0
IT

Mikko Hypponen, F-Secure: GDPR zal prijs cyberaanvallen opdrijven

dinsdag 20 juni 2017 | 14:04 CET | Achtergronden

Een kwart eeuw geleden werd malware verspreid via floppy disks. Nu gebeurt dat via botnets en via miljarden endpoints. De digitalisering heeft niet alleen bedrijfsprocessen verandert, maar ook de manier waarop cybercriminelen te werk gaan. Security-aanbieders lijken altijd iets achter te lopen. Het is volgens Mikko Hyppönen, Chief Research Officer van F-Secure, dan ook nodig om veel meer te denken zoals cybercriminelen dat doen.

Mikko Hyppönen is de langstzittende werknemer van F-Secure. Als werknemer nummer 76 heeft hij de afgelopen jaren in veel functies bij de aanbieder van beveiligingsproducten en –diensten gewerkt. Onder meer als programmeur, als analist en als reverse engineer. Nu is hij als hoofd onderzoek (Chief Research Officer) ongeveer de helft van zijn tijd bezig met praktisch onderzoek. De andere helft besteedt hij aan het kweken van bewustzijn over de daadwerkelijke gevaren op het gebied van cybersecurity en probeert hij nepgevaren te ontkrachten.

Ingrijpende veranderingen

In de afgelopen 26 jaar zijn er op het gebied van security revolutionaire en ingrijpende veranderingen geweest. ”Het was een tijd zonder een wereldwijd internet. Malware ging rond op floppy disks. Een kwart eeuw later is er sprake van een andere wereld, met een massale technologieverschuiving.” 

De grootste verandering die volgens Hyppönen echter heeft plaatsgevonden, is waar de cyberaanvallen vandaan komen. “Vroeger had je hobbyisten, die grotendeels voor de eer actief waren. Tegenwoordig heb je partijen en groepen die er veel geld mee willen verdienen. Daarnaast zijn er cybercriminelen die werken voor overheden en militairen, met als doel om vitale infrastructuren te ontwrichten of politieke instabiliteit te veroorzaken. Dat is echt nog een veel grotere verandering dan de technologische ontwikkeling die deze groepen faciliteert.”

Verplaatsen in aanvallers

Het feit dat er veel meer diversiteit is in het soort aanvallers en de doelen van hun aanvallen, betekent ook dat IT-security-aanbieders veel meer diversiteit moeten aanbrengen in hun producten en diensten en zich beter moeten verplaatsen in niet alleen de gebruikers, maar ook de aanvallers. “Wie is er bijvoorbeeld geïnteresseerd in het stelen van data, waarom willen ze die gegevens stelen? Wat kunnen de gevolgen zijn voor de aangevallen organisatie? Dit maakt het bevechten van cybercriminelen zeer complex.”

Een probleem voor veel ondernemingen is dat zij nog veel gebruik maken van legacy software. Hierbij is er, zeker bij grotere ondernemingen met veel softwaresystemen en – toepassingen uit allerlei periodes, vaak sprake van langdurige updatecyclussen. Dat maakt deze ondernemingen kwetsbaar voor aanvallen, omdat er vaak achterdeurtjes – kwetsbaarheden – gebruikt worden die nog niet gepatcht zijn. Ransomware zoals WannaCry is daar bij uitstek een voorbeeld van.”

Ransomware uitzondering op de regel

Overigens, stelt Hyppönen, zijn ransomware-trojans de grote uitzondering bij malware. Zij kondigen namelijk aan dat een pc gegijzeld is. In de meeste gevallen willen cybercriminelen juist helemaal niet ontdekt worden. “Of het nou gaat om het stelen van bedrijfsgegevens of persoonsgegevens, om het virtueel inbreken bij banken, het creëren van een botnet, criminelen kondigen zichzelf niet aan. Ransomware is hier de grote uitzondering.”

Cyberaanvallen zoals ransomware en DDoS-aanvallen zijn volgens Hyppönen ook pas in de belangstelling komen te staan door de opkomst van virtueel geld zoals bitcoins, cryptomunten. Het is niet langer mogelijk om te volgen waarvoor door ransomware gegijzelde computers betaald geld heen gaat. Datzelfde betreft geld dat betaald moet worden om een DDoS-aanval te laten stoppen. Zowel ransomware kopen of maken is relatief eenvoudig geworden, of het huren van een botnet voor DDoS-aanvallen. Cybercriminaliteit is daarmee big business geworden voor criminelen. “Dit is ook heel anders dan het stelen van gegevens, waarvoor men meer geduld moet hebben en het succes onduidelijk is. Het zijn veel langere trajecten om aan geld te komen en daarmee minder interessant voor criminelen.”

