Aanvallen op bedrijven komen overwegend van buitenaf, zijn nog relatief eenvoudig van aard, maar bedrijven hebben het nog steeds zorgwekkend moeilijk die op te sporen, aldus de zesde editie van Verizon Business’ Data Breach Investigations Report.

Het jaarlijkse Data Breach Investigation Report van Verizon Business wint elk jaar nog aan gewicht, met nu al 19 meewerkende internationale organisaties. Daaronder zijn er zowel politiediensten (zoals de Spaanse Guardia Civil, de Nederlandse High Tech Crime Unit, de Australische federale politie en de Amerikaanse geheime dienst) als computer-noodhulpdiensten (CERTs) en zelfs andere securitybedrijven (zoals Deloitte). Ook het nieuwe European Cyber Crime Center (EC3) stapte al mee in de boot. Niet minder dan 47.000 security-incidenten en 621 bestudeerde datalekken, uit 27 landen – waaronder België – vormen de basis voor het nieuwste rapport.

Iedereen slachtoffer

Eens te meer blijkt dat geen enkel bedrijf buiten schot blijft, ook wie denkt van geen belang te zijn voor cyberaanvallers. Van kleine winkels en restaurants, tot grote privé- en overheidsorganisaties – iedereen kan een doelwit zijn omwille van financieel gewin voor de aanvallers, omwille van interessante intellectuele eigendom en bedrijfsinformatie, en/of zijn of haar plaats in een samenwerkingsverband van bedrijven. Wel zijn er patronen te onderkennen, zoals misdaadbenden die zich veeleer toeleggen op financieel geïn-spireerde aanvallen op bedrijven in de financiële wereld, handel en voedingsindustrie. Spionageaanvallen van overheden (of door hen gesteunde groepen) hebben het dan weer vaker gemunt op informatie uit de werelden van productiebedrijven en transport, terwijl (h)activisten veeleer op informatie- en overheidsdiensten mikken.

Opmerkelijk is dat de aanvallen vaak nog ‘laag'(68 %) tot ‘middelmatig’ (22 %) in complexiteit zijn, wat er op wijst dat heel wat bedrijven hun bescherming toch nog onvoldoende aanpakken. Slechts 1 (één) procent van de aanvallen getuigt van grote expertise en/of middelen, maar het gevaar dreigt wel dat die middelen op bredere schaal beschikbaar komen, ook voor minder onderlegde criminelen.

Traag ontdekt

De aanvallen slaagden vaak erin hun doel te bereiken in uren (84 % van de gevallen), maar toch duurde het lang eer die werden ontdekt (‘maanden’ in 66 % van de gevallen) en er aan werd verholpen (nogmaals vaak ‘maanden’, 22 %). In het bijzonder aanvallen die uit zijn op het vergaren van informatie bleken lang – en goed verborgen – actief te zijn. Het percentage ‘maanden vooraleer ontdekt’ stijgt overigens weer, na drie jaar van vooruitgang (het bedroeg 41 % in 2010), en elke vorm van defensie moet dan uitgaan van de ‘zekerheid’ dat een geslaagde aanval zich zal voordoen (of al heeft voorgedaan). “Detectie/respons vormt een uiterst kritieke defensielinie,” en “mag niet zomaar een onderdeel zijn van een back-up plan als het fout gaat [… ] Het moet een kernonderdeel van ‘het’ plan zijn.”

Het is overigens behoorlijk wrang (en zorgwekkend) dat 9 procent van de datalekken werd ontdekt door… klanten! De inbreuken werden in 69 procent van de gevallen door externen ontdekt, en in slechts weinig gevallen door middel van de analyse van logs of door it-audits, en zelfs ‘intrusion detection’. Verizon adviseert overigens om de eigen werknemers meer inzicht bij te brengen over mogelijke aanvallen of misbruik, want “zij vormen het meest efficiënte middel om intern een datalek te ontdekken. [… ] Zo kan een werknemer in het kader van zijn dagelijkse taken iets vreemd bemerken (zoals tragere systemen, of een verdachte e-mail) en it of de bedrijfsleiding verwittigen.”

Blijvende problemen

Voorts verviervoudigde het gebruik van sociale middelen in succesvolle aanvallen, en blijven zwakke of gestolen/verloren ‘credentials’ (paswoorden etc) een factor in 75 procent van de aanvallen via netwerken. Meer dan 50 procent van ‘interne’ sabotage werd overigens gepleegd door voormalige werknemers via achterdeurtjes zoals nooit opgeheven toegangsrechten. En het zal niet verbazen dat 70 procent van interne diefstallen van ‘intellectuele eigendom’ het werk waren van (‘executive’) personen die kort daarop het bedrijf verlieten. Tja…

Guy Kindermans