Op veel technologielijstjes komt een toenemende aandacht voor informatiebeveiliging voor als belangrijke ontwikkeling. Als we op dit onderwerp inzoomen dan zou op basis van verschillende publicaties het volgende overzicht van zes belangrijke ontwikkelingen kunnen worden samengesteld.

1. Staten zullen meer interveniëren.

De komende tijd zullen natiestaten zich meer roeren in cyberspace. Niet alleen worden meer speciale eenheden opgetuigd die kunnen worden ingezet bij een digitale aanval. Ook zal getracht worden de wetgeving meer in lijn te brengen met wat staten noodzakelijk vinden voor de nationale veiligheid. Dit is niet alleen gericht op andere staten maar ook op de eigen burgers.

Zo werd nog onlangs in het Verenigd Koninkrijk het zogenaamde Snooper Charter aangenomen. Onder deze wet moet alle internet- en mobiele data voor twaalf maanden worden bewaard en kunnen de opsporingsdiensten hier ongevraagd een ‘sleepnet’ doorhalen waarin ze naar hartenlust kunnen grasduinen. In 2017 zal een soortgelijke wet ook aan de Nederlands Tweede Kamer worden voorgelegd alhoewel er hier veel protesten zijn.

Uiteindelijk zal dit alles leiden tot een afname van de digitale vrijheden voor burgers en bedrijven en een toenemende regeldruk bij bedrijven en organisaties.

Tegelijkertijd wordt verwacht dat de overheid en de industrie meer gaan samenwerken, alhoewel de meeste bedrijven binnen de informatiebeveiliging niet staan te trappelen als een natiestaat vraagt om bijvoorbeeld een zogenaamde backdoor in te bouwen.

De komende tijd zullen we te maken krijgen met natiestaten die andere natiestaten zullen aanvallen. De oorlogsvoering verschuift naar het digitale terrein. Niet alleen in het kader van (bedrijfs-)spionage, denk aan de hack van ASML enige tijd geleden. Ook voor beïnvloeding van de burgers met (valse) informatie zullen natiestaten zich meer gaan roeren. De recente inmenging in de Amerikaanse presidentsverkiezingen door buitenlandse mogendheden is hier een voorbeeld van.

Vanzelfsprekend zullen ook terroristen hun werkveld meer richting de virtuele wereld verschuiven. In dat kader wordt voorzien dat binnen niet afzienbare tijd een zeer impactvolle digitale aanslag zal plaats vinden. Omdat de virtuele wereld zich niets aantrekt van landsgrenzen, zullen natiestaten gedwongen worden nauwer samen te gaan werken om zich te beschermen tegen deze vorm van terrorisme.

2. Internet of Things brengt enorme veiligheidsrisico’s met zich mee

Met de opkomst van het Internet of Things (IoT) nemen ook de beveiligingsrisico’s enorm toe. In een wereld waarin alles is verbonden met het internet zijn deze ‘things’ een vanzelfsprekend doelwit van kwaadwillenden. Bij een recente DDoS aanval werd een botnet gebruikt dat uit een groot aantal IoT-apparaten zoals webcams, routers en streaming media-apparaten bestond. Deze apparaten zijn perfecte bots.

Ten eerste: veel van deze apparaten zijn ontworpen voor consumenten waarbij gebruikersgemak essentieel is. Hierdoor wordt in veel gevallen weinig of geen beveiliging toegepast. Daarnaast zijn de gebruikers van deze apparaten meer divers en zich onvoldoende bewust van risico’s op het gebied van informatiebeveiliging.

Eenmaal gecompromitteerd, kunnen apparaten lang onzichtbaar blijven omdat de inbreuk moeilijk te detecteren is vanwege de beperkte interactie van de gebruiker (de zogenaamde ‘screen-less’ apparaten).

Aangezien de hoeveelheid van IoT-apparaten drastisch zal toenemen en het aantal computers en mobiele telefoons zal overtreffen, zullen we een toenemende impact van deze apparaten in beveiligingsincidenten te zien. Hackers zoeken naar unieke mogelijkheden om deze apparaten om te zetten in financieel gewin.

