Wat je moet weten over cybercrime

Dagelijks ontvangen veel mensen nepmails, nepverzoeken, en links naar nepwebsites. Waar traditionele vormen van criminaliteit afnemen, laat cybercriminaliteit de afgelopen jaren juist een stijging zien en kan één klik op de knop duizenden slachtoffers tot gevolg hebben. 

 

De angst online wordt vooral veroorzaakt doordat deze vorm van criminaliteit ‘gewoon’ op de eigen smartphone of computer binnenkomt en niet altijd direct te herkennen is. Zo heeft tweederde van alle Nederlanders hier weleens mee te maken gehad. Dit is niet verwonderlijk, cybercrime neemt steeds professionelere vormen aan. 

Dat geldt ook voor de vormen van cybercriminaliteit waarbij computers het doelwit zijn: Ddos-aanvallen waarbij organisaties en bedrijven worden platgelegd, ransomware waardoor organisaties en bedrijven niet meer bij hun eigen gegevens kunnen. Criminelen dreigen dat alleen als er betaald wordt, de gebruiker  weer toegang tot de eigen gegevens krijgt. 

Door ‘the internet of things’, waarbij zelfs de stofzuiger via de mobiele telefoon wordt aangestuurd, zijn er thuis en op het werk steeds meer potentiële kwetsbaarheden te vinden. 

 

Er zijn verschillende soorten van cybercrime, deze zetten we op een rijtje:

 

(A) Phishing

Hierbij wordt een mail gestuurd met het verzoek om op een bepaald linkje te klikken. Je wordt dan doorgestuurd naar een echte lijkende website, hier wordt om je inloggegevens gevraagd. Deze inloggegevens kunnen dan door cybercriminelen worden gebruikt om toegang te krijgen.

 

(B) Ransomware

Er zijn drie verschillende manieren waarop criminelen dit aanpakken. (1) Soms worden mailtjes rond gestuurd met het verzoek om op een link te klikken, hierdoor wordt de ransomsoftware geïnstalleerd. (2) Soms wordt een link gestuurd waarbij er om inloggegevens wordt gevraagd zodat de crimineel toegang tot het netwerk kan krijgen om zo in alle rust de ransowsoftware kunnen uitrollen. (3) Soms wordt gebruikt van gaten in de beveiliging waardoor criminelen via de achterdeur toegang tot netwerken verkrijgen. Vervolgens kunnen de criminelen vertrouwelijke data verzamelen en losgeld eisen om deze data niet te publiceren of bestanden versleutelen zodat ze niet meer toegankelijk zijn en een sleutel verkopen om de versleutelde bestanden weer toegankelijk te maken. De betalingen moeten vaak in bitcoins gebeuren die niet te traceren zijn. Het is overigens nog maar de vraag of de criminelen de sleutel ter beschikking gaan stellen.

 

(C) Datalek

Hierbij worden persoonlijke gegevens gestolen, bijvoorbeeld gegevens van klanten. Denk hierbij aan NAW-gevens, BSN-nummer, bankgegevens, inloggegevens of zelfs medische informatie. Deze diefstal kan via ransomsoftware gepleegd worden maar ook via een USB -stick of PC die achtergelaten is of PC's die onbeheerd in een kantoor staat. Allereerst is het zeer vervelend voor de personen van wie de informatie op straat komt te liggen. Het is ook vervelend voor de organisaties van wie de data gestolen wordt, zij moeten toegeven dat hun beveiliging niet op orde was en dat beschadigt het vertrouwen. Daarnaast lopen ze een risico dat ze een boete opgelegd krijgen van de Autoriteit Persoonsgegevens, deze kan oplopen tot 4de omzet met een maximum van 20 miljoen.

(D) DDos-aanval

Hierbij sturen criminelen ontzettend veel verkeer naar een bepaalde website. De webserver kan zo'n aantal niet afhandelen en zal "plat" gaan. De website is dan niet bereikbaar worden. Er kan geen informatie gedeeld worden of online transacties worden afgehandeld met het gevolg dat er geen goede dienstverlening gegeven wordt en de omzet daalt of zelfs nul wordt.

