Een genuanceerde visie op cybercrime
Nieuwe perspectieven vragen om actie kpmg.nl
2 | Nieuwe perspectieven vragen om actie
Contents Voorwoord 3 Samenvatting 4 Inleiding 7 De context: een verschuivend perspectief Wat is cybercrime? Een veranderend perspectief op de verdediging tegen cybercriminelen Verschuivende redenen voor cyberaanval Van scriptkiddie naar criminele groepering Van aparte organisatie naar ketens
8 8 8 10 10 11
Onze visie op de belangrijkste bevindingen Cybercrime is geen tijdelijk fenomeen Bewustzijn vraagt om voortdurende inspanning De sleutel: inzicht in motieven Technische gebieden die risico lopen Kunnen we de uitdaging aan? Optimaal budget Financiële dienstverlening uitgelicht Overheid uitgelicht Consumenten/industriële markten uitgelicht
13 13 13 13 14 14 15 16 16 16
Wat staat organisaties te doen: een analyse Belangrijke maatregelen
18 18
Oproep tot actie Wat kunt u doen? Neem actie op korte termijn, plan maatregelen op lange termijn
23 23 23
Dankwoord 26
© 2012 KPMG Advisory N.V.
Nieuwe perspectieven vragen om actie | 3
Voorwoord Tegenwoordig is cybercrime dagelijks in het nieuws. Meer en meer incidenten vinden plaats en het beeld tekent zich af dat cybercrime een prominente rol zal blijven spelen in onze maatschappij. Buitenlandse overheden proberen samen levingen te ontregelen, te spioneren en gevoelige informatie te stelen, terwijl idealisten zich wagen aan cybercrime vanwege activistische ideeën. Weer anderen breken digitaal in om geld of intellectueel eigendom te verkrijgen. Wacht ons een ramp? Of ligt het werkelijke beeld genuanceerder? Hoe gaan we om met cybercrime? Hoe staan mensen en beleidsbepalers tegenover cybercrime, en wat kunt u op dit moment doen om cybercrime tegen te gaan? In dit whitepaper beantwoorden wij de meest prangende vragen en geven we een genuanceerd per spectief op het omgaan met cybercrime. Hiertoe hebben we een enquête uitgezet en interviews gehouden met verschillende invloedrijke personen uit het werkveld. Vanuit een strategisch oogpunt geven we adviezen over hoe cybercrime te voor komen, vanuit de optiek van preventie, detectie en respons. KPMG assisteert bij het beveiligen van onze samenleving. Inzake cybercrime richten wij ons op het verklaren van de angst voor het onbekende en het geven van een duidelijk en genuanceerd overzicht op basis van feiten en aantallen. Niet omdat wij denken dat cybercrime een hype is, , want dat is het niet, maar om een achtergrond te geven bij de oorlogsverhalen in de nieuwsbladen en om te laten zien dat het ondernemen van gerichte acties om cybercrime te voorkomen, perspectief biedt. We hopen dat u dit whitepaper met plezier leest en zien er naar uit om met u uw vragen en issues te bespreken.
Gerben Schreurs Partner
John Hermans Partner
© 2012 KPMG Advisory N.V.
Peter Kornelisse Director
4 | Nieuwe perspectieven vragen om actie
Samenvatting Data vertegenwoordigen een hoge waarde; iedereen kan voor minder dan 100 euro kwaadaardige software aanschaffen en aan de slag gaan als cybercrimineel. Publieke en particuliere organisaties zijn sterk van elkaar afhankelijk in een sterk genetwerkte samenleving die nieuwe kwetsbaarheden met zich meebrengt. Criminelen over de hele wereld weten elkaar via internettechnologie te vinden in ongrijpbare netwerken; en ze zijn niet alleen geïnteresseerd in geld, ze willen ook vitale processen verstoren. Deze giftige cocktail van ingrediënten maakt cybercrime tot een lastige uitdaging voor organisaties. Zij moeten zich wapenen tegen de risico’s van cybercrime. Want er staat wat op het spel. Er is echter geen reden voor paniek. Op basis van de uitkomsten van een enquête en onze eigen ervaringen kunnen we een aantal belangrijke boodschappen formuleren: 1. Cybercrime is geen tijdelijk fenomeen. Van de geënquê teerden verwacht 80% dat het niet gaat om een hype maar om een permanente uitdaging. Cybercrime is al lang niet meer het terrein van amateurs: de aanvallen komen ook vanuit de georganiseerde misdaad. Daarbij gaat het niet alleen om geld, maar ook om spionage en verstoring van belangrijke processen (en daarmee van ondernemingen en/of publieke diensten).
2. Er is sprake van twee ‘leagues’ in cybercrime. In de ‘junior league’ gaat het om een vervelende dreiging maar richt deze zich niet op vitale functies van een organisatie. Het gaat criminelen hoofdzakelijk op het stelen van geld van kwetsbare organisaties en soms willen ze ook alleen maar laten zien wat ze allemaal kunnen. De ‘major league’ omvat vooral grote ondernemingen en overheden, die zich geconfronteerd zien met digitale spionage of de onderbreking van vitale processen. De strijd in deze league vraagt om samenwerking en uitwisseling van kennis van organisaties in de publieke en particuliere sector. Ook het goed monitoren en analyseren van data(patronen) is hier extreem belangrijk. 3. ‘If you think safety is expensive, try an accident.’ Dit bekende motto is zeker van toepassing op cybercrime. Wie op de verkeerde zaken bezuinigt in de informatie-
© 2012 KPMG Advisory N.V.
Nieuwe perspectieven vragen om actie | 5
beveiliging, kan dan ook bedrogen uitkomen. De basis voor begrotingsbeslissingen moet liggen in een grondige analyse van bezittingen en waarden die de organisatie wil beschermen en daarnaast in een analyse van de aard van de cybercrimedreiging van buitenaf. 4. Een organisatie kan heel anders tegen de waarde van bezittingen aankijken dan een crimineel. Het is dus belangrijk de waarde van bezittingen te bekijken vanuit het perspectief van zowel de organisatie als dat van de crimineel. In dat opzicht moeten we ons ook realiseren dat het bedrijfsleven en de technologie zich in (informatie)ketens hebben ontwikkeld en dat organisaties dus mede afhankelijk zijn van elkaars beveiliging. 5. Effectieve beveiliging tegen cybercrime vraagt om een combinatie van korte termijn maatregelen en een goede beheersing op lange termijn. Op de korte termijn gaat het om het analyseren van risico’s vanuit het perspectief van de organisatie én de crimineel (preventie), het signaleren, analyseren en monitoren van de belangrijk ste bezittingen (detectie) en het opzetten van een organi satie die incidenten direct oppakt (respons). Op de lange termijn gaat het om een kosteneffectieve beheersing van de cyberomgeving en de aanpak van drie samenhangende domeinen: mensen, processen en technologie.
6. Honderd procent beveiliging is een illusie. Dat geldt voor de zowel de junior als de major league. Uit de enquête komt naar voren dat 45% van de ondervraagden in 2011 te maken heeft gekregen met aanvallen van cybercriminelen. Van de respondenten was bovendien 55% er niet zeker van of ze wel effectief op zo’n aanval konden reageren. De IT-omgeving in de moderne organisatie is tegenwoordig vaak te complex om dergelijke incidenten te voorkomen. Het doel is dan ook vooral te voorkomen dat een aanval uit de hand loopt. De focus ligt op het beschermen van de belangrijkste bezittingen en het zekerstellen dat er mechanismen zijn waarmee men goed en snel op incidenten kan reageren. 7. De ‘tone at the top’ is zeer belangrijk. Wat de bedrijf stop zegt en doet is bepalend voor de manier waarop de organisatie met cybercrime omgaat, zo meldt 49% van de ondervraagde organisaties. Wanneer de leiding doet wat zij zegt (bijvoorbeeld door te staan op een goede beveiliging van de eigen mobiel en tablet) heeft dat een sterke invloed op de rest van de organisatie. Een bedrijfsleiding die niet het goede voorbeeld geeft, loopt het risico dat de rest van de organisatie zich ook minder aantrekt van beveiligings standaarden.
© 2012 KPMG Advisory N.V.
6 | Nieuwe perspectieven vragen om actie
© 2012 KPMG Advisory N.V.
