ESET: Overal (on)veilig

Steeds meer mensen lopen het gevaar op een cyberaanval. Dat komt door de combinatie van voortschrijdende technologie en de snelle groei van het aantal apparaten dat wordt verbonden met het internet. ESET brengt jaarlijks een overzicht met trends op het gebied van security. Het bedrijf concludeert dat met de huidige snelheid van alle digitale ontwikkelingen, het heel lastig is om de trends in een simpele zin samen te vatten. Wel staat voor de organisatie als een paal boven water dat beveiliging niet langer het probleem is van een aantal individuen, maar dat het steeds meer iets is waar iedereen over moet nadenken.

Bij het opstellen van de trends voor 2016 zagen de onderzoekers van ESET Research Laboratories een duidelijke relatie tussen het groeiend aantal devices, de groei van technologie en de toenemende uitdaging om alle informatie te beveiligen, ongeacht de scope van een implementatie. “Nieuwe technologie, aanvalsrapporten, nieuwe malware en beveiligingslekken met wereldwijde impact: de snelheid waarmee deze zaken elkaar opvolgen zorgen ervoor dat security een steeds grotere uitdaging vormt voor organisaties, instellingen, overheden en gebruikers overal ter wereld”, aldus het rapport. We zetten de belangrijkste van de twaalf ESET- op een rijtje.

Trend #1: De beveiliging van het Internet der Dingen

Volgens onderzoeksbureau Gartner zijn er momenteel 4,9 miljard apparaten verbonden met het internet. De komende vijf jaar blijft dit aantal groeien, naar een verwacht aantal van 25 miljard in 2020. Het gaat dan niet alleen om consument-gerelateerde zaken zoals wearables, en slimme toepassingen in huis, maar ook om apparaten in de zakelijke omgeving. Zo worden steeds meer machines met internet verbonden, ook wel bekend als de vierde industriële revolutie. Doordat er steeds meer apparatuur op elkaar en internet wordt aangesloten, gaat security een belangrijkere rol spelen. Het komende jaar wordt een uitdaging op dat gebied. Of het nu gaat om een auto die op afstand bediend kan worden, beveiligingslekken in drones of de manier waarop eindgebruikers hun thuisnetwerken beschermen; van ieder gekoppeld apparaat moet goed worden nagegaan of het voldoende bescherming biedt en voldoet aan de toekomstige security- en privacy-eisen. Voor bedrijven vormt het netwerk een kritische factor, aangezien gebruikers en organisaties anders omgaan met de bescherming van informatie op apparaten waar geen security-oplossing op kan worden geïnstalleerd. Het belang daarvan liet Moose zien, een worm die vorig jaar duizenden routers over de hele wereld infecteerde.

Trend #2: Ransomware – voorheen bestanden, nu complete apparaten

Het grootste gevaar voor computersecurity is kwaadaardige code. De afgelopen jaren zijn er meerdere meldingen van ransomware geweest, waarbij bestanden of volledige bestandssystemen werden gegijzeld door ze te versleutelen. Voor de sleutel moet door de gebruiker worden betaald, alleen zo krijg hij zijn gegevens terug. Een van de hoogtepunten van de ransomware-evolutie is de groei in het aantal varianten waarbij op verschillende platformen en technologieën wordt gemikt. Waar eerder vooral bestanden werden aangevallen, doken er afgelopen jaar ook gevallen op waarbij complete mobiele apparaten – veelal degene die op Android draaien – werden gegijzeld. Deze ontwikkelingen zorgen ervoor dat we denken dat ransomware nog geen grenzen kent wat betreft het aantal slachtoffers en de complexiteit van de code. Zeker in combinatie met het internet der dingen, kunnen de aanvallen zich ook uitbreiden naar smart tv’s, koelkasten en auto’s. Zoals bij de eerste trend al duidelijk werd, kan niet op alle apparaten een security-oplossing worden geïnstalleerd en juist daar ligt het risico voor consumenten en bedrijven. Voor het komende jaar verwacht ESET dan ook dreigingen op deze nieuwe vlakken.

Trend #3: Gerichte aanvallen – implicaties, redenen en doelen

Waar malware vooral is gericht op het maken van zoveel mogelijk slachtoffers, zijn Advanced Persistent Threats vooral gericht op een specifiek doelwit. Een goed voorbeeld hiervan is de aanval op de datingsite Ashley Madison, waarbij data van 37 miljoen gebruikers in handen van de aanvallers kwamen. Gerichte aanvallen kunnen meerdere doelen hebben, zo worden ze gebruikt om vertrouwelijke informatie te stelen om zo bijvoorbeeld bedrijfsactiviteiten te bespioneren. Maar aanvallen worden ook uitgevoerd om vervolgens spam te kunnen versturen. Het is bijzonder lastig om te voorspellen of en wanneer een bedrijf zal worden aangevallen door cybercriminelen. Daarom moet een organisatie altijd voorbereid en beschermd zijn, voor het geval dat. De IT-beveiliging van een bedrijf is in toenemende mate een sleutelfactor voor de continuïteit van de bedrijfsvoering. Een proactieve aanpak van de bescherming, de bewustmaking van personeel en continue training van teams zijn dan ook acties die het risico van een beveiligingslek minimaliseren. De bescherming van een bedrijf is geen project, het is een proces. De technologie die wordt gebruikt om (mobiele) werkstations te beveiligen, moet voortdurend worden geëvalueerd door een securityteam. Datzelfde geldt voor het netwerk en de servers. Encryptie helpt om vertrouwelijke informatie te beschermen en is een maatregel die nog niet alle bedrijven – zeker als het gaat om het MKB – nemen.

