Op 27 februari bracht SURF voor de vijfde keer haar Cyberdreigingsbeeld voor onderwijs- en onderzoeksinstellingen uit. Middels een survey en onderzoek van publieke bronnen heeft SURF gevraagd welke risicofactoren volgens de SURF-doelgroep het belangrijkste zijn, welke incidenten hebben plaatsgevonden en wat de weerbaarheid van de instellingen is.

Trends

In het rapport worden onder andere een aantal trends onderkend:

  • Hoewel cybercriminelen nog steeds succes hebben met beproefde en bewezen aanvalstechnieken, neemt de complexiteit van aanvallen steeds toe.
  • Gijzelingssoftware (ransomware) is de meest voorkomende vorm van kwaadaardige software; voor cybercriminelen is er in dat geval geen noodzaak om data te ontvreemden, zij zetten enkel in op het blokkeren van het gebruik van data en systemen. Belangrijkste reden waarom het vaak voorkomt: het is simpel in te zetten, weinig risicovol voor de aanvaller en blijkt erg effectief. Hoewel de exacte schade niet duidelijk is, nadert de geschatte schadesom door ransomware in 2017 5 miljard Amerikaanse dollar.
  • Cyberaanvallen kunnen eenvoudig worden uitgevoerd. Er is een levendige onlinehandel, waarin infrastructuur, hulpmiddelen en technieken voor het uitvoeren van aanvallen te- gen betaling worden aangeboden. Hierdoor is het, ook voor andere actoren dan bijvoor- beeld staten, relatief eenvoudig om een aanval uit te voeren. Dat leidt volgens het Nationaal Cyber Security Centrum tot intensivering van het dreigingsbeeld. Die aanvallen hebben een grote mate van willekeur, waardoor ze burgers en diverse andere (bedrijfs) sectoren treffen. De verwachting is dat de willekeur van aanvallen afneemt en aanvallen gerichter plaatsvinden, om winsten te optimaliseren.
  • Website defacements blijven zich voordoen, hoewel de impact van dergelijke aanvallen minimaal is.
  • Ransomware blijft een prominente dreiging, hoewel de groei lijkt af te nemen. Een nieuw verdienmodel voor criminelen, en daarom een mogelijke toekomstige dreiging, vormt ‘cryptojacking’, het misbruiken van bandbreedte en computerresources voor cryptomining die tot verstoring van ICT-voorzieningen kan leiden. Dit is volgens deskundigen wel afhankelijk van de koers van cryptomunten die recent gedaald is; een hogere koers maakt dit interessanter als verdienmodel.
  • Veel inbreuken gebeuren met gestolen credentials. Het vergaren van login informatie (credential-harvesting) vindt steeds vaker plaats in cloudapplicaties, die ook vaker gebruikt worden door instellingen.
  • Cyberactoren maken momenteel veelvuldig gebruik van e-mail als een instrument voor het verspreiden van kwaadaardige software of voor phishing doeleinden.
  • In bijna de helft van incidenten waarbij data is gestolen, wordt hacking als methode gebruikt

Motivatie

Over de motivatie van de actoren is SURF duidelijk:

  • Driekwart van inbraken wordt gepleegd voor financieel gewin. Dat betekent dat in feite alle gegevens waarover instellingen beschikken waarde hebben. Data zijn geld waard, dat is belangrijk om te beseffen.
  • De interesse in persoonsgegevens onder verschillende typen actoren is groot. Voor het verwerven van die gegevens worden cyberaanvallen uitgevoerd. De gegevens worden onder meer gebruikt voor creditcard en identiteitsfraude.
  • Binnen de sector onderwijs vinden aanvallen volgens het Data Breach Investigations Report van Verizon overwegend plaats vanuit financiële overwegingen (70%), gevolgd door spionage (20%) en plezier (11%). Het illustreert dat ook onderwijs- en kennisinstanties over gegevens beschikken van bijvoorbeeld medewerkers en studenten of onderzoekdatabases die financieel aantrekkelijk zijn voor cybercriminelen.
  • De meest voorkomende gegevens die worden gecompromitteerd zijn persoonsgegevens, gevolgd door betalingsgegevens en medische data.
  • Cyberaanvallen richten zich op instanties en personen die slecht beveiligd en voorbereid zijn. Doordat cyberaanvallen in een groot aantal gevallen vrij willekeurig plaats- vinden, kunnen zij iedereen raken. Dat maakt partijen die zich niet voorbereiden dan
    ook uitermate kwetsbaar.
  • Cyberaanvallen zijn en blijven een profijtelijke manier om specifieke (persoonlijke, economische of ideologische) doelen te realiseren. De impact en de opbrengst van cyberaanvallen groeit onder invloed van toenemende digitalisering.

Actoren

De actoren (daders) van cybercriminaliteit scheidt SURF in een aantal categorieën:

  • en ruime meerderheid van de digitale aanvallen (73%) wordt gepleegd door zogenaamde outsiders, zoals criminelen en staten. Bijna een derde van aanvallen wordt door insiders gepleegd. [24] Denk aan IT-administrators, tijdelijke werknemers en gebruikers die toegang tot gevoelige data hebben. De risico’s die hier een rol spelen zijn onder anderen datalekken door onachtzaamheid of nalatigheid en opzettelijk lekken van ge- gevens [25]. Hierbij geldt dat dit risico lastig is te detecteren en tegen te gaan, doordat insiders vaak legitiem toegang tot vertrouwelijke gegevens hebben. De ‘insider threat’ wordt vaak onderschat en is ook moeilijker te detecteren.
  • Vooral commerciële instellingen en overheidsinstanties zijn doelwit van statelijke actoren.
  • Naast criminelen en staten kunnen hacktivisten, cybervandalen en insiders zorgen voor verstoring van bedrijfsprocessen en diefstal van informatie.

Risicoperceptie

Bij het in kaart brengen van de risicoperceptie binnen de SURF doelgroep, heeft SURF onderscheid gemaakt tussen de drie kolommen onderwijs, onderzoek en bedrijfsvoering.

Voor onderwijs zijn de top 3 risico’s (op basis van de numerieke score):

  1. verstoring van ICT-voorzieningen (hoog)
  2. bewust beschadigen imago (hoog)
  3. identiteitsfraude/overname en misbruik van ICT-voorzieningen (middelhoog)

Voor onderzoek zijn de top 3 risico’s (op basis van de numerieke score):

  1. verkrijging en openbaarmaking data (hoog)
  2. beschadigen imago (middelhoog)
  3. manipulatie van digitaal opgeslagen data (middelhoog)

Voor bedrijfsvoering zijn de top 3 risico’s (op basis van de numerieke score):

  1. verstoring ICT-voorzieningen (middelhoog)
  2. overname en misbruik ICT-voorzieningen (middelhoog)
  3. identiteitsfraude (middelhoog)

Opvallend is dat in het rapport ook gesteld wordt dat de SURF-doelgroep regelmatig last heeft van cybercriminelen. “Dreigingen als verstoring van ICT-voorzieningen en verkrijging en openbaarmaking van data doen zich maandelijks voor.”