Nieuwe perspectieven vragen om actie | 7
Inleiding Cybercrime is en blijft voor veel organisaties een lastige uitdaging. Onze dagelijkse praktijk laat zien dat de aanvallen toenemen in aantal en ernst. We zijn er dan ook van overtuigd geraakt dat we op een nieuwe manier naar informatiebeveiliging moeten kijken. De ‘oude’ manier is om de zwakke plekken in de bescherming van kostbare activa op te sporen en deze vervolgens te repareren. Dit is echter een weinig effectieve manier om voorbereid te zijn op nieuwere vormen van cybercrime. We moeten dan ook vanuit een ander perspectief naar cybercrime gaan kijken. Het onderwerp verdient ook meer nuance. In veel gevallen worden inci denten breed uitgemeten in de media. Hierdoor ontstaat een beeld van schier onverslaanbare cybercriminelen en onveilige systemen. De werkelijkheid is een stuk minder zwart-wit. Honderd procent veiligheid is een illusie, maar de risico’s zijn wel degelijk beheersbaar. Cybercriminelen zijn geen onoverwin nelijke genieën en het ontbreekt over heden en ondernemingen zeker niet aan kennis om cybercrime te bestrijden. De beeldvorming bij het grote publiek
moet dan ook veranderen en de door ons gehouden interviews sterken ons in dit beeld. Dit is de achtergrond bij het whitepaper dat hier voor u ligt. We gaan in op de uitdagingen waar organisaties voor staan om aanvallen van cybercri minelen te voorkomen, op te sporen en daar snel op te reageren (preventie, detectie en respons). Dit vraagt om maatregelen in drie samenhangende domeinen: mensen, processen en technologie.
Fig. 1: Respons per sector
Financiële dienstverlening Consumenten/industriële markten
% 40
Professionele dienstverlening
37,4
Overheden
30
Infrastructuur Gezondheid
20
10
Energie en grondstoffen 14,0
12,9 9,9
Communicatie/entertainment Farmaceutische industrie
8,8 5,3
0
Op de KPMG-enquête over cybercrime hebben we ruim 170 reacties gekregen van Chief Information Officers (CIO’s), Chief Information Security Officers (CISO’s) of professionals in verwante functies in Nederland. Van de deelne mende organisaties heeft ruim 75% meer dan 1000 medewerkers in dienst. De sector financiële dienstverlening wordt vertegenwoordigd door 37% van de ondervraagden, gevolgd door consumenten/industriële markten (13%), professionele dienstverlening (10%) en de overheid (9%).
4,7
3,5
2,9
0,6
© 2012 KPMG Advisory N.V.
Overig
8 | Nieuwe perspectieven vragen om actie
De context: een verschuivend perspectief Wat is cybercrime? Cybercrime is het geheel van illegale digitale activiteiten die zijn gericht op een organisatie. De term cybercrime omvat een ware wildgroei van doelen en aanvalsmethoden. Een goed begrip van de aard van deze aanvallen is essentieel voor effectief verweer tegen cybercrime. Er is sprake van twee ‘leagues’ in cybercrime. In de ‘junior league’ is de dreiging vervelend maar is er geen sprake van aanvallen op vitale functies. Criminelen richten zich hoofdzakelijk op het stelen van geld van kwetsbare organisaties en willen soms ook alleen maar laten zien wat ze allemaal kunnen. In de ‘major league’ gaat het vooral om grote ondernemingen en overheden, die zich geconfronteerd zien met digitale spionage of de verstoring van vitale processen. In deze league is samen werking en uitwisseling van kennis van organisaties in de publieke en particu liere sector van het allerhoogste belang. Elke organisatie kan het slachtoffer worden van cybercrime, groot of klein. Het leeuwendeel van de incidenten komt nooit in de media terecht en is dus niet bekend bij het grote publiek.
Amerikaanse beursgenoteerde onder nemingen zijn echter wettelijk verplicht om incidenten aan de autoriteiten te melden. De verwachting is dat dit in de nabije toekomst in de Europese Unie eveneens het geval zal zijn. Aanvalsmethoden variëren van puur technologisch (bijvoorbeeld hacking) tot methoden die inspelen op menselijke zwakheden (phishing). De zogenoemde Advanced Persistent Threat (APT) is een combinatie van dit soort technieken in een aanval op grote, bekende organisa ties. Bij een APT houdt de aanval niet op als de aanvaller de verdedigingsme chanismen heeft weten te doorbreken. Sterker nog, de aanvaller wacht het juiste moment af en dringt steeds die per de systemen van de organisatie binnen. Overheden maken zich in toenemende mate zorgen over cybercrime. Dat heeft onder andere te maken met de ontwik keling dat het bij cybercrime niet meer alleen gaat om geld maar ook om het verstoren van vitale processen of spio nage. De Nederlandse overheid heeft onlangs gewezen op de ernstige risico’s die met cybercrime gemoeid zijn en
1
Boodschap Ministerie van Veiligheid en Justitie, Cybersecuritybeeld, december 2011. Te vinden op http://www.nctb.nl/Images/geschoonde-versie-kamerbrief-cybersecurity-in-mr_tcm91-397529.pdf. © 2012 KPMG Advisory N.V.
Fig. 2: Zaken die interessant zijn voor een aanvaller Zaken die interessant zijn voor een aanvaller Financiële dienstverlening • Internetbankieren en brokerage Olie/energie en industrie • Procesbeheersingsnetwerken Grote ondernemingen • Waardevolle informatie, bv.: - Intellectueel eigendom - Fusies en overnames Overheden • Staatsgeheimen • Identiteitsfraude
onderstreept het belang daarvan door platforms voor kennisuitwisseling in te richten.1 Een veranderend perspectief op de verdediging tegen cybercriminelen De ‘klassieke’ en meest gangbare aanpak van informatiebeveiliging kwam vaak neer op het signaleren van belang rijke informatiebezittingen, de zwakke plekken in de beveiligingsmaatregelen in kaart brengen en deze verhelpen. In deze benadering is amper ruimte voor een analyse van het perspectief en de doelstellingen van de aanvaller. In veel gevallen had men alleen maar abstracte ideeën over het perspectief van een aanvaller en diens vaardigheden, mid delen en motivatie. Organisaties hebben dan ook vaak slechts een vaag idee van de potentiële waarde van de informatiebezittingen voor een cybercrimineel.
Nieuwe perspectieven vragen om actie | 9
Interview expert: Eelco Stofbergen
“Cybercrime: het spel is veranderd” Eelco Stofbergen, Manager Expertise & Advies National Cyber Security Centrum “ICT heeft zich ontwikkeld tot een zeer krachtig medium in de handen van velen en is van essentieel belang voor het dagelijks leven in de samenleving als geheel. Het gebruik van ICT is echter nog relatief nieuw en ook de bescherming van het gebruik van ICT is nog niet volledig tot wasdom gekomen. Het National Cyber Security Centrum (NCSC) wil daar verandering in brengen en vervult daar een belangrijke rol in. Het centrum zal halfjaarlijks een Cyber Security Assessment publiceren van de recente ontwikkelingen in cybercrime en de gevolgen daarvan voor overheid en bedrijfsleven. Iedere partij heeft een eigen puzzelstukje van de kennis en expertise in zijn bezit, het is aan het NCSC om de puzzelstukjes te verzamelen, de puzzel compleet te maken en op die manier inzicht te bieden in de gezamenlijke tactische en operationele expertise bij overheid en bedrijven. Op die manier draagt het National Cyber Security Centre bij aan een duidelijker begrip van de bedreigingen en ontwikkelingen van cybercrime. En dat is weer goed voor een effectieve beheersing van de risico’s. De laatste jaren is sprake van een groeiende publieke belangstelling voor het onderwerp cybercrime. Dat heeft ongetwijfeld te maken met een aantal spraakmakende incidenten. De voortdurende problema tiek waarvoor financiële instellingen staan, is daar natuurlijk een van, maar ook Diginotar en de Stuxnetaanval op Iran springen in het oog. Op basis van de berichtgeving zou je bijna denken dat cybercrime ineens is losgebarsten en dat criminelen de overhand hebben. De werkelijkheid ligt echter iets genuanceer der. Cybercrime is er al jaren en wordt alleen maar steeds professioneler. Criminelen beschikken over de financiële middelen om intelligente methoden te ontwikkelen en hebben het geduld om te wachten op wat ze nodig hebben. Beveiligingsbeheerders ICT hebben ondertussen geïnvesteerd in de juiste verdedigingsen bewakingsstrategieën en zijn daardoor nu ook slimmer en beter toegerust. Cyberveiligheid is nooit volledig te garanderen: beveiliging draait vooral om het beheersen van de risico’s en het invoeren van toereikende responsstrategieën. Het bijeenbrengen van de kennis en expertise van overheid, bedrijfsleven, de wetenschap en internationale contacten leidt ertoe dat een steeds beter beeld ontstaat van de mogelijke dreigingen in het digitale domein. We kunnen een onderscheid maken tussen verschillende geledingen cybercrime, variërend van relatief eenvoudige digitale ongeregeldheden van scriptkiddies die graag willen laten zien wat ze kunnen tot complexe, langdurige activiteiten gericht op digitale spionage en sabotage, met veelal grote ondernemingen en overheid als doelwit. Aandacht op C-level is belangrijk. Ondernemingen moeten zich goed (laten) informeren over (de aard van) mogelijke bedreigingen en investeren in een goede bescherming. Dat moeten ze niet afzonderlijk doen, maar met gebruikmaking van de kennis en ervaring van collega’s in zowel de particuliere als publieke sector. Een gezamenlijk antwoord is onontbeerlijk voor bescherming tegen cyberspionage, cyberterreur, cybercrime en de verstoring van ICT-systemen.”