 

 

Cybercriminelen richten zich op een breed scala aan potentiële slachtoffers en hanteren hierbij verschillende strategieën. Deze zetten we op een rijtje:

 

(A) Particulieren

Hierbij kunnen cybercriminelen proberen toegang verkrijgen tot bankgegevens en bestanden. Nadat ze toegang hebben tot de bank hebben gekregen kunnen ze rekeningen leeg halen en wanneer ze toegang hebben tot bestanden kunnen ze deze versleutelen. De schade is vaak beperkt en te overzien, de gemiddelde particulier heeft een beperkt banksaldo en hoewel foto's dierbaar zijn kan er besloten worden om toch niet te betalen, zeker omdat het onzeker is of de sleutel daadwerkelijk ter beschikking zal worden gesteld. Bij particulieren zal het vaak om phisihing of ransomsoftware gaan die in grote getalen wordt rond gestuurd.

(B) MKB

Hierbij kunnen cybercriminelen proberen toegang te verkrijgen tot bankgegevens, bestanden en klantdata. Nadat ze toegang hebben tot de bank hebben gekregen kunnen ze rekeningen leeg halen, wanneer ze toegang hebben tot bestanden kunnen ze deze versleutelen en wanneer ze toegang krijgen tot klantdata kunnen ze deze gebruiken om zo meer slachtoffers te creëren of dreigen deze gegevens te delen. Deze schade is aanzienlijk omdat de financiële middelen zeer beperkt zijn, de bestanden niet meer bruikbaar en het openbaar raken van klantgegevens ongewenst is en zelfs een aanzienlijke boete kan opleveren. Bij het MKB zal het vaak om phisihing of ransomsoftware gaan die in grote getalen wordt rond gestuurd.

 

(C) Groot bedrijf

Hierbij kunnen cybercriminelen proberen toegang te verkrijgen tot bestanden en klantdata. Nadat ze toegang hebben tot de bestanden kunnen ze deze versleutelen en wanner ze toegang krijgen tot klantdata kunnen ze deze gebruiken om zo meer slachtoffers te creëren of dreigen deze gegevens te delen. Criminelen richten zich hierbij niet direct op de bank en zullen vaak in alle rust het netwerk in kaart brengen. Door gericht bestanden te versleutelen komt de organisatie vaak tot geheel of gedeeltelijk stilstand. Deze schade is zeer aanzienlijk omdat de bestanden niet meer bruikbaar en het openbaar raken van klantgegevens ongewenst is en zelfs een aanzienlijke boete kan opleveren. Bij het Groot bedrijf zal het vaak om phishing of ransomsoftware gaan die gericht wordt rond gestuurd.

 

(D) Cloudprividers

Hierbij kunnen cybercriminelen proberen toegang te verkrijgen tot bestanden en klantdata. Nadat ze toegang hebben tot de bestanden kunnen ze deze versleutelen en wanner ze toegang krijgen tot klantdata kunnen ze deze gebruiken om zo meer slachtoffers te creëren of dreigen deze gegevens te delen. Criminelen richten zich hierbij niet direct op de bank en zullen vaak in alle rust het netwerk in kaart brengen. Door gericht bestanden te versleutelen komt de organisatie vaak tot geheel of gedeeltelijk stilstand. Deze schade is zeer aanzienlijk omdat de bestanden niet meer bruikbaar en het openbaar raken van klantgegevens ongewenst is en zelfs een aanzienlijke boete kan opleveren. Bij Cloudproviders zal het vaak om phishing of ransomsoftware gaan die gericht wordt rond gestuurd.