In dit kader verwacht Hyppönen dan ook dat de in mei 2018 van kracht wordende GDPR (general data protection regulation), in Nederland de AVG, een prijsopdrijvend effect zal hebben op aanvallen van cybercriminelen. “Voor organisaties wordt het nog veel belangrijker om te voorkomen dat gegevens gestolen worden. Dat betekent meer investeren in IT-security, in verbetering van het bewustzijn van werknemers. Voor cybercriminelen betekent het dat gegevens van en voor potentiële slachtoffers waardevoller worden, dus dat ze meer geld kunnen vragen als zij kunnen dreigen met het stelen van gegevens.”

Smart is kwetsbaar

Hyppönen heeft een aantal publicaties op zijn naam staan over onderwerpen zoals smart cities en IoT en dan met name de kwetsbaarheden op security-gebied. “Alles dat ‘smart’ ervoor heeft staan, is verbonden meet internet en dus in theorie kwetsbaar. Elk device, elk apparaat met een chip en een sensor. Met het exponentieel groeiende aantal IoT-devices en sensors is er een nieuwe zwakke schakel aan het ontstaan, net zoals een aantal jaar geleden het geval was met mobiele devices. Vaste pc’s waren toen al redelijk beschermd als endpoint, maar mobiele devices niet. Daarmee konden cybercriminelen op het bedrijfsnetwerk komen. Nu zie je hetzelfde gebeuren met IoT-devices.”

Een belangrijke oorzaak is dat security niet vanaf het ontwerp bij veel IoT-gerelateerde devices ingebakken zit. Dat betekent dat het er later aan toegevoegd moet worden en dat is een extra stap waar niet elke IT’er aan denkt. “Als je het bijvoorbeeld hebt over een slimme lamp, dan ga je er als IT’er misschien niet aan denken om die lamp mee te nemen in de security-processen. Zo wordt zo’n lamp wel een potentieel kwetsbaar punt waarop cybercriminelen een netwerk kunnen binnendringen.”

Op zich is het niet onbegrijpelijk dat vendors security voor bijvoorbeeld een slimme afwasmachine geen prioriteit geven. Het zal in de winkel niet snel gebeuren dat een consument kijkt naar het niveau van security, of een slimme koelkast eenvoudig te hacken is. Die kijkt naar de prijs en dat weet een vendor. Die prijs zal hoger komen te liggen wanneer je er security aan toevoegt. Dus dat zal niet snel gebeuren.”

Terugkerende cyclus

Volgens Hyppönen is dat een cyclus die regelmatig terugkomt. Toen in de jaren ’50 van de vorige eeuw keukenapparatuur goedkoop genoeg werd om massaal ingang te vinden bij consumenten, was veiligheid een ondergeschoven kindje. Keukenapparatuur was dus goedkoop, maar niet veilig. Pas nadat er genoeg al dan niet dodelijke ongelukken waren geweest, bijvoorbeeld omdat mensen geëlektrocuteerd werden, kwamen er minimale veiligheidsstandaarden. Soms vrijwillig geadopteerd door de industrie, soms opgelegd door overheden.

“Nu weet je wanneer je een keukenapparaat koopt, dat het in principe veilig in het gebruik is. Dat is nog lang niet zover bij smart home-apparatuur. We staan hier pas aan het begin. Een slim koffiezetapparaat zal je niet meer elektrocuteren, maar het kan wel je WiFi-wachtwoord lekken. Dat betekent dat we regulering nodig zullen hebben om ook meer veiligheid te krijgen.” Natuurlijk, stelt Hyppönen, wil de industrie geen regulering. Dat kost geld. Vrijwillige certificering om te tonen dat je voldoet aan bepaalde standaarden is een alternatieve route. Maar uiteindelijk zal regulering onvermijdelijk zijn. “Technologie verandert, mensen niet. Daarom zullen we ook niet snel leren van fouten uit het verleden.”

Geen pessimist

Toch benadrukt Hyppönen dat hij geen pessimist is. Hij gelooft in de voordelen van de digitale vooruitgang. “Toen ik begon met werken, was er nog niet eens een local area network. Nu heeft iedereen met internet verbonden devices. En er komt een volgende revolutie aan: miljarden met internet verbonden devices. Ik geloof dat we daar veel profijt van zullen hebben. Niet alleen door meer efficiency, kostenbesparingen of nieuwe marktkansen, maar ook omdat we zo het leven van mensen kunnen verbeteren, bijvoorbeeld in achtergebleven gebieden. Zij krijgen nu kansen die ze nooit eerder hadden. Elke vernieuwing brengt gevaren met zich mee. Dat geldt net zo goed voor vernieuwingen op ICT-gebied. Maar uiteindelijk zullen de voordelen groter zijn dan de nadelen.”



tp:vandaag

Elke werkdag rond 10.00 uur verstuurt Telecompaper de gratis "tp:vandaag".

Meld u nu aan

Categorie├źn:
Landen:
::: voeg een reactie toe