© 2012 KPMG Advisory N.V.
10 | Nieuwe perspectieven vragen om actie
Een modernere benadering van cyber veiligheid begint met het analyseren van risico’s vanuit het perspectief van de crimineel. Nu de cybercrimineel zich ontwikkelt van scriptkiddie naar geor ganiseerde misdaad en spionage moet ook de focus van organisaties verande ren, omdat hierdoor andere bezittingen relevant kunnen worden. Weten wat de crimineel beweegt, is daarom extreem belangrijk voor een goede bescherming tegen, opsporing van en respons op cybercrime. Verschuivende redenen voor cyberaanval Bij de opkomst van cybercrime ging het aanvankelijk vaak om aanvallen die voor de lol werden gedaan, voor eenmalig financieel gewin of omdat iemand wilde laten zien wat hij allemaal kon. Bij de ge organiseerde cybermisdaad van nu gaat het om zorgvuldig geplande aanvallen. De motivatie van deze nieuwe cybercri minelen schuilt vaak ook in activisme of digitale spionage. Deze nieuwe vormen van cybercrime hebben de volledige
aandacht van overheden in de hele wereld. Het effect van cybercrime mag niet worden onderschat. Organisaties rich ten zich van oudsher vaak op het risico van verstoring van de bedrijfsvoering en productieprocessen. Tegenwoordig worden ook andere soorten verlies steeds belangrijker: • Geld – Financiële verliezen variëren van het vervangen van een monitor tot miljoenen euro’s. • Informatie over intellectueel eigen dom – Toegang tot bedrijfsgeheimen kan de octrooirechten van een onder neming schaden of concurrenten een aanzienlijk voordeel geven bij onder handelingen. De snellere lancering van een geneesmiddel dat nog door de European Medicines Agency moet worden goedgekeurd, kan miljoe nen euro’s aan gederfde inkomsten betekenen.
Fig. 3: Aanvalsmethode
40
%
Gecompromitteerde webapplicaties
30 28,7
Besmetting met malware
23,3
20
14,7
Phishing
16,7
10
11,3 5,3
0
Social engineering Onbekend Overig
© 2012 KPMG Advisory N.V.
• Klantgegevens – Het lekken van per soonlijke informatie van consumen ten kan leiden tot ernstige merk- en reputatieschade, claims, schendingen van de privacy van personen en andere aansprakelijkheidskwesties. • Rol van partijen in de keten – Een organisatie die wordt aangevallen hoeft niet zelf het doelwit te zijn, maar kan ook worden gebruikt als middel om een andere organisatie in de keten binnen te dringen. • Identiteitsdiefstal – Identiteitsfraude kan voor diverse oplichtingsdoelein den worden gebruikt. Van scriptkiddie naar criminele groepering Vandaag de dag maken niet alleen individuele amateurs maar ook crimi nele organisaties (of vijandige naties) zich cyberaanvaltechnieken en digitale technologische middelen daarvoor eigen als belangrijk wapen. Criminelen over de hele wereld weten elkaar via inter nettechnologie te vinden in ongrijpbare netwerken. Aanvallers hebben zich meer gespecialiseerd en werken ook meer samen. Wie het netwerk van een onderneming is binnengedrongen, kan die toegangsinformatie verkopen aan een andere aanvaller met een speciale interesse in die organisatie. In het circuit zijn ook hackers te vinden die hun kennis verkopen aan een afnemer die een ge avanceerde aanval voorbereidt. Boven dien is er een ondergrondse economie ontstaan voor de handel in wachtwoor den en (software)tools. Dit alles maakt het mogelijk om een organisatie binnen te dringen en dan zo lang mogelijk onder de radar te blijven om het netwerk goed te onderzoeken en te kijken welke infor matie relevant zou kunnen zijn.
Nieuwe perspectieven vragen om actie | 11
Voorbeelden van deze ‘professionelere’ aanpak:
Fig. 4: Doel van aanval
• Op het terrein van online bankieren richt de aanval zich regelmatig op de klanten van één specifieke bank. Door die specialisatie kan de indringer veel geavanceerdere technieken inzetten; deze hoeft maar binnen te dringen in de systemen van één be drijf, via één klant.
40
%
• Veel bezittingen die voor een organi satie waardevol zijn, vallen eigenlijk niet onder het bestaande beleid voor informatiebeveiliging, terwijl ze door de technologische ontwik kelingen vaak wel op afstand kun nen worden benaderd. Zo zijn veel automatiseringssystemen in de industrie gekoppeld aan het internet. Via gespecialiseerde zoekmachines kan iedereen daar in principe bij. Een indringer die zo’n systeem vindt, kan het industriële proces volledig lamleggen. Van aparte organisatie naar ketens Een andere opvallende trend in aan valsmethoden is de aanval via de keten, de ‘chained attack’. Een organisatie wordt het mikpunt van zo’n aanval als de crimineel via een vertrouwensrelatie bij een andere organisatie wil binnen dringen.
Toegang tot geld Toegang tot informatie of systemen van derden
30
Verstoring van bedrijfs- en productieprocessen
30,0
20 16,6 14,6
Informatie verkrijgen over intellectueel eigendom
16,1
10
12,1
10,6
Informatie verkrijgen over fusies en overnames Overig
0
Organisaties opereren in ketens en steeds vaker integreren ze ook hun systemen om gemakkelijk informatie te kunnen uitwisselen. Cybercriminelen zijn zich daar terdege van bewust. Een organisatie die wordt aangevallen, is mogelijk helemaal niet het eigenlijke doelwit. Die organisatie fungeert dan als middel om binnen te dringen bij het uit eindelijke doelwit. Aanvallers springen van de ene ‘stepping stone’ naar de an dere om steeds verder binnen te gera ken, zowel in een organisatie als in een keten. Zo kunnen de administratieve rechten van een secretaresse toegang geven tot andere domeinen binnen de organisatie. Een ander voorbeeld is dat de uit een hack verkregen informatie bij
© 2012 KPMG Advisory N.V.
een leverancier wordt gebruikt om het uiteindelijke doelwit te treffen, namelijk de fabrikant. Het oorspronkelijke slachtoffer van de aanval is zich waarschijnlijk niet bewust van zijn rol in het geheel. De risicoevaluatie bij organisaties is dus moge lijk onvolledig: niet alleen zouden ze zichzelf als interessant doelwit moeten beschouwen maar ook hun rol in de keten in ogenschouw moeten nemen. Bovendien doet een organisatie er goed aan zichzelf niet als één entiteit te zien die beschermd moet worden, maar als een verzameling processen, gebruikers en IT-infrastructuur.
12 | Nieuwe perspectieven vragen om actie
CASUS - BANK
Informatie voor optimale bescherming tegen cybercrime Bedrijf B is een grote, internationaal actieve financiële instelling. Net als andere banken heeft ook bedrijf B te maken met een toename van cyber aanvallen op de klant. Het komt regelmatig voor dat cybercriminelen via phishing de klant zover krijgen dat deze zijn gegevens voor internetbankieren prijsgeeft. Aanvallen waarbij de computer van de klant is geïnfecteerd met kwaadaardige software (malware) vertegenwoordigen inmiddels het merendeel van de verliezen die bedrijf B door cybercrime lijdt. Bedrijf B investeert jaarlijks miljoenen euro’s in het voorkomen en opsporen van cyberaanvallen. Zo heeft de bank mechanismen geïntroduceerd voor sterkere authenticatie. Bewakingssystemen sporen frauduleuze transacties en mogelijk met malware geïnfecteerde klantcomputers op. Een efficiënte en effectieve toepassing van deze defensiemechanismen vraagt om vergaand inzicht in de aanvalsbenadering van cybercriminelen. Informatie over cybercrimebedreigingen en -oplossingen is van essentieel belang. Bedrijf B zou idealiter de patronen en trends in cyberaanvallen vóór moeten zijn en zo op tijd de bescherming kunnen aanpassen. In samenwerking met twee andere prominente IT-organisaties in de verdedigingssector tegen cybercrime verzorgt KPMG voor de bank twee maal per jaar een update over de trends in cybercrimebedreigingen, met mogelijke oplossingen. KPMG zet hiervoor haar netwerk van honderden informatiebeveiligingsspecialisten in, dat vrijwel alle belangrijke financiële instellingen in de wereld bestrijkt. Gesignaleerde aanvalspatronen en gekozen oplossingen bij andere banken vormen samen een beeld van te verwachten aanvallen en van de oplossingen waarbij bedrijf B gebaat zou kunnen zijn. Gewapend met deze kennis over de laatste trends in cyberaanvallen en verdedigingsmaatregelen kan bedrijf B de verdedigingsmechanismen tijdig actualiseren en zo adequaat op eventuele aanvallen reageren. Bedrijf B blijft op deze manier de ontwikkelingen in cybercriminaliteit een stapje voor en is hierdoor beter gepositioneerd dan de concurrentie.
