberboeven worden gepakt, is verwaarloosbaar. Durft u het wereldwijde web nog op?
Vandaag stak ook het Rathenau Instituut (Den Haag) een waarschuwende vinger op. Nederlandse bedrijven en overheden zijn slecht beschermd tegen cyberaanvallen, stelt de organisatie. In de strijd tegen de steeds professionelere cybercriminelen, cyberspionnen en hackers zijn meer maatregelen nodig. De rijksoverheid en bedrijven met hoogwaardige technologie zijn structureel doelwit van digitale spionage-aanvallen.
We vormen een ‘mooi’ doelwit voor cybercrime
En vanwege de ondeugdelijke verdedigingslinies vormen ze ook heel aantrekkelijke doelwitten. De grootste dreiging gaat uit van buitenlandse inlichtingendiensten, denkt het Instituut. Die verzamelen en manipuleren in ons land op grote schaal politieke, militaire en technologische informatie. Letterlijk en figuurlijk levensgevaarlijk.
Als je gevoelige gegevens eenmaal in het datacenter van een overheid, een bedrijf of een andere organisatie zijn opgeslagen, ben je de controle kwijt. Een eng idee…
Internet of things maakt ons extra kwetsbaar
De ontwikkeling van het veelbesproken internet of things versterkt die kwetsbaarheid voor cybercrime. Alleen ons land telt al meer dan 3,5 miljoen slimme apparaten met een ingebouwde simkaart, die via internet kunnen communiceren (bron: ACM). Handig, maar de beveiliging van die dingen laat vaak te wensen over. Ze zijn relatief makkelijk te hacken en daarna kun je ze onder andere inzetten voor DDoS-aanvallen. (Lees meer over het gevaarlijke raakvlak van het internet of things en cybercriminaliteit.)
DDoS-aanvallen: enorme schade
DDoS staat voor Distributed Denial of Service. Daarbij leggen criminelen computersystemen plat door ze in relatief korte tijd te overspoelen met gigantische hoeveelheden gegevens. Dat kan enorme schade voor ondernemingen, overheden en zelfs de hele samenleving veroorzaken. En het aantal DDoS-aanvallen stijgt de afgelopen jaren snel. In 2016 ging het alleen in Europa, het Midden-Oosten en Afrika al om bijna 8.000 aanvallen (bron: de Amerikaanse systeemleverancier F5 Networks).
Cybercrime: een nooit gelopen race
Het Rathenau Instituut legde zijn bevindingen vast in het onderzoek ‘Een nooit gelopen race – Over cyberdreigingen en versterking van weerbaarheid’. Dat onderzoek voerde het uit in opdracht van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en de Algemene Inlichtingen- en Veiligheidsdienst (AIVD). De titel ‘Een nooit gelopen race’ slaat op de voortdurende wapenwedloop tussen cybercriminelen en de ‘good guys’. Zoals de bestrijders van de cyberschurken en de mensen die verdedigingsmiddelen ontwikkelen.
Adviezen om de verdediging te versterken
Het Rathenau Instituut adviseert onder andere
- om een onafhankelijk kennis- en adviescentrum voor mkb-bedrijven op te zetten. Die krijgen ook steeds vaker te maken met cyberaanvallen. Het ontbreekt hen vaak aan de broodnodige kennis en technische hulpmiddelen om zich tegen cybercrime te wapenen
- dat toezichthouders strenger moeten optreden tegen onveilige digitale producten die op de markt komen
- om jaarlijks een hacktest uit te voeren bij ondernemingen in vitale sectoren als drinkwater- en energievoorziening, de zorg, telecom en transport. Die werken nogal eens met verouderde systemen
Financiële dienstverleners ook kwetsbaar
In dat rijtje zou de financiële dienstverlening ook niet misstaan. Cyberboeven zijn uiteraard heel geïnteresseerd in hun euro’s en gevoelige gegevens. Er lekken nogal eens data weg bij die bedrijven (zie onder het kopje Datalekken in het grijze kader rechts). En ik vind al die storingen bij internetbankieren en dergelijke erg verontrustend. Ook al beweren de desbetreffende instellingen meestal dat het niet om cybercrime gaat en zijn ze qua ICT verder dan bijvoorbeeld de overheid. (Die doet wel haar best om haar verouderde ICT-infrastructuur op te poetsen, maar dat verloopt niet altijd naar wens. Er gaan dan ook stemmen op om een minister van digitale infrastructuur te benoemen en dat lijkt me geen slecht idee.)
Cybermafia lacht er om
Het zijn allemaal verstandige maatregelen, die het Rathenau Instituut voorstelt. We moeten er dus ook zo snel mogelijk mee aan de slag. Evenals met het voorstel van D66-kamerlid Kees Verhoeven om een Deltaplan cybersecurity op te stellen. Maar in de wereld van de cybercrime lachen ze erom. Ten eerste zal het nog een tijd duren voor die maatregelen effect sorteren.Ten tweede beschikt het cybergeboefte over zoveel kennis, geavanceerde technologie, geld en macht dat ze hun (potentiële) slachtoffers altijd een flink aantal stappen voor blijven.