De snelle opname van ‘bring-your-own-device’ (BYOD), en de invoering van draagbare technologieën op de werkplek, zal de vraag naar mobiele apps voor werk en thuis vergroten. Ook hier wordt een trend zichtbaar: steeds meer voor consumenten gemaakte IoT-devices worden opgenomen in bedrijfsnetwerken. Deze ‘shadow-it’ valt vaak buiten het blikveld van de beheerders, maar zorgen wel voor een nieuw aanvalsoppervlak.

Om aan de stijgende vraag te voldoen, zullen ontwikkelaars (die vaak werken onder zware druk en flinterdunne winstmarges) veiligheid en grondig testen veronachtzamen ten gunste van de snelheid van levering en lage kosten. Dit zal resulteren in een slechte kwaliteit van producten die daardoor dus makkelijker kunnen worden gekaapt door criminelen.

Organisaties moeten bereid zijn om de steeds complexere IoT te omhelzen en te begrijpen wat het betekent voor hun informatiebeveiligingsbeleid. Het simpel tegenhouden van deze ontwikkeling zal geen optie zijn.

3. Big Data leidt tot grote beveiligingsproblemen.

Organisaties maken steeds meer gebruik van Big Data. Maar aangezien de menselijke hand een elementair onderdeel is van een Big Data-analyse, is daarmee ook gezegd dat we kritisch moeten zijn op de conclusies van deze analyses. De menselijke beperkingen en slechte integriteit van (basis) gegevens kunnen tot verkeerde analyses leiden en dus tot verkeerde businessbeslissingen met gemiste kansen, merk schade en gederfde winst tot gevolg.

De wereld van het panopticum en Kafka lijkt niet ver van ons verwijderd te zijn, voorzichtigheid is geboden. Een groot probleem is niet zozeer het stelen van informatie als wel de oncontroleerbare manipulatie van gegevens. Zeker in een wereld waarin Big Data-bronnen eenvoudig aan elkaar worden gekoppeld en veel technologie gebaseerd is op Open Source, dient veel aandacht besteed te worden aan de vaststelling van de integriteit van basisgegevens en controle op de juiste werking van de software. De gebruikte clusters om de data op te slaan zullen in veel gevallen ‘buiten de deur’ staan, wat weer een extra beveiligingsrisico met zich meebrengt. Zeker als er onvoldoende zicht is op de architectuur van het cluster,

Niet voor niets is er een bekend gezegde: ‘Je hebt leugens, grote leugens en statistiek’.

4. Toename van ransomware

Programma’s die een computer blokkeren en vervolgens van de gebruiker geld vragen om de computer weer te ‘bevrijden’ zullen in 2017 vaker verschijnen. Ransomware zal een zeer belangrijke bedreiging blijven. Informatiebeveiligers zullen hun handen vol hebben aan ontwikkelingen als ‘Ransomeware-as-a-service’ en creatieve ‘derivaten’ van open-source ransomware.

Het succes van bijvoorbeeld ‘cryptolocker’ heeft inmiddels kleinere criminele groepen geïnspireerd die met minder geavanceerde malware de markt betreden. Ook deze groepen hebben plezier van de cloud: het is voor hen goedkoop om geavanceerde systemen te gebruiken om een grote hoeveelheid doelwitten te bestoken.

Waarschijnlijk zullen initiatieven als NO-MORE-RANSOM en nieuwe technologieën om ransomware te mitigeren in de tweede helft van 2017 tot een afname van de aantallen aanvallen leiden. Ook zal de samenwerking tussen industrie en opsporingsdiensten tot succesvolle tegenacties kunnen leiden. Daarnaast zetten systeembeheerders gelukkig steeds vaker oplossingen in die ransomware de pas af snijden, denk aan het activeren van AppLocker of het blokkeren van macro’s in Office documenten.

Ondertussen zullen alle organisaties een actief beleid moeten voeren om haar medewerkers goed voor te lichten. Ook zullen ze extra geld dienen te besteden aan monitoring van mogelijke ransomware die het netwerkt penetreert. Hierin zullen we in 2017 belangrijke stijging zien, simpelweg omdat te veel organisaties aangevallen worden.