© 2012 KPMG Advisory N.V.
Nieuwe perspectieven vragen om actie | 13
Onze visie op de belangrijkste bevindingen Cybercrime is geen tijdelijk fenomeen Van de geënquêteerden verwacht 80% dat er wel altijd cybercrime zal zijn en dat dit een uitermate lastig probleem blijft. Uit de enquête blijkt dat 49% van de or ganisaties het afgelopen jaar slachtoffer is geweest van enige vorm van cyber crime. Dat wil overigens niet zeggen dat andere ondernemingen niet aangevallen zijn; het kan ook zijn dat ze niet de juiste detectiemaatregelen hebben genomen. Van de 49% die is aangevallen, geeft 10% aan dat er het afgelopen jaar sprake was van meer dan 100 aanvallen. Van de respondenten die waren aangevallen, meldt 90% dat ze vorig jaar tot vijf keer met succes zijn aangevallen. De werkelijke omvang van cybercrime is moeilijk te achterhalen omdat de tectieprocedures mogelijk niet alles in kaart brengen. Op dit moment is slechts 50% van de geënquêteerden in staat om aanvallen op het spoor te komen. Slechts 44% van de organisaties heeft het vertrouwen adequaat te kunnen reageren op een cyberaanval. Bewustzijn vraagt om voortdurende inspanning Beveiligingsbewustzijn en inzicht in de risico’s zijn van het grootste belang in de verdediging tegen cybercrime. Cyber criminelen doorgronden de zwaktes van mensen, processen en technologie en hoe ze daar het beste gebruik van kunnen maken; datzelfde zou ook voor organisaties moeten gelden. Organisa ties moeten zich dus afvragen of ze een aanval van cybercrime zouden herken nen en of ze daar iets aan kunnen doen.
Uit de enquêteresultaten maken we echter op dat 35% van de ondervraag den meent dat de organisatie zich onvoldoende bewust is van cybercrime, al ligt dat percentage aanzienlijk lager bij respondenten in de financiële sector. Dit zou betekenen dat financiële instellingen zich meer bewust zijn van cybercrime dan andere sectoren. Meer dan 67% van de respondenten uit overheids instellingen heeft geen mening en ruim de helft van de respondenten uit de consumenten/industriële markten weet het niet zeker. De volle omvang van de dreiging wordt vaak over het hoofd gezien. Onderne mingen zien onderbreking van bedrijfs processen vaak als het grootste risico. Is dat echt zo of is dit een gebrek aan bewustzijn?
© 2012 KPMG Advisory N.V.
De sleutel: inzicht in motieven Cyberaanvallen vinden plaats op ver schillende manieren en via verschillende methoden. Veel organisaties hebben wel eens te maken gehad met een vorm van ‘social engineering’ zoals phishing of webapplicaties waarmee is geknoeid, aldus 33% van de ondervraagden. Het onderzoek laat zien wat men als de twee belangrijkste motieven ziet, namelijk handelen vanuit de drijfveren van de georganiseerde misdaad en de mogelijkheid om ‘laaghangend fruit’ bij organisaties te oogsten. In tegenstelling tot eerdergenoemde trends is spionage geen relevant motief voor de cybercri mineel, meldt 63% van de geënquêteer den. Hierbij moet worden aangetekend dat veel organisaties nog niet beschik ken over detectiemaatregelen en een toenemend gebruik daarvan zou kunnen
14 | Nieuwe perspectieven vragen om actie
leiden tot andere inzichten in de motie ven van aanvallers. De financiële sector is goed voor 67% van de aanvallen die vanuit financiële motieven plaatsvinden. Kijken we naar alle sectoren, dan maken organisaties in de consumentenmarkt zich het meeste zorgen over verstoring van bedrijfs- en productieprocessen. Financiële winst, toegang tot intellectueel eigendom en andere gegevens wordt overall nog maar beperkt gezien als een motief.
Technische gebieden die risico lopen De belangrijkste technische gebieden die hoge risico’s lopen zijn onder andere e-mailservers, webapplicatieservers, ERP-systemen, desktops en nietgestructureerde gegevens in bestands systemen (bestandsservers). Het meest genoemd werden webapplicatieservers (38%), gevolgd door bestandsservers (16%) en e-mailservers (17%). Minder frequent zijn aanvallen die zijn doorge drongen tot ERP-systemen, desktops en procescontroledomeinen (<8%).
Op basis van diverse evaluaties en be veiligingstesten van webapplicaties zijn wij van mening dat veel webapplicaties en daarmee dus ook websites nog altijd niet veilig zijn. Sterker nog, sommige webapplicaties hebben last van ‘laag hangend fruit’ in de vorm van cross site scripting (XSS) etcetera. Bij veel web sites was veilige programmering geen onderdeel van het ontwikkelingsproces of wordt er vooraf onvoldoende op vei ligheid getest. Kunnen we de uitdaging aan? Van de geënquêteerden was 55% niet zeker of de organisatie een cyberaanval effectief zou kunnen afslaan. Over de hele linie bezien konden organisaties niet aangeven of een hacker succes zou hebben, al was het antwoord verschil lend naar gelang de sector. Veel financi ële dienstverleners dachten dat hackers geen kans van slagen hadden. Geënquê teerden in de sector energie en natuurlij ke hulpbronnen gaven daarentegen aan dat hackers in deze sector makkelijker zouden kunnen binnendringen dan in andere sectoren.
Fig. 5: Purpose of attack/sector
% 40
30
20
10
0
Toegang tot geld
Toegang tot informatie of systemen van derden
Verstoring van bedrijfsen productie processen
Informatie verkrijgen over intellectueel eigendom
Informatie verkrijgen over fusies en overnames
© 2012 KPMG Advisory N.V.
Financiële dienstverlening Professionele dienstverlening Publieke sector Consumenten/industriële markten
Nieuwe perspectieven vragen om actie | 15
CASUS - energie en grondstoffen
Beveiligingsbewaking en incidentenrespons Bedrijf Z is een bekend bedrijf in de sector voor olie, gas en natuurlijke hulpbronnen. De IT bij bedrijf Z bestrijkt meer dan 100 landen over de hele wereld en wordt door meer dan 100.000 werknemers gebruikt. Het is makkelijk voor te stellen dat de beheersing van die IT-omgeving een complexe aangelegenheid is. De onderneming is boven dien een interessant doelwit voor spraakmakende cyberaanvallen zoals APT’s met digitale spionage als motief. Bedrijf Z heeft de laatste jaren diverse malen te maken gehad met ernstige inbraakpogingen in de IT-systemen. Bedrijf Z wilde graag effectiever cyberaanvallen op het spoor komen en ook de respons op incidenten verbeteren. KPMG heeft samen met een technologiepartner bij bedrijf Z toezicht uitgevoerd op een van de grootste internationale implementaties van een security monitoring platform. Via dit platform wordt informatie naast elkaar gelegd over duizenden veiligheidsincidenten uit talloze systemen over de hele wereld.
Organisaties in de overheidssector kiezen relatief wat vaker voor de optie ‘geen mening’ of denken dat hackers uiteindelijk zullen winnen. De strijd tegen cybercrime is een typisch voorbeeld van een race die moeilijk voorgoed te winnen is. Het enige dat een organisatie kan doen, is zoveel mogelijk bijblijven. Dat kan door de organisatie door de ogen van de aanvaller te bekijken en na te gaan welke delen van de organisatie voor een aanvaller het interessantst zijn. Beveiligingsmaatregelen zouden zich vervolgens moeten richten op preventie, detectie en respons op het terrein van mensen, processen en technologie. Optimaal budget Bezuinigen op de verkeerde zaken is een belangrijke valkuil bij de beslissing over beveiligingsmaatregelen. De nadruk in afwegingen over beheersingsmaatrege
Het succes van monitoring wordt in hoge mate bepaald door de kwaliteit van de detectie. In nauwe samenwerking met de organisatie is daarom een lijst van de meest rele vante cybercrimerisico’s opgesteld. Voor elk risico is een verzameling detectieregels gedefinieerd. Natuurlijk is een systeem voor beveiligingsbewaking alleen maar een technologische oplossing. Een ade quate respons wordt hoofdzakelijk bereikt door goede processen en governance. KPMG heeft daarom ook adviezen gegeven over de governancestructuur, nieuwe incidentenresponsprocessen ontworpen en trainingen voor beveiligingspersoneel georganiseerd. Al met al heeft de onderneming door de combinatie van een solide tech nologielaag en een adequate governance en processen beter grip gekregen op de bewaking van en de respons op cyberaanvallen.
len zou moeten liggen op de waarde van bezittingen voor de aanvaller.
Fig. 6: Schade
Een organisatie moet een afweging maken tussen de kosten van detectie mechanismen en die van incidenten, inclusief indirecte schade. ‘If you think safety is expensive, try an accident.’ Dat bekende credo is ook hier van groot belang. Consumentenvertrouwen en re putatie zijn twee van de meest waarde volle bezittingen van een onderneming. Dat betekent ook dat beslissingen over het beveiligingsbudget tot op het hoog ste niveau van een organisatie moeten worden toegelicht.
