Zo is de tijd dat een cybercrimineel onopgemerkt binnen een organisatie zijn gang kan gaan weliswaar afgenomen naar gemiddeld 146 dagen (tegenover 204 dagen in 2014). Daarentegen is het aantal organisaties dat slachtoffer is geworden van een cyberaanval fors toegenomen, namelijk met een stijging van 15% ten opzichte van 2015. Als we de lijst met slachtoffers van cybercrime bekijken, is het aantal organisaties waarvan we mogen verwachten hier voldoende tegen geëquipeerd zijn schrikbarend. Een bijna naïeve vraag die opspeelt is: hoe is dit mogelijk? Nemen organisaties de cyberdreiging onvoldoende serieus? Of is het antwoord toch complexer?

In oktober 2015 werd de financiële wereld geraakt door de Carbanak-groep. Niet enkel de buit was indrukwekkend, een bedrag tussen 300 miljoen en 1 miljard dollar, maar ook de omvang van de aanval, namelijk zeker 100 financiële dienstverleners verspreid over zo’n 30 landen. De hele operatie heeft drie jaar geduurd. In vele opzichten, maar zeker op organisatorisch gebied, een hoogstandje. De Carbanak-aanval heeft hiermee een nieuwe standaard gezet als het gaat om georganiseerde cybermisdaad. Wanneer we deze aanval als voorbeeld nemen, zien we de volgende vijf oorzaken:

1 Cyberbewustzijn

Ondanks de inzet van een grote hoeveelheid awareness-campagnes, blijft het effect ervan toch laag. Te veel medewerkers reageren nog altijd positief op phishingmails. Zelfs mensen die werkzaam zijn in de IT, waarvan verwacht mag worden dat zij minstens over voldoende cyberkennis beschikken, geven een positieve opvolging aan het criminele verzoek. Het gevolg hiervan is dat de crimineel toegang krijgt tot het interne netwerk van de organisatie. Infiltratie is dan een feit. Zoals eerder genoemd, hebben ze vervolgens gemiddeld 146 dagen de tijd om uit te zoeken waar zich de heilige graal van een organisatie bevindt en hoe er gebruik, of beter gezegd misbruik, van gemaakt kan worden. De Carbanak-aanval begon met een gerichte phishing-aanval, waarop meerdere medewerkers positief reageerden. Minstens één van deze slachtoffers had voldoende rechten om de criminelen onbewust ‘toegang’ te geven tot het interne domein.

2 Aanpassingsvermogen

De IT-klok tikt steeds sneller. Of het nu gaat om adoptie van nieuwe technologieën of het up-to-date houden van haar eigen IT-middelen, veel organisaties hebben niet of nauwelijks meer het vermogen om zich telkens weer aan te passen. Dit komt pijnlijk tot uiting binnen het patchproces dat voor vele organisaties nog altijd een worsteling is. Het belang van gedegen patchen wordt nog steeds zwaar onderschat. Kijkend naar de Carbanak-casus, zien we dat kwetsbaarheden van wel twee jaar oud misbruikt zijn. De slachtoffers liepen dus zeker twee jaar achter. Dit lage aanpassingsvermogen wordt door verschillende factoren veroorzaakt, zoals de toegenomen complexiteit door integratie van IT-diensten van derden of de omvangrijkheid van de totale IT-huishouding, waardoor onderhoud te kostbaar is geworden.

3 Traditioneel handel- en denkvermogen

Door veroudering van het IT-personeel wordt er te lang vastgehouden aan traditionele gewoontes. Afscherming richt zich nog te vaak enkel op de omgeving in plaats van de informatie. Oude en onveilige communicatieprotocollen, zoals Telnet, worden nog vaak gebruikt. Er wordt ‘baseline’ gedacht, in plaats van risicobewust te handelen. De totale inrichting, de processen en gebruikte mechanismen rond security waren prima voor de 20ste eeuw, maar absoluut onvoldoende voor het heden. Oude gewoontes combineren met nieuwe technologieën kan desastreus zijn.

4 Professionele cybercriminaliteit

Cybercriminaliteit is inmiddels volwassen geworden, maar we hebben moeite dit in te zien. Zo zet het Security bedrijf Kaspersky de groep die verantwoordelijk is voor de Carbanak-aanval nog denigrerend weg als ‘gang’. Als we echter kijken naar de totale Carbanak-operatie zullen we toch moeten toegeven dat we hier te maken hebben met een zeer goed georganiseerde en professionele organisatie. Geld en resources zullen niet langer de beperkende factor zijn.

5 Overschatting eigen securitymaatregelen en onderschatting van de dark force

Veel organisaties hebben een groot vertrouwen in de securitymaatregelen en gaan er van uit dat een dergelijke cyberaanval hen niet kan overkomen. Echter bestaat er geen ‘silver bullit’. Alle maatregelen ten spijt, ze gaan allemaal uit van het bekende en hebben geen oog voor het (nog) onbekende. Kijkend naar de Carbanak-aanval: wie van de financiële dienstverleners heeft zich nu daadwerkelijk afgevraagd of een dergelijke aanval ook hun had kunnen overkomen? Een duidelijk voorbeeld van een ver-van-mijn-bed houding.


Deze blog is geschreven door Ramses Sloeserwij, security specialist bij Motiv en verscheen eerder op: https://www.securitymanagement.nl/vijf-redenen-waarom-cyberaanvallen-slagen.