‘Strafrecht aanpassen aan cybercrime’
De reikwijdte van het strafrecht schiet tekort bij het aanpakken van cybercrime. Bovendien is cybercriminaliteit internationale business, terwijl de wetgeving per land verschilt. Daarom moet het strafrecht internationaal op de schop. Dat stelt Qianyun Wang van de Erasmus Universiteit in het proefschrift waarop ze eind vorig jaar promoveerde. Om cybercrime beter te kunnen aanpakken, heb je een internationaal geldige, alomvattende en stabiele wetgeving nodig. Lees meer
En de pakkans zal gering blijven. Dat is een van de redenen waarom de meeste Nederlanders geen aangifte doen als ze slachtoffer van cybercrime zijn geworden (bronnen: MarkMonitor en Fraudehelpdesk).
Blijf er bovenop zitten!
Natuurlijk, niets doen is geen optie. We moeten ons zo snel én zo goed mogelijk wapenen tegen cybercrime. En vervolgens moeten we voortdurend onze kennis, methoden en hulpmiddelen herijken. Echt non-stop. Want de ontwikkelingen in de ICT gaan pijlsnel. Op het moment dat je iets nieuws in huis haalt, is het alweer verouderd. En heeft de cybercrimebranche er alweer een antwoord op bedacht… Inderdaad: een nooit gelopen race.
Pas op uw privacy
Verder moeten wij burgers minder nonchalant worden op het gebied van privacy. (Lees ook: zijn privacy en internet verenigbaar?) Willen apps teveel van u weten? Weg ermee! Is een webshop erg nieuwsgierig? Geen zaken mee doen. Nieuwe producten en diensten aanschaffen? Probeer uit te zoeken of die echt wel veilig zijn. Rare mailtjes, sms’jes of appjes? Kijk eens op sites als opgelicht.nl en sites van consumentenorganisaties of ze daar toevallig worden genoemd. En klik vooral niet zomaar linkjes aan.
Wantrouwen is gewettigd
Wees in zijn algemeenheid terughoudend met het verstrekken van informatie aan mensen en instellingen die dergelijke data waarschijnlijk bewaren. Vraag wat ermee gebeurt en hoe ze uw gegevens beveiligen. Je kunt tegenwoordig echt niet voorzichtig genoeg zijn. En of we ons nog op het wereldwijde web durven wagen? Dat is geen relevante vraag. We moeten immers wel, in onze snel digitaliserende samenleving…
Wil je net lekker aan de slag met je computer, is hij gegijzeld door cyberschurken… Ransomware treft steeds meer mensen.
Griezelig nieuws over cybercrime
Bedrijfswebsites: vaak gatenkaas
Maar liefst 86% van de bedrijven die privacygevoelige gegevens verwerken, hebben hun websites onvoldoende beveiligd tegen cybercrime. Dat bleek begin dit jaar uit onderzoek van MKB Servicedesk en SIDN (de organisatie die het domein .nl beheert).
Ze namen bijna 780.000 zakelijke websites met de extensie .nl onder de loep. Van die sites verwerken er 429.000 gevoelige data. Daarvan deden ruim 367.000 sites dat via een onbeveiligde verbinding zonder SSL-encryptie.
Ziekenhuizen en overheid ook lek
Ook een kwart van de ziekenhuissites maakt zich daaraan schuldig (bron: onderzoek van WICS, Women in Cybersecurity). En blijkens onderzoek van de Open State Foundation maakt de helft (!) van alle overheidswebsites nog geen gebruik van HTTPS. Een deel van de overheidswebsites die dat wel doen, hebben e.e.a. niet goed geconfigureerd. Dat betekent dat bezoekers nog steeds risico lopen. Hoe is het toch mogelijk, anno 2017?
Datalekken: hoe groot is de ijsberg?
De Autoriteit Persoonsgegevens ontving in 2016 zo’n 5.500 meldingen van datalekkken. Vooral de gezondheidszorg (ziekenhuizen, verzekeraars), financiële dienstverleners (banken, verzekeraars) en overheden kwamen in de problemen.
Maar dat is waarschijnlijk nog maar het topje van de ijsberg. Gemeenten geven de helft van hun datalekken niet aan de Autoriteit door, bleek uit onderzoek van het programma Reporter Radio.
En het zou mij niet verbazen als nog veel meer organisaties en bedrijven de hand lichten met de meldplicht. Want je imago gaat er nu eenmaal niet op vooruit als bekend wordt dat je slordig met privacygevoelige data omgaat…
Renske
Meer lezen over cybercrime?