12%
De gekozen controlemechanismen han gen sterk samen met het beschikbare budget. Zowel de schade van cyberaan vallen als het budget voor de verdedi ging daartegen kan aanzienlijk zijn. De allocatie van het budget voor preventie-, detectie- en responsmaatregelen moet dan ook zorgvuldig worden afgewogen.
© 2012 KPMG Advisory N.V.
64%
6% 6%
13%
< EUR 100,000 EUR 100,00 - EUR 250,000 EUR 250,00 - EUR 750,000 EUR 750,00 - EUR 1,500,000 > EUR 1,500,000
16 | Nieuwe perspectieven vragen om actie
Circa 19% van de organisaties uit de enquête besteedt jaarlijks meer dan 1,5 miljoen euro aan preventie, detectie en respons op het gebied van cyber crime. Financiële dienstverlening uitgelicht Uit het overzicht van de geleden schade blijkt dat bijna de helft van alle inciden ten die tot schade leiden voor rekening komt van financiële instellingen. Die organisaties waren tevens het slachtof fer van de meeste incidenten waarmee de hoogste bedragen gemoeid waren. Uit onze enquêteresultaten blijkt dat 75% van de aanvallen met een totale omvang van meer dan 1.500.000 euro in deze sector wordt gepleegd. Uit de enquête komt naar voren dat financiële dienstverleners zich meer bewust zijn van cybercrime dan andere organisaties (80%). Overige belangrijke bevindingen zijn onder andere meer aandacht van het senior management (92%) en een lage detectiecapaciteit (33%). Van deze groep heeft 34% een budget van 750.000 euro of hoger. Ook deelt men hier eerdere ervaringen met afgeslagen aanvallen. Overheid uitgelicht Overheidsorganisaties zien zichzelf als een aantrekkelijk doel voor cybercrimi nelen. Uit onze enquete blijkt dat de ervaringen met cyberaanvallen en de daaruit geleden schade niet afwijken van het gemiddelde. Echter, de motieven van een aanvaller zijn een belangrijke afweging voor overheidsorganisaties in het omgaan met cybercrimethematiek. Een meederheid van respondenten uit de overheid geeft aan dat oorlogsvoe ring, spionage en politieke/ethische redenen relevante motieven zijn voor
Fig. 7: Beschikbaar budget Onderverdeling van respondenten naar grootte van budget:
18,7% 20,7%
21,9% < EUR 100,000
38,7%
EUR 100,00 - EUR 250,000 EUR 250,00 - EUR 1,500,000 > EUR 1,500,000 het aanvallen van overheidsorganisaties. Cybercriminelen zijn bij het aanvallen van overheidsorganisaties niet gemo tiveerd door geldelijk gewin: meer dan in andere sectoren (51% versus 39% gemiddeld) antwoorden respondenten dat het doel van cyberaanvallen is om privacy gevoelige informatie te verkrij gen, om toegang tot (overheids)gehei men te krijgen of om kritieke nationale infrastructuur te verstoren. Consumenten/industriële markten uitgelicht Respondenten uit deze sector geven aan dat het gevolg van cyberaanvallen zich met name uit in gemiste omzet omdat kernprocessen verstoord zijn door de cyberaanval. Ook antwoorden zij dat intellectueel eigendom wordt ver kregen: 59% van de respondenten uit deze sector verwacht dat het verstoren van kernprocessen of het verkrijgen van
© 2012 KPMG Advisory N.V.
toegang tot intellectueel eigendom de belangrijkste doelen van cybercrimine len zijn, in tegenstelling tot geldelijk ge win of toegang tot systemen van derde partijen. Een kwart van de respondenten denkt dat spionage een belangrijk mo tief is voor cybercriminelen in deze sec tor, evenals dat een kwart aangeeft dat hun organisatie laaghangend fruit’ zou kunnen zijn voor cybercriminelen. Net werken en computers zouden makkelijk toegankelijk zijn voor aanvallers. Er lijkt niet veel ervaring te zijn met cyberaan vallen: 14% van de aangegeven schades onder 100.000 euro wordt gemeld door geënquêteerden uit deze sector.
Nieuwe perspectieven vragen om actie | 17
Interview expert: Wim Hafkamp
“Cybercrime geen onbeheersbaar fenomeen” Wim Hafkamp, hoofd Information Risk Management Rabobank
“De strijd tegen cybercrime is en blijft topprioriteit voor financiële instellingen. We moeten het probleem de baas blijven en door indringers gebruikte nieuwe technologieën en strategieën pro actief benaderen. Een van de uitdagingen houdt verband met de groeiende populariteit van mobiel bankieren op diverse apparaten zoals tablets en smartphones. Het gebruik van die apparatuur kent een beveiligingsdilemma: enerzijds willen banken de eindgebruiker gebruiksvriendelijkheid bieden door bijvoorbeeld niet te verlangen dat ze altijd zo’n bankpaslezer bij zich dragen; anderzijds willen we ook geen concessies doen aan de veiligheid. We moeten accepteren dat deze apparaten niet onder ons eigen controlebereik vallen. En we zullen ook moeten accepteren dat uniforme hardwarestandaarden een illusie zijn. Door ons vooral op onze eigen infrastructuur te richten en gegevens slim te combineren, kunnen we de risico’s al aanzienlijk reduceren. Het gebruik van monitoringstechnieken wordt de komende jaren belangrijker: ik verwacht meer aanvallen op mobiele apparatuur via malware. Over het geheel genomen is het aantal aanvallen via mobiele apps beperkt, maar we zullen er allemaal (en dat geldt zeker voor de financiële sector) rekening mee moeten houden dat dit kan veranderen. We zullen vooralsnog vooral aan het bewustzijn van de gebruiker blijven werken door actief op de risico’s te wijzen. Dat is een uitdaging, want een aantal gebruikers blijft gevoelig voor zogenoemde social engineering. Wel vind ik dat we er in de Nederlandse markt als financiële sector goed in slagen om dat bewustzijn te verhogen. De aard van cyberaanvallen is in de jaren veranderd. Schoot de crimineel vroeger met hagel, tegenwoordig is zo’n aanval veel gerichter en slimmer. Cybercriminelen weten precies wat ze zoeken en combineren gegevens vanuit diverse bronnen, onder andere de sociale media. Op die manier komt er meer focus in de aanvallen. Berichten over een kat- en muisspel doen naar mijn mening overigens geen recht aan het succes dat we boeken in de systematische strijd tegen cybercrime. Het spel is nog niet uitgespeeld, maar ik durf te zeggen dat cybercrime geen onbeheersbaar fenomeen is in onze sector. Een belangrijke factor in dit opzicht is de samenwerking tussen financiële instellingen en de overheid. Op de Nederlandse markt wisselen we actief ervaringen uit. Op die manier kunnen we elkaar helpen onze inspanningen te richten. Op Euro pees niveau is ruimte voor verbetering betreffende die uitwisseling van ervaringen. Laten we echter vooral niet vergeten dat er tussen criminele organisaties veel haat en nijd is, dat ze vaak ook met elkaar overhoop liggen. Het is echt oorlog, maar als het erop aankomt zijn financiële instellingen uiteindelijk beter georganiseerd dan criminele groeperingen.”
© 2012 KPMG Advisory N.V.
18 | Nieuwe perspectieven vragen om actie
Wat staat organisaties te doen: een analyse Het goede nieuws dat uit de enquête naar voren komt is dat organisaties de vereiste aandacht aan cybercrime begin nen te schenken. Van de geënquêteer den was ruim 75% van mening dat de aanpak van cybercrime verder gaat dan een focus op technologie. Maar liefst 90% is van mening dat cybercrime op bestuursniveau op de agenda moet voor komen (55% is het daar zeer mee eens). Weinig organisaties zijn echter goed voorbereid. Slechts 20% geeft aan effectief een aanval te kunnen afslaan, maar ook zij hebben vaak geen repons plan klaar liggen. Circa 30% beschikt over forensische capaciteit als respons-
mechanisme en slechts 55% beschikt over centrale bewaking van incidenten en gebeurtenissen. Door dit alles is het zeer onwaarschijnlijk dat organisaties in cidenten afdoende kunnen afhandelen. En zelfs als een organisatie voldoende capaciteit in huis heeft om een aanval adequaat af te slaan, hoe zorgt men dat de juiste informatie bij het manage ment terecht komt (dat de bevoegdheid heeft om deze maatregelen te activeren)?
En die detectieve maatregelen worden weer vaker genoemd dan responsieve mechanismen. Uit de resultaten blijkt ook dat de nadruk meer ligt op interne dan op externe maatregelen. Procedureanalyse is het populairst, gevolgd door (forensisch) feitenonderzoek en penetratietesten.
