De traditionele criminaliteit loopt al jaren terug, maar cybercriminaliteit zit juist in de lift. Wat is cybercrime precies, welke vormen zijn er en wat is de impact op het bedrijfsleven? KPN Security beantwoordt vijf vragen over cybercriminaliteit in Nederland.
1. Wat is cybercriminaliteit?
Onder cybercriminaliteit verstaan we criminaliteit waarbij een computersysteem wordt aangevallen of wordt misbruikt voor criminele activiteiten. Er kan onderscheid gemaakt worden tussen:
Cybercriminaliteit in brede zin. Dit zijn alle strafbare handelingen waarbij iemand een computer of software gebruikt. ICT is in dit geval slechts een middel. Denk hierbij aan oplichting en afpersing via e-mail of negatieve uitingen op sociale media.
Cybercriminaliteit in enge zin. Hierbij fungeert de ICT niet alleen als middel, maar zijn de computers en systemen zelf ook een doelwit. Denk aan het stelen of gijzelen van bestanden, het verspreiden van computervirussen of het stilleggen of verstoren van systemen.
Tegenwoordig heeft criminaliteit steeds vaker een digitale component. Bij allerlei soorten misdrijven maken criminelen ook gebruik van computers en smartphones, bijvoorbeeld om informatie over een slachtoffer te verzamelen en onderling te communiceren. In dit artikel hanteren we de enge definitie: cybercriminaliteit waarbij de ICT zelf een doelwit is.
2. Welke soorten van cybercriminaliteit zijn er?
Er zijn tientallen verschillende vormen van cybercriminaliteit. We lichten vier voorbeelden uit:
Ransomware is schadelijke software die data op een computer versleutelt. Vervolgens eist de aanvaller losgeld, vaak in bitcoins of andere moeilijk traceerbare valuta. Beloofd wordt dat het slachtoffer na betaling weer toegang tot de bestanden krijgt, maar in de praktijk is dat niet altijd het geval. Ransomware is voor cybercriminelen steeds meer een businessmodel, met professionele voorzieningen zoals een helpdesk die de slachtoffers helpt de noodzakelijke betaling te doen. Ook wordt soms gedreigd gestolen informatie openbaar te maken indien het slachtoffer weigert te betalen.
Initieel was ransomware veelal gericht op particuliere gebruikers. We zien echter een duidelijke verschuiving naar het aanvallen van een volledig bedrijf. De gemiddelde opbrengst is voor de crimineel veel hoger, terwijl de extra tijdsinvestering beperkt is.
Phishing is een vorm van digitale oplichting waarbij de crimineel zich in elektronische berichten voordoet als iemand anders om inloggegevens of geld los te peuteren. Dat kan bijvoorbeeld een bank, leverancier of iemand in nood zijn. Gaat het om een gerichte aanval op een specifiek bedrijf of persoon, dan spreken we van spearphishing. Phishing wordt vaak gekoppeld aan een actueel onderwerp, waardoor de nieuwsgierigheid wordt getriggerd om te klikken op de link.
CEO-fraude is een vorm van digitale oplichting waarbij de crimineel zich voordoet als een hooggeplaatste medewerker. Uit naam van die persoon wordt bijvoorbeeld het verzoek gedaan om een bedrag over te maken. Vaak gebruikt de aanvaller hiervoor een nagebootst e-mailadres (e-mailspoofing). Om het verzoek authentieker te laten lijken wordt er vaak even meegekeken in conversaties zodat woord- en taalgebruik beter kunnen worden gekopieerd. Hierdoor is de kans om door de mand te vallen kleiner.
Bij een DDoS (Distributed Denial of Services)-aanval bestoken cybercriminelen een server met grote hoeveelheden dataverzoeken. Als gevolg hiervan zullen de systemen bezwijken. De websites en diensten die op deze servers draaien, zijn dan tijdelijk slecht of zelfs helemaal niet bereikbaar. Dergelijke aanvallen worden tegenwoordig als ‘dienst’ aangeboden op onder andere het darkweb. Hierdoor is geen technische kennis meer nodig om een DDoS-aanval uit te kunnen voeren. Na betaling van het afgesproken bedrag wordt dit voor de crimineel gedaan.