 

 

Omdat voorkomen beter is dan genezen is het belangrijk om vooraf goed na te denken over beveiliging van eigen PC, netwerk maar ook organisatie. Deze zetten we op een rijtje:

 

(A) Technische maatregelen

Hierbij moet gedacht worden aan een scala van maatregelen. (1) Goede beveiligingssoftware die virussen scant maar ook ransomaanvallen kan herkennen. (2) Het gebruik van sterke wachtwoorden en twee-factor-authenticatie. (3) Tijdig instaleren van software updates om zo de kans op misbruik van van zwakheden te voorkomen. (4) Regelmatig draaien van back-ups, denk hierbij aan dagelijkse back-ups, aar wekelijkse en maandelijkse. Houdt er rekening mee dat criminelen al langere tijd actief zijn, software geïnstalleerd hebben die ook al in de back-up wordt meegenomen. Last but not least zorg ervoor ook een offline back-up te hebben.

 

(B) Organisatorische maatregelen

Vaak blijkt de mens de zwakke schakel, ook hier is een scala van maatregelen beschikbaar. (1) De eerste zeer belangrijke stap is om bewust zijn te creëren. (2) Om afspraken te maken dat medewerkers geen PC's of USB-sticks onbeheerd achterlaten. (3) Dat medewerkers de juiste wachtwoorden kiezen. (4) En dat medewerkers bewust en alert zijn wanneer ze op linkjes klikken. Sowieso van mailtjes van onbekende afzenders, maar ook bij bekende afzenders bij bepaalde transacties toch de afzender en de link controleren.

 

De realiteit leert dat geen enkel bedrijf zich 100% veilig kan wanen. Het is niet de vraag of je gehacked wordt, maar wanneer dat gebeurd. Wat moet je doen wanneer dit gebeurd:

 

(A) Inzicht in eigen processen

Breng de bedrijfsprocessen in kaart en kijk oe de automatisering geregeld is. Welke processen zijn kritisch en hoe zijn de software en de data beschermd en hoe is de back-up geregeld. Bepaal of dit voldoende is of dat er actie noodzakelijk is.

 

(B) Houdt het hoofd koel

Een hack kan uiteraard heel dramatisch uitpakken. Door kordaat optreden kan deze schade beperkt beperkt worden. Directe actie is noodzakelijk. Heb je net op een link geklikt en twijfel je of stel je vast dat er bestanden versleuteld zijn, zet dan direct de PC uit, breng de server tot stilstand. 

 

(C) Calamiteiten plan

Als er een calamiteitenplan is is het nu tijd om dit te voorschijn te halen. Heb je het niet dan is het belangrijk om iemand met expertise erbij te halen om zo de automatisering zo goed mogelijk op gang te brengen.

 

(D) Doe aangifte

Hoewel het de schade niet zal verkleinen en de kans op een oplossing niet veel groter maakt is het belangrijk om aangifte te doen. Hoewel de politie geen ict-deskundigen zijn is een aangifte soms nodig voor afhandeling en helpt het wel om de omvang van deze criminaliteit in kaart te brengen. De politie kan verbanden leggen en eventueel doorverwijzen nar andere instanties, bijvoorbeeld beschikbare sleutels om data weer toegankelijk te maken.

 

(E) Verzekering

Steeds meer organisaties bieden een verzekering tegen cybercriminaliteit. De verzekering is niet alleen om eventuele schade te dekken mar geeft in bepaalde situaties ook toegang tot een helpdesk die kan adviseren.

 

In het voorgaande stuk is al aangegeven dat het goed is om cybercriminaliteit en de oplossing daarvan meer planmatig aan te pakken. Het volgende framework kan gebruikt worden voor een dergelijk plan:

 

1. Alarmeringsplan

2. Te nemen noodmaatregelen

3. Communicatieplan

4. Overzicht van hardware en software toepassingen

5. Overzicht van IP-adressen, VPN - en servertoegang

6. Contactinformatie van belangrijke partijen (IT-ers, verzekeraar)

7. Gebruikerslijsten met telefoonnummers

8. Herstel plannen voor elke afdeling (of applicatie)