Een van de uitkomsten van de enquête is dat preventieve beheersingsmaatre gelen in het algemeen populairder zijn dan detectieve maatregelen.
Preventie Preventie begint met governance en organisatie. Relevante vragen zijn onder andere: Is de verantwoordelijkheid voor
Belangrijke maatregelen Drie aandachtsgebieden voor actie – preventie, detectie en respons – verdienen de aandacht.
Fig. 8: Geïmplementeerde beheersingsmaatregelen Preventie Beheer en Organisatie
Detectie
Respons
Borgen van 24 x 7 stand-by crisis organisatie (48%)
Inzetten van forensische analyse vaardigheden (30%)
Uitvoeren procedures voor opvolging van incidenten (73%)
Uitvoeren cybercrime respons plan (25%)
Realiseren van adequate desk topbeveiliging (69%)
Implementeren logging van kritieke processen (68%)
Stoppen of verbreken van aangevallen IT-diensten (41%)
Realiseren van netwerksegmentatie (84%)
Implementeren centraal monitoren van beveiligingsincidenten (41%)
Toewijzen van verantwoordelijk heden voor Cybercrime(63%) Verzorgen van training beveiligingsbewustzijn (61%)
Processen
Uitvoeren cybercrime respons test (simulatie) (29%) Uitvoeren periodieke scans en penetratietesten (74%)
Technologie
© 2012 KPMG Advisory N.V.
Nieuwe perspectieven vragen om actie | 19
cybercrime ergens in de organisatie neergelegd? Zijn er bewustwordingstrainingen voor belangrijke medewerkers op gebieden met een hoog risico? In de tweede plaats kan aan de hand van responstesten (simulatie) en regelma tige scans en penetratietesten worden beoordeeld hoe de detectiegereedheid er bij de organisatie voor staat. Tot slot kunnen acties als de bescher ming van werkstations en segmentatie van computernetwerken aanvallen voorkomen. Detectie Een organisatie kan door het monitoren van kritieke gebeurtenissen en centrale veiligheidsincidenten en -gebeurtenis sen de technologische detectiemaatregelen versterken. Monitoring en data mining vormen samen een uitstekend instrument om vreemde patronen in het gegevensver keer op het spoor te komen, te signale ren waar de aanvallen zich concentreren en de systeemprestaties te observeren. Op die manier wordt informatiebevei liging een continu proces en kan een organisatie incidenten vóór zijn in plaats van achteraf te reageren. Respons De meeste organisaties zijn niet op een aanval voorbereid. Uit de enquête kwam naar voren dat slechts 25% zich ade quaat via een cybercrime response plan heeft beveiligd en dat 29% de respons
CASUS: FORENSIC
Een forensisch perspectief Multinational A werkt met een gesloten online omgeving, waarin de organisatie kan samenwerken en communiceren met klanten, partners en andere belanghebben den. Dagelijks gaan grote hoeveel heden vertrouwelijke gegevens van en naar de website. Bedrijf A is daarmee een interessant doelwit voor de cybercrimineel. Bedrijf A hoorde van een klokken luider dat een indringer een ingang had gevonden in de website en/of gesloten omgeving van de multina tional. De respons: bedrijf A haalde de website uit de lucht en vroeg KPMG om hulp. Om geen sporen of bewij zen kwijt te raken, heeft een groep ervaren medewerkers van Forensic Technology en IT Security samen forensisch solide beelden gemaakt van de meest kritische servers. Met behulp van gespecialiseerde forensische software zijn de beelden geanalyseerd op sporen in systeem bestanden en de daarin vastgelegde eigenschappen. Ook de logbestan den van firewalls zijn veiliggesteld en geanalyseerd om te achterhalen of de indringer zich ook een weg had
© 2012 KPMG Advisory N.V.
gebaand in het managementdeel van het netwerk. Dat deel was met een firewall afgeschermd van de webom geving. Voor een overzicht van de systemen waar de indringer ook in zou kunnen zijn geweest heeft KPMG al het verkeer van en naar de aange taste server(s) geanalyseerd. Dit leverde een lijst op van IP-adressen die met de dader te maken zouden kunnen hebben. Uit de analyse kwam naar voren dat de indringer had geprobeerd (en daar ook in was geslaagd) diverse bestanden met een kwaadaardige code naar de webserver te uploaden. Dankzij deze bestanden had de indringer op afstand opdrachten naar de server kunnen sturen. Die bestanden namen de vorm aan van reguliere bestanden met een extensie van de webserver en met namen die geen argwaan hadden gewekt. KPMG heeft de klant bijgestaan met corrigerende procedures en aanvul lende beveiligingsmaatregelen, waardoor het risico van verdere schade en negatieve publiciteit werd teruggedrongen.
20 | Nieuwe perspectieven vragen om actie
maatregelen ook afdoende heeft getest. Een organisatie kan de governance en risicomaatregelen aanscherpen met een crisisstrategie die 24×7 ingezet kan worden. Procedures voor opvolging na veiligheidsincidenten zijn verder ook nuttig in de aanpak van cybercrime. Responsmechanismen kunnen worden verfijnd en toegespitst op de directe inzetbaarheid van forensische capa citeiten bij een aanval. Het forensisch team moet kunnen terugvallen op een cybercrime response plan aan de hand waarvan het kan bepalen welke acties er moet worden ondernomen. Bij een aanval moet de organisatie alle getroffen technologie direct buiten werking kunnen stellen.
Fig. 9: Maatregelen na een cybercrime aanval Interne maatregelen na cyberaanval Analyse gemaakt van zwakke plekken in techniek en procedu res (74%)
Feitenonderzoek (forensisch) onderzoek uitgevoerd (63%)
Bij de ontwikkeling van een responsen herstelplan doet een organisatie er goed aan (informatie)beveiliging te zien als een continu proces en niet als eenmalige oplossing. De organisatie kan incidenten niet altijd voor zijn; detectie en respons zijn allebei even belangrijk. Op dit terrein valt, zo blijkt uit onze enquête, vaak nog het meest te verbeteren bij organisaties.
© 2012 KPMG Advisory N.V.
Penetratietesten uitgevoerd (33%)
Maatregelen voor detectie en respons zijn niet alleen belangrijk voor de organi satie zelf. Door proactief ketenpartners te waarschuwen over mogelijke indrin gers, informatie te delen over de aard van de aanval en de mogelijke motivatie van de aanvaller, kan de organisatie een eventuele ‘ketenaanval’ helpen doorbre ken voordat deze zijn uiteindelijke doel bereikt.
Nieuwe perspectieven vragen om actie | 21
Perspectief van de aanvaller Inzicht in het perspectief van een cybercrimineel is essentieel voor wie cyberaanvallen wil bestrijden. Met die wetenschap in het achterhoofd hebben we een van onze medewerkers geïnterviewd, een zogenaamde ‘ethische hacker’. Hij wist ons een intrigerend fictief verhaal te vertellen. Aan u om te kijken hoe realistisch deze bedreiging is voor uw organisatie. “Mijn werkgever wil graag anoniem blijven, maar geloof me, hij beschikt over voldoende middelen. Een paar weken geleden kwam hij met een klus naar me toe. Het streefdoel was behoorlijk ambitieus: steel zoveel mogelijk geheimen van de Nederland se overheid. Dit zijn de stappen die ik heb genomen. Allereerst ben ik gaan bedenken wat ik eigenlijk allemaal wist van de ITinfrastructuur van de overheid. Bij een conferentie vorig jaar herfst sprak ik de directeur IT van een ministerie. Die had me verteld dat alle firewalls voor de overheid door dezelfde leverancier werden verzorgd, bedrijf Y. Het hacken van zo’n firewall was een formidabele opgave. Dat ging ik dan ook niet doen – ik koos voor de indirecte aanpak. Ik ben op LinkedIn gaan zoeken naar medewerkers van softwarebedrijven die op hun profiel bedrijf Y als een van hun klanten noemen. Veel profes sionals noemen graag namen van bekende en belangrijke klanten, zelfs als dat volgens het bedrijfsbeleid verboden is. Niet lang daarna vond ik inderdaad diverse softwareleveran ciers die gespecialiseerde software maken en bedrijf Y tot de klantenkring rekenden. Ik ging naar de websites van die leveranciers en scande de extern bereikbare IP-adressen totdat ik een leverancier had gevonden die niet up-to-date was met het installeren van beveiligingsupdates op de web server: bedrijf X. Het kostte me een dag; toen zat ik in hun netwerk. Bedrijf X is een kleine organisatie. Segmentatie van hun netwerk vinden
ze niet nodig, dus ik kon via het interne netwerk alle machines vanaf die web server bereiken. Na nog wat hande lingen had ik mezelf de positie van domeinbeheerder toegeëigend, wat betekende dat ik volledige toegang had tot alle systemen van bedrijf X. Op dat moment liep ik tegen een probleem aan. Mijn bedoeling was om de broncode van het product zo aan te passen dat ik op afstand verbinding kon maken met het systeem van iemand die dat product had geïnstal leerd. Alleen… dat had ik nog nooit eerder gedaan. Ik ben toen via een hackerforum op zoek gegaan naar hulp en bood 10.000 euro als de geboden oplossing werkte. Na enige tijd werd ik benaderd door iemand die me wel wilde helpen. Ik heb wat navraag gedaan naar de persoon en naar zijn reputatie op dit gebied. Met zijn hulp heb ik de broncode van het belangrijk ste product van bedrijf X aangepast. Het beveiligingsbeleid van bedrijf Y is zeer streng geregeld: alleen de systeembeheerders kunnen software op de werkstations installeren en in- en uitgaand verkeer verloopt via een proxyserver. Het virus dat mijn collega-hacker had geschreven com municeert gelukkig via DNS, dat niet actief bewaakt of gefilterd wordt. De software van bedrijf X werd regelmatig geactualiseerd; na drie weken kreeg ik bericht dat ik toegang had tot hun werkstations. Ik nam nogmaals contact op met mijn collega-hacker, ditmaal voor een geavanceerder klusje: de firmware van de firewalls herprogrammeren
© 2012 KPMG Advisory N.V.