5. Meer en zeer geavanceerde aanvallen op hardware en firmware

Software (incl. het OS) gaan ervan uit dat hardware op een juiste manier werkt. Maar kwetsbaarheden in de hardware kunnen uiteindelijk de hele software-stack ondermijnen zonder dat er een ‘exploit’ nodig is die een kwetsbaarheid in de software misbruikt. Patching werkt dan niet zonder vervanging van de hardware. Veel securitymaatregelen zijn op software gebaseerd, maar kan in het geval van corrupte hardware eigenlijk niet worden vertrouwd.

In de afgelopen jaren zijn er kwetsbaarheden gevonden in microprocessoren en DRAM technologie. Stuxnet is een ander voorbeeld van software die ontwikkeld is om bepaalde hardware uit te schakelen, of anders te laten functioneren. Gelukkig is het aantal aanvallen op hardware nog relatief beperkt en zijn het aantal (bekende) kwetsbaarheden nog te overzien.

Firmware (software die in hardware is in geprogrammeerd om bijvoorbeeld de hardware te initialiseren) wordt daarnaast meer en meer een target. USB-sticks, Solid State Drives en zelfs elektrische voedingen hebben vaak hun eigen firmware. Deze firmware heeft in veel gevallen de volledige controle over de hardware. Maar een firmware is uiteindelijk gewoon software. En dus kunnen de bekende kwetsbaarheden in software in het algemeen ook hier worden voorkomen met dien verstande dat het over het algemeen veel minder is beschermd.

Researchers hebben inmiddels veel kwetsbaarheden gevonden in USB sticks, netwerkkaarten, gsm modems, IP telefoons, batterijen , keyboard controllers enz. Aanvallen die worden ingezet voor het ‘booten’ kunnen ervoor zorgen dat er backdoors of wormen op het systeem worden geplaatst, die laten kunnen worden misbruikt.

Door landen gesponsorde hackers, teams voor industriële spionage en georganiseerde criminaliteit zijn bijzonder geïnteresseerd in aanvallen op hard –en firmware. Alhoewel het best lastig is om een aanval uit te voeren, vaak heb je fysieke toegang nodig tot het apparaat, is de impact van een succesvolle aanval enorm. Verwacht wordt dat er meer aanvallen zullen plaats gaan vinden waarbij met name ook gevirtualiseerde omgevingen extra kwetsbaar zijn. De beveiligingsindustrie zal met technologie komen die verder ook meer zicht krijgt op hard –en firmware en verder gaat dan de gebruikelijke software stack.

6. Toenemend gebruik van dreigingsanalyses en dreigingsinformatie

De toenemende dreiging in het digitale veld vergroot de noodzaak tot geavanceerde analyses en real-time informatie over bedreigingen. We zullen immers de ontwikkelingen willen volgen om de risico’s in de hand te houden en adequaat te kunnen reageren. Er zullen nieuwe initiatieven worden ontplooid om dreigingsinformatie snel te delen.

Tegelijkertijd stelt dit informatiebeveiligers voor een nieuwe uitdaging. Meer data leidt niet per se tot nieuwe informatie. Het analyseren van steeds meer databronnen zal veel tijd vergen, de daarmee gemoeide kosten zijn voor veel bedrijven niet te dragen. Ook zullen er meer organisaties zijn die zich afvragen of de investeringen opwegen tegen de te mogelijk schade bij een incident. Er zal een toenemende vraag komen naar systemen die op basis van een beperkt aantal bronnen informatie aanbieden waar een informatiebeveiliger direct wat mee kan.

De combinatie van anamnese en ‘real-time situational awareness’ van een nieuwe of unieke cyberdreigingen maakt het mogelijk om te bepalen of het een geïsoleerde gebeurtenissen betreft of dat het een onderdeel uitmaakt van een op grotere schaal uitgevoerde cyber-aanval. Organisaties zullen meer inspanningen moeten doen op dit vlak om adequaat te kunnen reageren op incidenten.


John T. Knieriem is oprichter en ex-eigenaar en ex-algemeen directeur van hostingprovider Intermax. Sinds kort is hij non-executive bij een spin-off van Intermax: informatiebeveiliging bedrijf Guardian360. In het verleden was hij blogger bij Dutchcowboys en ISPAM.nl en schreef hij op onregelmatige tijdstippen opinieartikelen over de gevolgen van ICT-ontwikkelingen en wetgeving voor de landelijke media. Deze bijdrage werd ook gepubliceerd op http://www.emerce.nl/opinie/dit-trends-informatiebeveiliging-2017.