Bedrijven en overheden moeten meer informatie over cyberaanvallen delen, anders wordt het lastig om door staten gesponsorde hackers af te slaan, aldus David Burg van PWC. Burg is het hoofd van 'forensic technology solutions' en verzorgt tijdens de Infosecurity beurs op 3 en 4 november in Utrecht de keynote over ontwikkelingen en trends in cybercrime. Hij verdeelt de grote aanvallen die vandaag de dag plaatsvinden in twee categorieën. De eerste categorie zijn zeer gerichte aanvallen op financiële dienstverleners, zoals banken. Tijdens de keynote gaat Burg dieper in op een hack bij een grote Amerikaanse instelling die vorig jaar plaatsvond.
Aanvallers wisten binnen dertig uur zo'n tien miljoen dollar op te nemen. De aanval begon met SQL-injectie, waardoor de aanvallers toegang tot het netwerk kregen. "Via zeer geavanceerde encryptie hardware wisten ze pinbloknummers van geldautomaten te reverse engineeren, en gebruikten die om pinpassen te klonen en via katvangers wereldwijd geld op te nemen." Volgens Burg is dit incident niet uniek en vinden er wereldwijd honderden soortgelijke aanvallen plaats. "Georganiseerd door dezelfde groep aanvallers." De PWC topman gaat vooral in op de technische aspecten van de aanval, welke code er werd gebruikt en toegepaste technieken.
Staatshackers
Het tweede deel van Burg zijn keynote gaat over aanvallen door staatshackers, die het zowel op Amerikaanse als internationale bedrijven hebben voorzien en vanuit economische motieven opereren. Hij gaat met name in op een aanval op een elektriciteitsbedrijf, maar wil niet zeggen wie erachter de aanval zit, vanwege de gevoeligheid van het onderzoek. "De aanvallers zochten informatie waardoor de Chinese energie-industrie wist waar een grote Amerikaanse energiemaatschappij wilde investeren." Het gaat niet om het ontregelen van de bedrijfsvoering, maar het geven van een economisch voordeel op de lange termijn aan concurrenten.
"Dit is geen FUD. Dit zijn strategische problemen die de bedrijfsvoering van elke organisatie kunnen ontregelen. Ook de bedrijfstop moet daarom het belang van beveiliging inzien en actief op de dreigingen en uitgaven inspelen." Burg benadrukt dat bedrijven security niet als een vervelende uitgave moeten zien.
De beveiligingstopman denkt niet dat staatshackers en aanvallers van financiële instellingen informatie uitwisselen of samenwerken. Binnen deze groepen wordt wel informatie gedeeld. Het gaat dan om de georganiseerde misdaad die informatie, tools en mensen uitwisselt. Bij staatshackers spreekt Burg van een 'methodologische machine'. "Bij de landen ligt de focus niet op de korte termijn, maar gaat het om langdurige strategisch campagnes waar jaren een zelfs decennia in worden geïnvesteerd." Volgens Burg vinden deze aanvallen niet alleen in de VS plaats, maar ook in Nederland. "Het gebeurt wereldwijd."
De vraag blijft wie er achter de aanvallen zit. China, Iran en Noord-Korea noemt Burg 'Bad Actors', "In werkelijkheid is het veel breder. Zonder twijfel zijn alle G8-landen betrokken, en zelfs kleine landen zoals Israël hebben hun eigen versie van hacken en aanvallen in de cyberoorlog die plaatsvindt. "
Als het gaat om aanvallen door landen is het lastig voor bedrijven om dit te voorkomen. "Maar dat betekent niet dat we bepaalde informatie niet moeten proberen te beschermen. Niets doen is onacceptabel. Iets slims doen is wat we adviseren." De eerste stap in dit proces is bewustzijn, aldus Burg. Een andere stap is de samenwerking met de overheid, iets wat al in de VS gebeurt.
Immuunsysteem
Daarnaast moeten bedrijven ook meer informatie over aanvallen delen. Doordat veel organisaties hun mond houden, kunnen aanvallers vaak meerdere keren met dezelfde aanval toeslaan. Burg vindt in dit opzicht Google een goed voorbeeld, doordat de zoekgigant begin dit jaar bekende door vermoedelijk Chinese hackers gehackt te zijn. "In plaats van stilte moet er een internationaal immuunsysteem komen, dat leert van eerder uitgevoerde aanvallen." Het is echter de vraag of bedrijven verplicht moeten worden om alle aanvallen te rapporteren. "Het voordeel van een meldplicht is het toegenomen bewustzijn, toegenomen publieke bewustzijn van aanvallen en heeft daarvoor meer bedrijven aangespoord om in informatiebeveiliging te investeren."
Toch lopen zelfs bedrijven met de best mogelijke beveiliging het risico om gehackt te worden. "Je moet daarbij het strafelement van een meldplicht afwegen tegen het feit dat iedereen te hacken is. Bij bedrijven die veel in beveiliging investeren, maar toch gehackt worden, vindt Burg het niet terecht dat ze via 'naming en shaming' gestraft worden.
Wil je meer informatie over het programma of je gratis aanmelden voor de beurs, ga dan naar Infosecurity.nl.
Deze posting is gelocked. Reageren is niet meer mogelijk.