die bedrijf Y produceert. Hij gaf aan hiervoor de hulp nodig te hebben van een bevriende hacker die in alle fire walls een backdoor ofwel achterdeur installeert. Dat kostte 20.000 euro extra. Het enige wat mij nog te doen stond, was wachten op de volgende update van de firmware. Om ervoor te zorgen dat bedrijf Y de firmware zou bijwerken, liet ik rondzingen dat er zwakke plekken in de beveiliging van de huidige versie zaten. Langzaam maar zeker kreeg ik zo toegang tot alle interne netwerken van de Neder landse overheid. Op dit moment kan ik al het verkeer dat via overheidsnetwerken loopt op mijn eigen computer binnen laten komen. Ik kan alle e-mails lezen die de overheidsmedewerkers intern aan el kaar sturen. Ik kan kwetsbare servers vinden door de netwerken te scannen. In bijna alle interne netwerken heb ik ten minste één server gevonden die ik kan exploiteren. Ik heb op honderden werkstations een backdoor geïnstal leerd waardoor ik e-mailservers kan volgen, zodat e-mails met een interes sante bijlage naar mij kunnen worden doorgestuurd. Verder heb ik inlog gegevens weten te bemachtigen van vrijwel alle belangrijke databases van de overheid. Elke dag krijg ik automatisch bijna twee honderd gigabyte geheime over heidsinformatie binnen. Die omvang wordt alleen beperkt door de hoeveel heid bandbreedte die ik beschikbaar heb en het aantal harddisks dat ik in stalleer. Ik krijg 100 euro per gigabyte informatie. Aan u om uit te rekenen hoeveel ik per uur verdien.”
22 | Nieuwe perspectieven vragen om actie
Interview expert: Annemarie Zielstra
“Sterke sociale netwerken essentieel als reactie op cybercrime” Annemarie Zielstra en Auke Huistra, CPNI.NL, een publiek-privaat platform ter bescherming van de landelijke infrastructuur: “Cybercrime is en blijft een lastig probleem. Bedreigingen van de infrastructuur worden ernstiger, zoals vorig jaar wel bleek toen computerworm Stuxnet de Bashir-kerncentrale in Iran binnendrong. Dit soort incidenten zijn meteen ook een geluk bij een ongeluk, want ze dragen bij aan de bewustwording over de mogelijke gevolgen van cybercrime. Mensen beginnen zich te realiseren dat cybercrime niet beperkt is tot individuen. Ook terroristische groeperingen en mogelijk zelfs gewelddadige landen kunnen zich met cybercrime inlaten. Dat soort groepen en landen kunnen extreem geavanceerde aanvallen financieren, evenals technologieën of instrumenten die kunnen worden ingezet als wapen of instrument voor spionage. Het doelwit van zo’n aanval varieert van financiële infrastructuur en waterbeheer tot openbaar vervoer en grote ondernemin gen. Veel mensen moeten zich nog realiseren dat cybercrime niet altijd alleen maar gaat over het verwer ven van gegevens, maar dat het lamleggen van vitale processen ook een doel kan zijn. Vrijwel iedere sector in de samenleving is vandaag de dag sterk afhankelijk van openbare internetstructuren. Dat maakt die activiteiten kwetsbaar voor digitale aanvallen. Wij willen mensen bewuster maken van het belang van de bescherming van onze controlesystemen en infrastructuren. We streven ernaar om de uitwisseling van informatie tussen het bedrijfsleven en de overheid te verbeteren en uit te breiden en zo onze kritische nationale infrastructuur te versterken. We hebben de Nationale Roadmap voor veilige procescontrolesystemen (PCS) geformuleerd, een verzameling activiteiten die de veiligheidslat in het procescontroledomein in kritische infrastructuur in Nederland hoger moeten leggen. De beschermlagen van procescon trolesystemen die kritische processen aansturen, moeten worden ontworpen, geïmplemen teerd en onderhouden in overeenstemming met het gesignaleerde risico. Doelstelling daarbij is om geen verlies van vitale functies te hebben tijdens en na een cyberincident. Wij zijn ervan overtuigd dat de auditfunctie een actievere rol kan en moet spelen door cyberveiligheid een meer integraal onderdeel van de audit te maken. Of het ons lukt om mensen bewuster te maken? Onze resultaten zijn lastig zichtbaar te maken natuurlijk: bewustwording is moeilijk te meten. Wat we wel zien, is dat leiders vanuit de politiek en het bedrijfsleven enthousiast en vastberaden de handen ineenslaan. We vatten dat maar op als signaal dat het bewustzijn verbetert. Aandacht op C-level is ook belangrijk voor een passend budget bij de overheid en bij ondernemingen. Wij hebben echter de indruk dat er in veel organisaties nog veel zendingswerk op C-level moet worden gedaan. Monitoring en respons zijn belangrijk om de gevolgen van een aanval tot een minimum te beperken. Maar minstens even belangrijk is om een sterke sociale structuur te bouwen. We zijn zeer actief in het organiseren van seminars en trainingen en we realiseren ons dat sociale netwerken een voortdurende inspanning vereisen. De achtergrond van die bijeenkomsten is dat we vertrouwen willen scheppen tussen de mensen die op dit terrein werken. Een uitwisseling van kennis over patronen en de veranderende aard van cyberaanvallen helpt om de juiste technologische en organisatorische stappen te nemen om indringers te ontdekken of processen en systemen beter te beschermen. Bovendien zijn die contacten juist bij een crisis belangrijk om snel actie te ondernemen en de juiste maatregelen te treffen. Als mensen elkaar vertrouwen, verloopt samenwerking geruisloos en snel. Bij een crisis wissel je geen visitekaartjes uit.”
© 2012 KPMG Advisory N.V.
Nieuwe perspectieven vragen om actie | 23
Oproep tot actie Cybercrime is een ernstig probleem dat vraagt om passende maatregelen. Dat begint met de ‘tone at the top’ van een organisatie: het is aan het manage ment om in te zetten op een solide aanpak. Dat het hoger management het belang ervan in woord en daad laat zien geeft een belangrijk signaal af. Mensen wor den zich bewuster van het onderwerp:
de menselijke factor is namelijk nog altijd een van de zwakste schakels in de beveiligingsketen. De organisatie zou vervolgens de nadruk moeten leggen op goede monitoring, waardoor er snel op een eventuele aanval kan worden ingespeeld. Als zo’n aanval inderdaad komt, moet de organisatie snel en effectief kunnen handelen en zo de schade aan bezittingen en reputatie beperken.
Fig. 10: Oproep voor actie Korte termijn actie - Preventie Analyseer risico’s vanuit het perspectief van de aanvaller
Preventie
Respons
Korte termijn actie - Respons Voer incident respons plan uit
Detectie
Korte termijn actie Detectie Identificeer en monitor waardevolle bedrijfs middelen
© 2012 KPMG Advisory N.V.
Een effectieve cyberbeveiligings strategie werkt alleen als de betrokken partijen naadloos samenwerken. Noodzakelijk is dat overheden, het bedrijfsleven en universiteiten hun kennis en expertise delen. Wij zijn ervan overtuigd geraakt dat een derge lijke samenwerking (ook grensoverschrijdend) de komende jaren een belangrijk punt zal blijken. Wat kunt u doen? Voorkom escalatie: zorg voor een goed evenwicht tussen preventie, detectie en respons. Bij moderne organisaties is de IT vaak te ingewikkeld om incidenten van cybercrime volledig vóór te zijn. Voorkomen dat het erger wordt, is het devies. Detectie en preventie is dan ook minstens even belangrijk als preventie van incidenten. Een effectieve strate gie tegen cybercrime staat of valt met een goed evenwicht tussen deze drie aandachtsgebieden. Neem actie op korte termijn, plan maatregelen op lange termijn Op korte termijn moet uw organisatie zich voorbereiden op de bedreigingen die er nu spelen. U kunt zich daarvoor het beste richten op de risico’s waar voor uw organisatie zich gesteld ziet (inclusief keten), de kritieke bezittingen bewaken en uw organisatie zo inrichten dat effectief op incidenten kan worden gereageerd. Op de langere termijn streeft u naar een kosteneffectieve beheersing van het cyberlandschap in uw organisatie, op de domeinen mensen, processen en technologie.
