Robert van der Vossen
Een inleiding tot beheersing en verzekering van cybercrime risico’s
Copyright © Robert van der Vossen, september 2014
www.cyco.nu Niets uit deze uitgave mag verveelvoudigd en / of openbaar gemaakt worden door middel van druk, fotokopie, microfilm, geluidsband of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van de auteur. Aan de inhoud van deze publicatie kunnen geen rechten worden ontleend. ISBN 978-90-822802-0-3 Omslag, vormgeving en opmaak: Emily de Quay, Pixel Artshop, Baarn Foto:
Marjon Zijlstra Fotografie
Is uw onderneming Cyber Safe? Een inleiding tot beheersing en verzekering van cybercrime risico’s
Robert van der Vossen
Inhoud Voorwoord
7
Inleiding
9
1. Wat is Cybercrime?
11
2. Vormen van Cybercrime
17
2.1 Malware 2.2 E-mail gerelateerde cybercrime 2.3 Denial of Service-aanvallen 2.4 Social engineering 2.5 Botnets 2.6 Hacken Vormen van hacken 2.6.1 Portscan 2.6.2 Spoofing 2.6.3 Cache poisoning 2.6.4 Sniffing 2.6.5 Misbruik van draadloze netwerken en apparatuur 2.6.6 Password guessing
17 17 18 18 19 20 22 22 22 22 22 23 25
2.7 Website-aanvallen 2.7.1 Misbruik van een webproxy 2.7.2 Defacing 2.7.3 SQL-injectie
25 25 26 26
3. De gevolgen van Cybercrime voor de onderneming 3.1 3.2 3.3 3.4 3.5
Verlies van inkomsten door bedrijfsstilstand of slechte bereikbaarheid Kosten van losgeld (Ransom) Kosten van onderzoek en herstel Imago / reputatieschade Aansprakelijkheid van de onderneming
27 28 28 28 28 29
3.6 Verlies van gegevens 3.6.1 Kenniskapitaal van de onderneming in het algemeen 3.6.2 Verlies van Privacygevoelige gegevens
32 32 34
4. Verzekering van Cybercrime risico’s 4.1 Risicoanalyse 4.2 Risicobeheersing / Informatiebeveiliging 4.3 Risicomanagement 4.4 De verzekering van cybercrime 4.5 De dekking van de cybercrimeverzekering 4.5.1 Aansprakelijkheid van de onderneming 4.5.2 Eigen schade van de onderneming 4.5.3 Wat is er niet gedekt? 4.6 Andere verzekeringen en overlappingen
41 41 43 45 46 48 48 49 52 53
Cyco - cyber crime cover
59
Begrippenlijst / Terminologie
61
Inleiding
N
ederland kent een hoogontwikkelde informatiemaatschappij. De digitale wereld brengt organisaties een groot goed op het gebied van efficiency en slagvaardigheid. ICT ondersteunt alle moderne bedrijfsprocessen intern en zorgt voor een vitale infrastructuur. De ICT-infrastructuur ontwikkelt zich snel. Het werken via internet en de handel via webshops is volledig geïntegreerd in onze moderne maatschappij. Organisaties kennen een hyperconnectiviteit; het nieuwe werken als BYOD (Bring Your Own Device) wordt standaard. We stellen steeds hogere eisen aan compleet uitgeruste laptops. Mobiele telefoons hebben niet meer alleen de functie om te bellen, maar worden gebruikt als volwaardige computers waar we dagelijks veel (vertrouwelijke) informatie in opslaan en wereldwijd mee versturen. Ook de criminele wereld heeft ontdekt dat er in deze virtuele maatschappij veel geld te verdienen valt. Cybercriminelen zijn steeds meer financieel gemotiveerd geraakt en er is duidelijk sprake van een trend van ‘hacking for fame’ naar ‘hacking for fortune’. In 2013 bezocht ik een Madspace hackers ontmoetingsplaats. Het is fascinerend om te zien hoe deze ethische (white hat) hackers met hun kennis, kunde en vernuftige technische middelen binnen luttele seconden kunnen inbreken in beveiligde computersystemen. Het is een angstig besef dat er zeer goed georganiseerde criminele organisaties zijn gevestigd in landen als India, Pakistan, China, Rusland, Brazilië, Nigeria, en vele andere opkomende economieën die zeer kapitaalkrachtig de best geoutilleerde bendes hackers financieren om wereldwijd virtuele inbraken te plegen. De mondiale schade van cybercrime in 2014 wordt geschat op US$ 400 miljard (op het moment dat ik dit schrijf). Dit is gelijk aan de jaarlijkse drugsomzet. En we staan nog maar aan het begin. Er is een sterke ontwikkeling in de groei en steeds weer nieuwe methoden van computerinbraak. Het aantal “Ransom mails” (afpersing, bedreiging via mail) groeide van 2012 tot 2013 met 500%. 9
