Ontwikkelingen van Cybercrime Invloed op Elektronische dienstverlening
Ruud Goudriaan - Mei 2011
1
Inhoud • •
Ontwikkeling Internet Cybercrime – – – –
• •
Motieven Slachtoffers en daders Aanval internetbankieren Cyber Theft Ring (FBI)
Nationale Cyber Security Strategie (NCSS) Elektronische Dienstverlening (EDV) – Interne en Externe voordelen – Innovatieprogramma B-dossier
•
Cybercrime & E-dienstverlening – Hoe erg is het? – Hoe erg kan het worden? – Wat kunnen we er tegen doen?
Ruud Goudriaan - Mei 2011
2
Ontwikkeling Internet Internet: uitval connectie initieert nieuwe connectie • 1960 - Militair Communicatie netwerk – ARPA • Ontwikkeling variant Universiteiten – NSF • Huidige internet beheert door ICANN Internet Corporation for Assigned Names and Numbers
• 1990 – World Wide Web protocol • Nu: 2 miljard gebruikers: – Informatief: Online database, Google – Sociaal: Hyves, Facebook, MSN, etc. – El. Dienstverlening: winkelen, bankieren, overheid. Ruud Goudriaan - Mei 2011
3
Cybercrime: Motieven Cybercrime: any crime involving computer/network • Grabowsky: Virtual Criminality: Old wine in new bottles
• Motieven criminaliteit: – Inkomsten genereren, Macht, Lust, Wraak, etc.
• Twee soorten computer crime: – Directe aanval computer/netwerk: Computer virussen, Denial-of-service, Malware – Indirect misbruik computer/netwerk: Cyberstalking, Fraude, Identity theft, Information warfare, Phishing Ruud Goudriaan - Mei 2011
4
Cybercrime: Slachtoffers en daders Schaalvergroting Cybercrime door Internet • Miljoenen potentiële slachtoffers – Via e-mail met spam, virussen en malware – Via social networks met social engineering
• Toename aantal potentiële daders – Geringe pakkans door opereren uit landen waarmee geen uitleveringsverdrag is – Aanbod Criminele deeloplossingen via internet: malware, botnets, money mules, etc. Ruud Goudriaan - Mei 2011
5
Cybercrime: Aanval Internetbankieren Criminele organisatie en aanval internetbankieren • Malware ontwikkeld en verkocht via e-Bay • Malware infecteert PC’s met Zeus (botnet) • Bancaire inloggegevens verzameld en verkocht • Gerichte Social engineering om klant naar valse website te dirigeren en autorisatie te krijgen • Vals overgeboekte rekeningen via katvangers (money mules) overgeboekt naar buitenland Bronnen: FBI Cyber Theft ring en artikel Peter Olsthoorn in Webwereld. Ruud Goudriaan - Mei 2011
6
Cybercrime: Cyber Theft Ring (FBI)
Ruud Goudriaan - Mei 2011
7
Cybercrime: Phishing & Internetbanking Bron: Maarten Bras, Master Thesis ‘De Digitale Bivakmuts’, Erasmus univ.
