'Nieuws over cybercrime is topje van ijsberg'
De berichten die in de media over cybercrime verschijnen zijn slechts een topje van de ijsberg, zo beweert het hoofd van de Britse inlichtingendienst GCHQ (Government Communications Headquarters). Hoewel de media vaker over cybercrime en cyberaanvallen rapporteren, wordt nog steeds geen goed beeld van de werkelijke omvang weergegeven, aldus Sir Iain Lobban.
"De incidenten die ik in de media zie verschijnen zijn slechts een momentopname van wat er werkelijk gebeurt. Elke dag, elk uur, elke minuut en elke seconde wordt er in cyberspace gestreden", laat Lobban in een artikel op de website van het GCHQ weten.
Gateway
De eigen systemen die in de inlichtingendienst inzet zouden een veel completer beeld van cybercrime geven. Zo zouden gerichte aanvallen, maar ook per ongeluk geïnfecteerde computers bij overheidsinstanties, voor grote problemen zorgen. Gemiddeld zou de gateway voor het 'Government Secure Intranet' 33.000 schadelijke e-mails per maand blokkeren.
Deze e-mails bevatten 'geraffineerde malware', vaak verstuurd door geavanceerde cybercriminelen of door groepen die door een staat gesteund worden, schrijft Lobban in het artikel. Daarnaast zou er ook een grote hoeveelheid minder verfijnde malware en spam elke maand worden gestopt.
Advies
"Daarom staat cybersecurity bovenaan mijn agenda, om de Britse nationale en economische veiligheid te beschermen." Het artikel is meer dan alleen retoriek, Lobban beschrijft ook 10 stappen voor een betere beveiliging, zoals het bevorderen van een riskmanagementcultuur, het patchen van systemen, het beschermen van interne IP-adressen en het verminderen van gebruikersrechten.
Ook komt het gebruik van Bring Your Own Device en thuiswerken aan bod, alsmede het omgaan met verwijderbare media, netwerkmonitoring, malware en het afhandelen van incidenten.
Volstrekt onverwacht en totaal niet voorspelbaar.
En dat strijden? Wie dat doen? Wie zaten er ookalweer achter stuxnet? Nou?
Maar wat heeft oorlogje spelen met de gewone man van doen? Wilden ze nou echt zeggen dat we die maar noodzakelijkerwijs moeten opofferen zodat overheidsverbonden elementen nog effectiever oorlogje kunenn spelen? Prioriteiten, mensen, prioriteiten. En een klein beetje perspectief graag. Nee, dat is niet hetzelfde als onder elke golf een ijsberg menen te zien. Maar dat laatste is veel lucratiever en beter voor je eigen baanzekerheid, dusse... die keuze is snel gemaakt. So much for protecting the people.
Dus bovenstaande reacties zijn wat mij betreft erg flauw. Dit is een waarschuwing die je serieus mag nemen en vooral wij hier in NL want we zijn hier nog veeel en veeel te naief in het bedrijfleven als het om beveiliging van onze kennis gaat.
Dat hebben ze in de UK niet nodig hoor, daar weten ze dit soort instanties op waarde in te schatten. Het is schandalig als je ziet waar Nederlandse overheid en diensten het mee moeten doen. En wel lekker janken met z'n allen als we niet kunnen pinnen of iDeal niet werkt. ;-)
Oh was ik maar een ambtenaar/
Dan had ik voor elke vraag een regeltje klaar/
En kon ik lekker voor het raam wegzakken/
En hoefde nooit meer aan te pakken/
Doen de Amerikanen overigens ook. En dat terwijl ze gewoon al bijvoorbeeld alle telefoongesprekken opslaan, ongevraagd en zonder wet die zegt dat dat mag. Dat was tussen de regels door zichtbaar na "Boston".
Wisten ze op tijd wat er ging gebeuren? Nou nee. Kunnen ze zelfs maar zelf wat met die enorme stroom van "intelligence" rapporten die ~1200 overheidsinstanties en ~1900 private bedrijven genereren? Ook al niet. Verreweg het meeste blijft ongelezen. En dat is alleen nog maar "terrorisme" gerelateerd. Nog even flink doorhuilen en er is ook zo'n industrieel complex dat hetzelfde doet voor "cybercriminaliteit".
Niet voor niets dat Bruce Schneier zegt dat maar meer data verzamelen ergens geen zin meer heeft (http://edition.cnn.com/2013/05/02/opinion/schneier-boston-bombing/index.html, iets wat ik hier eerder heb gepost maar waar de Redactie toen geen brood van lustte).
Met simpelweg meer geld naar dit soort tenten komen we er niet. Er moet structureel iets veranderen in de manier waarop we computers en computernetwerken gebruiken. Dat los je ook niet op met het maar weer opdissen van wat "best of breed best current industry practice".
Als Security zo hoog in het vaandel staat bij deze specialisten waarom dan niet overstappen naar een OS als Linux of BSD. Hang hier een private repository aan waar alleen geaudite programma's inkomen en doe dagelijkse updates. Ambtenaren kunnen geen software meer installeren en het aantal effectieve virussen wordt beperkt. Een aanval op het systeem zou dan een gerichte aanval moeten zijn.
Het probleem is dat Ambtenaren afhankelijk zijn van Microsoft Office, het goede nieuws is dat Office binnenkort naar ubuntu komt. Dus ik zie geen reden om niet over te stappen, scheelt een strot aan licentiekosten en de waait eindelijk een frisse wind op de MS DOS afdelingen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