Dit is slechts een greep uit de verschillende aanvalstypen. Cybercriminelen zoeken continu naar zwakke plekken in ICT-systemen en -infrastructuren. Bovendien bewegen ze mee met de technologische ontwikkelingen, zoals de transitie naar de cloud. Criminelen proberen daar slim gebruik van te maken, bijvoorbeeld door nieuwe systemen aan te vallen waarin nog niet alle securityfacetten zijn geoptimaliseerd.
In het specifieke geval van de cloud is er vaak sprake van een grijs gebied tussen de gebruiker en de cloudprovider. Wie is nu waar verantwoordelijk voor? Dat moet vooraf heel helder zijn vastgelegd, aangezien de gebruiker in de basis nog steeds verantwoordelijk is voor de data in de cloud. Het blijven immers uw data.
Een ander voorbeeld van cybercriminaliteit is de opkomst van het Internet of Things (IoT). Van bedrijfsmiddelen tot consumentenproducten: steeds meer apparaten worden voorzien van connectiviteit. Denk hierbij bijvoorbeeld aan camera’s, deurbellen of babyfoons die gekoppeld zijn via het internet. Helaas zijn niet al die devices even goed beveiligd. Dit komt doordat het veelal goedkope apparatuur is waarbij de focus primair is gericht op de functionaliteit van het apparaat en niet op de veiligheid ervan.
Deze apparatuur komt met een standaard wachtwoord dat de gebruiker proactief moet veranderen. Criminelen scannen structureel het internet op zoek naar IoT-apparaten met standaard of zwakke wachtwoorden. Zij kunnen die devices bijvoorbeeld hacken voor bedrijfsspionage of -sabotage.
3. Wat is de impact van cybercriminaliteit?
Cybercriminaliteit heeft een enorme impact op de Nederlandse samenleving. In 2019 werd ongeveer een op de acht Nederlanders slachtoffer van een of meer cybercrimedelicten, meldt het Centraal Bureau voor de Statistiek. Ook voor het bedrijfsleven is cybercriminaliteit een groeiend probleem. De exacte schade is onbekend, maar een adviesbureau schatte de totale kosten voor Nederlandse bedrijven enkele jaren geleden op 10 miljard euro per jaar.
De totale schade van een cyberaanval verschilt per geval. De schade kan onder meer bestaan uit:
Directe financiële schade – cybercriminelen slagen er bijvoorbeeld via CEO-fraude in om een groot bedrag te stelen, of de organisatie betaalt losgeld na een ransomwarebesmetting. Reputatieschade – een geslaagde cyberaanval kan de dienstverlening aan klanten tijdelijk verstoren of het nieuws halen, waardoor de reputatie een deuk oploopt. Downtime – een deel van de bedrijfsvoering komt mogelijk stil te liggen doordat belangrijke systemen of gegevens niet beschikbaar zijn, bijvoorbeeld na een DDoS-aanval. Misgelopen omzet – downtime kan leiden tot misgelopen inkomsten, bijvoorbeeld als de website van een webwinkel offline gaat en klanten geen bestellingen kunnen doen. Gegevensverlies – gegevens kunnen verloren gaan, bijvoorbeeld als ransomware bestanden versleutelt waar geen actuele back-up van beschikbaar is. Boetes – in het geval van een ernstig datalek waarbij de beveiliging van persoonsgegevens niet op orde was, kan de Autoriteit Persoonsgegevens een boete opleggen Herstelschade – bij een incident wordt er vaak een beroep gedaan op specialisten om het e.e.a. te herstellen of de schade te beperken. De kosten hiervan kunnen een serieuze omvang hebben.