24 | Nieuwe perspectieven vragen om actie
Juridisch perspectief Juridische aspecten en ontwikkelingen in verband met cybercrime Cybercrime neemt al jaren hand over hand toe. De wetgever en wetshand havers doen wat ze kunnen om de effecten van cybercrime tegen te gaan en de cybercriminelen aan te houden. Diverse nieuwe methoden hebben in Nederland vruchten afgeworpen, zoals experimenten met counter-hacken en publiek-private samenwerking. De groei van cybercrime is daarnaast ook aanlei ding voor nieuwe wetsontwikkelingen voor computermisdaad en diefstal van gegevens.
het verleden en ook de afgelopen jaren stevig gediscussieerd. Niet alle landen hanteren namelijk dezelfde opstelling. Uitgangspunt in de Verenigde Staten is dat jurisdictie wordt bepaald door de vraag of een misdaad effect heeft op de Verenigde Staten. Die misdaad hoeft niet op Amerikaanse bodem te hebben plaatsgevonden om toch onder de Amerikaanse jurisdictie te vallen. Deze uiteenlopende visies op jurisdictie zijn belangrijk: die visies bepalen welke weg de wetshandhaver moet bewan delen om cybercriminelen rechtsgeldig aan te houden.
Jurisdictie en internationale samenwerking Jurisdictie is een van de belangrijkste problemen bij de handhaving van de wet op computercriminaliteit. Cyber crime houdt niet op bij de grens, cybercrime vindt plaats in een wereld zonder grenzen. Voor de Nederlandse wetshandhaver kan dat vertragingen opleveren en onderzoek naar cyber crime in de weg staan. De in ons land gangbare regels over jurisdictie zijn van vóór de tijd van de internetmisdaad. De belangrijkste regel is dat onze jurisdictie stopt bij de fysieke grens. De locatie waar de misdaad plaatsvindt, is doorslaggevend. Ook in de Europese cybercrime-conventie is dit een belang rijk uitgangspunt. Heeft het bewuste vergrijp grensoverschrijdende effecten dan zal er officieel een rechtshulpver zoek moeten worden ingediend bij het betreffende andere land. Over deze positie ten aanzien van jurisdictie is in
Publiek-private samenwerking Een betrekkelijk nieuwe methode om cybercrime tegen te gaan is via publiek-private samenwerking (PPS). Door de kennis van publieke en private partijen te bundelen wil Nederland een effectieve voorsprong op cyber criminelen verwerven. Het meest bekende voorbeeld van zo’n actie door een PPS was het oprollen van het Bredolab-botnet. Nederlandse wets handhavers, particuliere beveiligings diensten, adviseurs en universiteiten vonden elkaar in een consortium dat het botnet van 143 servers uit de lucht haalde. De autoriteiten gebruikten het botnet zelf om de eigenaren van besmette computers te laten weten dat er iets mis was met hun appara tuur. Die Bredolab-operatie kon inter nationaal ook op aandacht rekenen vanwege de inzet van de PPS en de innovatieve methoden die werden gebruikt om het botnet op te rollen.
© 2012 KPMG Advisory N.V.
Herziening wet computermisdaad In 2010 is door de wetgever een conceptwetsvoorstel over cybercrime opgesteld (Wet computercriminaliteit III). De nieuwe wet zou diverse nieuwe bevoegdheden met zich meebrengen. Een daarvan is de ‘notice and take down’-opdracht die de officier van justitie geeft als online informatie onmis kenbaar illegaal is, zoal bij kinderporno. Of deze specifieke NTD-opdracht ook inderdaad in de uiteindelijke wet terechtkomt staat ter discussie vanwege burgerrechtenaspecten rond de NTD-procedure. In de conceptversie is ook ‘data fencing’ strafbaar gesteld. Bij data fencing gaat het bijvoorbeeld om een situatie waarin privégegevens (zoals naaktfoto’s) zijn gestolen en via het internet worden gepubliceerd. Voor de Nederlandse wet is dit nieuw: in juridische geschillen werden computer gegevens niet als een ‘goed’ aange merkt en konden deze dus niet worden gestolen en/of afgeschermd. Ook een mogelijke nieuwe bevoegdheid die nog niet in de conceptwet staat maar waar wel ernstig over wordt nagedacht is counter-hacken. Het verzoek om dit mogelijk te maken, is vooralsnog vooral afkomstig van groeperingen die de wet moeten handhaven. Over deze mogelijkheid wordt echter stevig gediscussieerd vanwege de jurisdictieproblematiek (counter-hacken zou bijvoorbeeld kunnen betekenen dat servers uit de lucht worden gehaald die fysiek niet binnen onze grenzen staan) en de mogelijke schending van de
Nieuwe perspectieven vragen om actie | 25
burgerrechten, waaronder het funda mentele recht op privacy. Melding schending gegevens en privacy De eerste meldingsplicht in verband met gegevensovertreding wordt opgenomen in de wetgeving over telecommunicatie. Deze verplichting hangt samen met de Europese richtlijn over ePrivacy en verplicht telecombedrijven en ISP’s om het bevoegde overheidsorgaan (in Nederland het College Bescherming Persoonsgege vens, CBP) op de hoogte stellen van gegevensschending waarmee de privacy van personen is gemoeid (iets
dat bij een cyberaanval al gauw het geval is). De reikwijdte van deze verplichting is echter beperkt. De wetgever heeft daarom de gelegenheid aange grepen om met een conceptwetsvoor stel te komen waarin die meldingsplicht veel breder is gedefinieerd, namelijk dat alle service providers in de informatie maatschappij een eventuele overtreding bij het CBP moeten melden. Het CBP bepaalt dan of die overtreding ernstig genoeg is voor een publieke melding. Als de gegevens niet onlees baar zijn gemaakt, worden alle perso nen van wie de gegevens bij de schending betrokken waren, op de hoogte gesteld. Als een serviceprovider
© 2012 KPMG Advisory N.V.
het CBP niet op de hoogte stelt, kan voor elk afzonderlijk geval een boete voor nalatigheid worden opgelegd. De wetgever heeft met de formulering van deze brede verplichting gekozen voor een proactieve benadering. Op Europees niveau is eveneens gewerkt aan nieuwe wetgeving voor gegevens privacy met een meldingsplicht voor overtredingen. Beide conceptvoorstel len zijn beschikbaar en vertonen enige verschillen in reikwijdte en procedurele aspecten. De Nederlandse meldings plicht is waarschijnlijk al in werking getreden voordat de Europese wet wordt afgerond.
26 | Nieuwe perspectieven vragen om actie
Dankwoord Naast de belangrijkste auteurs, Gerben Schreurs, Peter Kornelisse en John Hermans, hebben de volgende personen meegewerkt aan de totstandkoming van deze publicatie: Bart Bleeker
Daarnaast zouden wij graag onze dank willen uitspreken richting de bedrijven die hebben meegewerkt aan de KPMG Cybercrime enquête, en de experts die we hebben geïnterviewd: Annemarie Zielstra, Auke Huistra, Eelco Stofbergen en Wim Hafkamp.
Stan Hegt Rachel Marbus Quintra Rijnders Pieter Rogaar Julia van Rooyen Sopheap Sam Nart Wielaard
© 2012 KPMG Advisory N.V.
Contact Gerben Schreurs Partner T: + 31 (020) 656 8866 E:
[email protected] John Hermans Partner T: + 31 (020) 656 8394 E:
[email protected] Peter Kornelisse Director T: + 31 (020) 656 8035 E:
[email protected] www.kpmg.nl
De in dit document vervatte informatie is van algemene aard en is niet toegespitst op de specifieke omstandigheden van een bepaalde persoon of entiteit. Wij streven ernaar juiste en tijdige informatie te verstrekken. Wij kunnen echter geen garantie geven dat dergelijke informatie op de datum waarop zij wordt ontvangen nog juist is of in de toekomst blijft. Daarom adviseren wij u op grond van deze informatie geen beslissingen te nemen behoudens op grond van advies van deskundigen na een grondig onderzoek van de desbetreffende situatie. © 2012 KPMG Advisory N.V., ingeschreven bij het handelsregister in Nederland onder nummer 33263682, is een dochtermaat schappij van KPMG Europe LLP en lid van het KPMG-netwerk van zelfstandige ondernemingen die verbonden zijn aan KPMG International Cooperative (‘KPMG International’), een Zwitserse entiteit. Alle rechten voorbehouden. Gedrukt in Nederland. De naam KPMG, het logo en ‘cutting through complexity’ zijn geregistreerde merken van KPMG International. 37_0312