Volgens recente studies zijn in 2013 zo’n 98% van organisaties slachtoffer van enige vorm van cybercrime (hierbij worden alle soorten virussen meegerekend). Edward Snowden werkte als computerdeskundige aan een encryptie protocol (Bull Run) bij Booz Allen Hamilton, een groot consultancy-bedrijf gespecialiseerd in ITbeveiliging met klanten als het Pentagon en CIA. Zijn openbaarheid heeft onze ogen geopend en ons bewust gemaakt van een wereld die we hebben gecreëerd van dataopslag (en de directie van Booz Allen Hamilton bewust gemaakt hoe groot de kwetsbaarheid blijkt van de menselijke factor binnen de wereld van de ultieme ICT-beveiliging). Het Zwartboek Datalekken*) (gepubliceerd door burgerrechtenvereniging ‘Bits of Freedom’) van geslaagde hacking van websites binnen banken, het Pentagon, Diginotar en vele minder bekende organisaties heeft deze bewustwording nog meer vergroot. Het is mijn overtuiging dat deze openbaringen nog maar het topje van de ijsberg zijn. Immers (commerciële) organisaties hebben tot nu toe bij een geslaagde computerinbraak niet snel de openbaarheid gezocht vanwege de reële angst voor reputatie / imago schade. Op 14 april 2014 is er door de staatssecretaris van Veiligheid en Justitie een wetsvoorstel ingediend voor de Wet Bescherming Persoonsgegevens en de Telecommunicatiewet. De wijziging betreft een invoering van een meldplicht voor datalekken van privacy gevoelige gegevens. Deze Meldplicht en Europese verordeningen met boetesommen van € 450.000 tot 2% van de wereldwijde omzet van de onderneming, zullen een hele nieuwe fase inluiden in de bewustwording van cyberrisico’s. Door de meldplicht zullen organisaties verplicht worden aan veel meer incidenten publiciteit te geven en kunnen deze niet meer geheim worden gehouden. Het doel van dit boekje is kennisoverdracht en het creëren van bewustwording. Het boekje geeft u een inleiding in begrippen, bedreigingen, gevolgen en mogelijkheden van beheersing en verzekering van cybercrime risico’s. Robert van der Vossen, oprichter CYCO ‘s-Hertogenbosch, september 2014
10
*) Het Zwartboek Datalekken is gesloten omdat Bits of Freedom van mening is dat het probleem van datalekken hiermee inmiddels duidelijk geïllustreerd is.
“Dat overkomt ons niet” is een veelgehoorde reactie op de vraag of een bedrijf voldoende beschermd is tegen cyberaanvallen. Bestuurders en directieleden van organisaties zijn vaak van mening dat de ICTbeveiliging afdoende is. Er is immers flink geïnvesteerd in technische middelen zoals firewalls, intrusion detection, accessmanagement, enzovoorts. Echter, de virtuele risico’s worden door ondernemers nog zwaar onderschat en er is veelal geen duidelijk beeld van de gevolgschade. Cybercriminelen zijn steeds beter georganiseerd. In veel opkomende economieën worden de best geoutilleerde hackers gefinancierd door criminele bendes. De wereldwijde schade wordt in 2014 geschat op US$ 400 miljard. En we staan nog maar aan het begin. “is uw onderneming cyber safe?” is een kennismaking met de wereld van cybercrime waar in begrijpelijke bewoording inzage wordt gegeven in de criminele werkwijzen, begrippen, bedreigingen en mogelijke (financiële) gevolgen van een cyberaanval binnen een organisatie. Bovendien biedt het de lezer mogelijke oplossingen. Robert van der Vossen is sinds 1984 werkzaam in de verzekeringsbranche. Hij heeft diverse adviesfuncties bekleed bij verschillende verzekeraars en adviesbureaus. Sinds 1995 is hij zelfstandig consultant/vennoot. Hij is oprichter van CYCO - cyber crime cover, een adviesbureau dat zich specifiek richt op beheersing en verzekering van cybercrime risico’s bij ondernemingen.