Trend #4: Windows 10 – beveiligingskenmerken en gebruikersprivacy

Het nieuwste besturingssysteem van Microsoft dat halverwege vorig jaar het levenslicht zag, biedt betere beveiligingsopties dan voorgaande edities. Het doel van de softwarereus is dat Windows 10 binnen drie jaar op een miljard apparaten draait. Maar om dat te bereiken moet het besturingssysteem veiliger worden en moet het vertrouwen van consumenten en bedrijven groeien. Voor de nieuwe Windowsversie is fors geïnvesteerd in security. Zo zijn er verbeteringen in Windows Defender, een nieuwe oplossing voor Network Access Control en biedt het de nieuwe optie Device Guard. Dat laatste is een combinatie van OS, beheer en hardware waardoor systeembeheerders computers veilig kunnen afsluiten. Ook intern zijn er maatregelen getroffen voor betere beveiliging. Virtualization Based Security brengt de kernel van het besturingssysteem naar een hypervisor, samen met een aantal andere veelgebruikte Windows-services, zoals de Local Security Authority Subsystem Server. Maar al deze verbeteringen doen er niet toe als gebruikers het nieuwe OS niet vertrouwen. Windows 10 vormt een veranderingen in de hoeveelheid en het type gebruikersdata dat Microsoft verzamelt. Bovendien is de updateprocedure gewijzigd. Voor consumenten worden updates automatisch en verplicht uitgevoerd. Bedrijven hebben de mogelijkheid om deze updates uit te stellen, maar dat is slechts tijdelijk. Ook ontbreken security gerelateerde updates. Dat betekent een verandering in hoeveel controle beheerders hebben over de updates. In combinatie met het feit dat Microsoft niet langer informatie deelt over wat er is gerepareerd in de update, zijn sommige mensen beducht voor welke bugs er gefikst worden en hoe deze reparaties hun systemen beïnvloeden.

Trend #5: Kritische infrastructuren – tijd om beveiliging topprioriteit te maken

De beveiliging van industriële systemen en netwerken blijft een hoge prioriteit houden. Veel van de security-tekortkomingen op dit gebied zijn te wijten aan het feit dat veel leveranciers van deze platformen geen wijzigingen of updates op de hardware-controlerende systemen toestaan. Dat betekent dat veel organisaties kritische infrastructuur beheren met behulp van verouderde, kwetsbare besturingssystemen die aan het internet gekoppeld zijn. Daardoor stijgt de kans op een security-incident fors. De sectoren die dit soort systemen gebruiken, bieden veelal essentiële diensten aan de bevolking, zoals energie- en waterleveranciers, maar ook ziekenhuizen en andere zorginstellingen. Door een zwakke infrastructuur liggen datalekken op de loer. Cybercriminelen kunnen eenvoudig een overvloed aan waardevolle data verzamelen, zoals namen, BSN-nummers, telefoonnummers, adressen, mailadressen en andere persoonlijke data. In het geval van ziekenhuizen kunnen ook medische dossiers met diagnoses en medicatie worden bemachtigd. Uit onderzoek van ESET blijkt dat er nog een lange weg te gaan is in het voorlichten en de bewustwording van instellingen in de private en publieke sector. Aanvallers zoeken altijd naar manieren om zichzelf toegang te verschaffen tot systemen. Vrijwel iedere mogelijke opening wordt gevonden en gebruikt, waarna ze niet alleen informatie kunnen stelen maar apparatuur zo kunnen wijzigen dat data worden geüpload naar een kwaadaardig netwerk en zo misbruikt kan worden. Ze kunnen zo ook de functionaliteit van industriële apparatuur veranderen voor oneigenlijke doeleinden. In een poging om de bescherming van deze kritische infrastructuren op de agenda te krijgen gaat de European Union Agency for Network and Information Security komend jaar een aantal best practices ontwikkelen op het gebied van ‘opkomende slimme kritische infrastructuur’. ESET verwacht dat het aantal aanvallen op deze sectoren het komende jaar zal stijgen, tenzij maatregelen in rap temp worden ingevoerd. Hierdoor zal informatiebeveiliging in deze branches prominent op de directieagenda komen te staan.

Technologie, management en educatie

Het is een feit dat aanvallen steeds geavanceerder worden. Het beschermen van de informatie en data van een bedrijf blijft een zware en gecompliceerde taak en het vinden van gekwalificeerd personeel die de strijd wil blijven aangaan met de continue (mogelijkheden van) aanvallen vormt een uitdaging. Toch is ESET Research Laboratories van mening dat juist de combinatie van technologie, management en educatie ervoor zorgt dat individuen en organisaties beschermd kunnen worden. Bedrijven zullen hun strategie op deze drie pijlers moeten baseren. Uiteindelijk zal 2016 een uitermate uitdagend jaar vormen door het toenemende potentiele aanvalsoppervlak. We moeten die uitdaging tegemoet treden met een proactieve houding en bewustzijn van security. De rol van de gebruiker wordt steeds belangrijker en deze trend zal zich voort blijven zetten. Gebruikers verwachten een solide beveiliging van hun data en informatie. De uitdaging ligt in het mensen bijbrengen waar de gevaren op internet zitten en wat ze zelf kunnen doen om veilig te blijven. In 2016 en de jaren daarna gaan gebruikers een actievere rol spelen als het gaat om hun eigen security doordat ze steeds blijven leren hoe ze hun data het beste kunnen beschermen.

Het volledige ESET-rapport met de trends voor 2016 is hier te downloaden.

Kim Loohuis is journalist