Waarom u eigenlijk helemaal niets merkt van cybercrime

Waarom u eigenlijk helemaal niets merkt van cybercrime

DearBytesBlogWaarom u eigenlijk helemaal niets merkt van cybercrime

vrijdag 5 juni 2015

Wanneer ik met klanten praat, krijg ik regelmatig te horen dat ze inmiddels wat murw geslagen zijn door alle nieuwsberichten over digitale dreigingen. Je kunt geen website meer aanklikken of er wordt melding gemaakt hoe ernstig we met zijn allen bedreigd worden. “Iedereen wordt uiteindelijk een keer slachtoffer”, “de hackers zitten al lang bij u binnen, en u heeft niets door”, de alarmbellen rinkelen onafgebroken.

De andere kant van dit verhaal is minder spannend. Veel bedrijven horen deze geluiden nu al jarenlang en hebben eigenlijk nooit enig probleem ervaren. Als die indringers dan inderdaad al een eeuwigheid binnen zijn, dan hebben ze in ieder geval geen merkbare schade veroorzaakt. Een constatering waar weinig tegen in te brengen valt.

https://xkcd.com/932/

https://xkcd.com/932/

Natuurlijk zijn er de bekende voorbeelden van de mega-hacks (hallo Sony) en iedereen snapt de gevolgen hiervan. Zij lijken echter in de praktijk toch vooral een ver-van-mijn-bed-show. Dit alles leidt tot de vraag: is het eigenlijk wel zo’n groot probleem dat er ongewenste gasten binnen mijn netwerk rondhangen? Rechtvaardigt deze dreiging de investering die gedaan moet worden om ze buiten de deur te houden?

Om die vragen te beantwoorden, moet er gekeken worden naar de achterliggende reden dat er relatief weinig schade lijkt te zijn. Deze roemruchte indringers hangen klaarblijkelijk een groot deel van de tijd gewoon maar wat rond, zonder problemen te veroorzaken.

Een eerste verklaring hiervoor ligt hem in het feit dat een hoop aanvallers helemaal niet zo ‘advanced’ zijn. Het leeuwendeel van de inbraken wordt uitgevoerd door opportunistische figuren die gebruik maken van cybercrime-as-a-service, denk aan exploit kits. De makers van deze kits zijn pas de echte knappe koppen. Zij verdienen momenteel hun geld vrij eenvoudig en zeer succesvol met de verkoop van hun werk aan die mindere goden. Totdat dat niet meer bevredigt en ze hun zinnen verzetten richting spionage en gerichte datadiefstal natuurlijk.

Daarnaast wijst de praktijk uit dat een aanzienlijk deel van deze hackers worstelt met het te gelde maken van een goed uitgevoerde hack. Het is één ding om de technische vaardigheden of middelen te hebben om in een complex netwerk te breken, het is iets anders om het zakelijk inzicht te hebben in te schatten welke informatie daadwerkelijk van waarde is.

Zelfs de kleinste bedrijven zitten inmiddels op een berg aan data. Doorgaans is deze data niet opgeslagen onder de naam “kroonjuweel.docx” en dus vergt het kennis van zaken van de desbetreffende organisatie om te snappen wat nu precies waardevol is.

Een voorbeeld

dossier top secretNeem een advocatenkantoor dat voor een beursgenoteerde client bezig is met een gevoelige overname. Alleen al het feit dat hier aan gewerkt wordt, is informatie die van grote waarde kan zijn op de beurs. Het is echter lang niet eenvoudig voor een buitenstaander om in de oneindige stapel aan dossiers nu juist deze kennis op te doen. Hiervoor is inhoudelijke kennis van zaken nodig: je moet weten welke documenten belangrijk zijn en herkennen wat waarde heeft.

Net zo goed als de gemiddelde advocaat geen verstand heeft van de laatste veiligheidslekken, heeft een doorsnee hacker weinig kaas gegeten van fusies en overnames.

Het botweg wegsluizen van terabytes aan data is niet afdoende, dit valt te snel op. Daarnaast vergt dat nog steeds experts om de data te analyseren, wat wel jaren kan duren. Kijk maar eens naar de Snowden onthullingen en Wikileaks: inmiddels ruim twee jaar oud en nog steeds popt er met regelmaat nieuws op.

Wanneer een hacker met een duidelijke instructie van een vakinhoudelijk expert op pad zou worden gestuurd, zou hij veel beter in staat zijn hoofdzaken van bijzaken te onderscheiden. Hij kan dan efficiënt en doelgericht zijn buit maken. Zodra deze personen elkaar eenvoudig weten te vinden ligt er een wereld aan nieuwe mogelijkheden open

Waar wil ik nu eigenlijk naar toe met dit betoog?

Wat ik probeer duidelijk te maken, is dat we nog niets hebben gezien. Op dit moment lukt het kwaadwillenden niet (voldoende) om technische kennis te koppelen aan business intelligence. We ervaren nog geen schade, omdat men niet weet wat van waarde is. Het is als die inbreker die in het Rijksmuseum geen Rembrandt van een folder weet te onderscheiden. Hij kan niet het hele museum leegroven en maakt dus vooralsnog maar helemaal geen keuze. Het is slechts een kwestie van tijd totdat hij in contact komt met een kunstkenner die hem precies weet aan te wijzen waar de Nachtwacht hangt.

Op dat moment zal blijken dat de dreiging al die tijd niet onterecht is geweest.