Alex Pinto - de man achter het Verizon DBIR

Het Data Breach Investigations Report (DBIR) van Verizon bestaat al twaalf jaar. Beveiligingsspecialisten analyseren voor het rapport datalekken en andere beveiligingsincidenten die hebben plaatsgevonden. Door de grote hoeveelheid incidenten die geanalyseerd wordt, dit jaar meer dan veertigduizend, ontstaat een goed beeld van de werkwijze van cybercriminelen. Het DBIR-team kreeg dit jaar een nieuwe leider: de Braziliaan Alex Pinto. Hij was onlangs in Nederland en Infosecurity Magazine sprak met hem.

Alex Pinto was een van de oprichters van Niddel, een autonomous threat detection service. Hij werkte er zelf als chief data scientist totdat het bedrijf in januari 2018 werd overgenomen door Verizon. Sinds maart van dit jaar staat Pinto aan het hoofd van Verizon Security Research, het team dat jaarlijks het DBIR uitbrengt.

Regelgeving over het melden van incidenten heeft direct invloed op de cijfers in het DBIR, vertelt Pinto: “Zo zijn er in Europa vorig jaar meer meldingen geweest vanwege de invoering van de AVG. En in de zorgsector worden altijd veel meer incidenten gemeld dan in andere sectoren, door de strengere regelgeving die daar geldt. Dat wil niet automatisch zeggen dat er daar meer criminaliteit plaatsvindt. Als je die meldingen namelijk goed bestudeert, dan zie je dat het voornamelijk vergissingen betreft. Denk bijvoorbeeld aan het sturen van een patiëntendossier naar de verkeerde arts. En elk geval van ransomware dat in de zorgsector gedetecteerd wordt, wordt meegeteld als een datalek omdat nooit bewezen kan worden dat er geen data naar buiten gegaan is. Ook dat heeft invloed op de cijfers.”

Uit de meest recente versie van het DBIR bleek dat leidinggevenden een twaalf keer hogere kans hebben om het doelwit van social engineering-aanvallen te worden dan andere werknemers. Pinto begrijpt dat wel: “Dat is niet alleen omdat ze bijna overal in het netwerk toegang hebben. De kans dat een aanval lukt is ook groot omdat ze gewend zijn om snel beslissingen te nemen en vaak even tussen twee afspraken door hun mail beantwoorden op hun telefoon.” In het verleden waren social engineering-aanvallen vaak gericht op HR-personeel, maar dat komt nu bijna niet meer voor.

Achter verreweg de meeste aanvallen zit een financieel motief. In 71% van alle lekken was dat het geval, weet Pinto: “Op nummer twee staat spionage en daarachter volgt een heel scala aan minder vaak voorkomende redenen. Sommige datalekken vinden plaats omdat een hacker een beetje lol wil maken. Of omdat een rancuneuze ex-werknemer wraak neemt.”

Het aantal incidenten rond cloud-gebaseerde e-mail lag dit jaar drie keer hoger dan vorig jaar. “Waarschijnlijk komt dat doordat meer en meer mensen in de cloud werken”, denkt Pinto. “Om daar beter zicht op te krijgen, besteden we volgend jaar meer aandacht aan de cloud. We gebruiken data van externe partijen voor het DBIR. Voortaan verplichten we hen om aan te geven of een incident in de cloud plaatsvond. Op die manier moeten we beter in staat zijn om patronen te ontdekken. En dat vind ik razend interessant.”