Attenderen
Mobiliseren
Activeren
Vervreemden Ruud Goudriaan - Mei 2011
8
Nationale Cyber Security Strategie NCSS: Min. Verstappen (V&J) aan TK 22-02-2011 • Aanpak Publiek – Privaat: – inrichten Cyber Security Raad – Strategiebepaling – inrichten Nationaal Cyber Security Centrum - Kennisdeling
• Integrale dreigings- en risico-analyses • Vergroten weerbaarheid tegen Cyberdreigingen • Effectieve responscapaciteit versterken • Versterking keten opsporing – vervolging • Budgetafstemming Publiek/Privaat/Wetenschap Eerste initiatief: oprichting ‘Bankenteam’ voor aanpak digitale criminaliteit door KLPD, Landelijk Parket, Banken Ruud Goudriaan - Mei 2011
9
EDV: Interne en Externe voordelen Elektronische Dienstverlening (EDV) niet nieuw: Geldautomaat grote besparing banktransacties. EDV: Kostenbesparing, betere kwaliteit dienstverlening • Interne bedrijfsvoering: Digitalisering archieven, verificatie gegevens, HR-zaken (CAO a la carte), incidentrapportage, declaraties, online bestellingen, enz. • Externe dienstverlening: aangifte belasting, digitale aanvraag vergunning of uittreksel met DigiD, BurgerServiceNummer, e-formulieren, Basisregistraties. Ruud Goudriaan - Mei 2011
10
EDV: Innovatieprogramma B-dossier Project Burger- en Bedrijvendossier (B-dossier): • Samenwerking Telematica instituut, Belastingdienst, Gemeente Den Haag, ICTU, SVB en UWV • Ondersteuning inrichters Elektronische overheid met inrichting integrale, vraaggestuurde elektronische dienstverlening • Gebruikersonderzoeken (Re-integratieproces, Expats Wonen en Werken in Nederland, Starten Onderneming): – ‘Gepersonaliseerde’ diensten: Aanpassen diensten aan voorkeuren/behoeften groepen burgers en bedrijven – Integratie diensten met achterliggende bedrijfsprocessen en publiek/private collega-organisaties (efficiëntie en kwaliteit) Ruud Goudriaan - Mei 2011
11
Cybercrime & EDV: Hoe erg is het? Recente aanvallen Hackers: • Anonymous: – Payback: DDoS Sony after legal action on George Hotz – Playstation: hack PlayStation Network and theft credit card numbers – Assange: Anti-wikileak action triggered DDoS on Amazon, Paypal, Mastercard, Visa and Swiss Bank Postfinance
• Conspiracy Rings of Fire: – Rabobank: DDoS op internetbankieren
Ruud Goudriaan - Mei 2011
12
Cybercrime & EDV: Hoe erg wordt het? Fox-IT, Ronald Prins: ... op veel vitale plekken kun je nu digitaal inbreken en veel schade berokkenen: drinkwaterbedrijven, elekticiteitscentrales, onze dijkbewaking…. • KLPD/Fox-IT: oprollen crimineel botnet ‘Bredolab’ (2010) • China: met Ghostnet bedrijfs-spionage in 103 landen • Israel: Stuxnet computerworm tegen Iran, Cyber warfare Stellingen: • Prive-PC is niet te beveiligen tegen malware • Bedrijfsserver is niet te beveiligen tegen DDoS aanval Ruud Goudriaan - Mei 2011
13
Cybercrime & EDV: Wat doen we er tegen? Awareness websites •
NVB website Veilig Bankieren
http://www.3xkloppen.nl/nl/ http://www.veiligbankieren.nl/nl/
•
Getsafeonline: http://www.getsafeonline.org/ Publiek/private UK website: publiek, overheid, bedrijfsleven
Publiek/private samenwerking •
Informatieknooppunt Cybercrime CPNI (tot 1-1-11 NICC): ISAC, FI-ISAC, http://www.samentegencybercrime.nl/ Ruud Goudriaan - Mei 2011
14
Cybercrime & EDV: Wat doen we er tegen? Wat werkt: • Detectie + Notice & Takedown (Fox-IT + GovCerts)
Zou het helpen om: • Klant in staat stellen internetbedrijf/overheid te verifiëren – Wederzijdse authenticatie: individueel certificaat/token – Gecombineerd met wederzijdse challenge-response
• Klant te voorzien van opstartschijf/USB voor prive-PC: – Hiermee aanloggen op authentieke websites Bank, Bedrijven, Overheid onafhankelijk van eventuele malware op zijn computer – Voorbeelden: Duitse bank, producten zoals Ironkey
https://www.ironkey.com/
• Andere mogelijkheden??? Ruud Goudriaan - Mei 2011
15