4. Welke organisaties lopen het meeste risico op cybercriminaliteit?
Er wordt vaak gedacht dat alleen grote bedrijven interessant zijn voor cybercriminelen. Bij hen is immers het meeste te halen, toch? Een hardnekkig misverstand. Uit onderzoek van Centraal Beheer blijkt dat maar liefst 30 procent van de Nederlandse mkb-ondernemingen in 2019 slachtoffer werd. Een verklaring is dat kleine en middelgrote bedrijven hun ICT-beveiliging vaak niet op orde hebben, ook omdat er minder budget is voor security. Het mkb vormt dus een makkelijke prooi.
Een andere misvatting is dat cybercriminaliteit vooral bepaalde branches raakt. In werkelijkheid loopt elke sector risico: van de gezondheidszorg, de overheid en het onderwijs tot de financiële sector, de retail en de maakindustrie. Zo betaalde de Universiteit Maastricht twee ton aan losgeld na een ransomwarebesmetting en legde het Medisch Centrum Leeuwarden het dataverkeer met de buitenwereld stil na een hackpoging.
Belangrijk is ook dat u zich afvraagt of u zelf een doelwit kunt zijn of dat u een positie heeft in een keten waardoor u een interessante springplank bent naar een hoger doel of informatie. Denk hierbij bijvoorbeeld aan toeleveranciers in de vliegtuigbouw.
5. Wat kunnen bedrijven doen om zich te beschermen?
Er is helaas geen wondermiddel tegen cybercriminaliteit. Wel kunnen organisaties een set aan maatregelen treffen die de weerbaarheid tegen cybercrime vergroten en de impact van incidenten beperken. Enkele voorbeelden van effectieve securitymaatregelen:
Securitymonitoring geeft inzicht in de status van systemen en zorgt ervoor dat bedreigingen worden gedetecteerd. Er zijn verschillende vormen, zoals periodiek met behulp van scans of 24/7-monitoring door specialisten.
Goede back-ups zijn een belangrijk wapen in de strijd tegen ransomware. Een actuele back-up van bedrijfskritische bestanden voorkomt dat een bedrijf na een besmetting overgeleverd is aan de cybercriminelen. De 3-2-1-methode is hierbij wel cruciaal: minimaal drie actuele back-ups op twee verschillende locaties waarvan er minimaal één offline bewaard moet worden.
Een Anti-DDoS-dienst biedt bescherming tegen DDoS-aanvallen. Door doorlopend netwerkverkeersstromen te meten en monitoren, worden aanvallen snel gesignaleerd en wordt kwaadaardig verkeer geblokkeerd.
Security-awarenesstrainingen informeren medewerkers over de risico’s rondom cybercriminaliteit en trainen hen in gevaarherkenning, zodat zij de eerste verdedigingslinie tegen cyberaanvallen vormen. Het gaat hierbij niet om een eenmalige investering maar een structureel en continu awarenessprogramma dat leunt op diverse componenten om het voor de medewerkers verrassend te houden. Ook het onderdeel ‘wat te doen als ik een cybersecurityincident heb’ dient hier een prominente plaats te krijgen.
Een Security Rating-rapport geeft inzicht in de specifieke risico’s die een organisatie loopt. Dit rapport vormt een goede basis voor het selecteren van de securitymaatregelen met de hoogste prioriteit. Het kan ook gebruikt worden als een leidraad voor de komende jaren zodat de organisatie investeringen kan plannen. Dit voorkomt verrassingen.
Het dreigingslandschap verandert continu. Een netwerk dat vandaag goed beveiligd is, zal morgen wellicht alweer kwetsbaar zijn. Cybersecurity is dus een proces van constante optimalisatie: plannen, uitvoeren, meten en verbeteren. Dit wordt ook wel de PDCA (Plan, Do, Check, Act)-cyclus genoemd.
Wat is cybercriminaliteit heeft u hier boven kunnen lezen. Wilt u meer weten over de basisprincipes van cybercriminaliteit en cybersecurity dan vindt u hier in dit artikel meer informatie over.
