Stel, je hebt een inbreker die heel voorzichtig, na uren wachten, ergens zonder toestemming binnentreedt. Het slot op de deur wordt niet geforceerd, want de inbreker heeft met speciaal gereedschap een sleutel gemaakt. De inbreker heeft een loper zonder dat het slachtoffer dit weet, en kan op alle tijden zijn slag slaan. Dit is te vergelijken met een digitale inbraak. Een hacker neemt voldoende tijd om een inbraak te plegen en voelt verschillende malen en op verschillende tijden aan de digitale deur van zijn of haar slachtoffer. Zo verzamelt hij informatie over de digitale systemen. Zodra niemand oplet pleegt hij snel, doelgericht en effectief de inbraak. Er zijn hiervoor veel verschillende gereedschappen, zoals software die vrij te downloaden is van het internet. De echte professional heeft zoveel kennis in huis dat hij dit gereedschap zelf maakt.
Digitale inbraak Sony, Nintendo, Codemasters en Epic
Als we het nieuws volgen van de afgelopen dagen is er heel wat te doen over digitale hackers. De hoogste baas van Sony gaf aan dat er wellicht nooit duidelijk zal worden welke gegevens precies gestolen zijn. Wel is vrijwel geheel zeker dat er persoonsgegevens, waaronder creditcardgegevens, zijn gestolen . Ook ontstond er een directe schade voor Sega, zij konden tijdens het uitgeschakelde PlayStation network gedeeltelijk geen spellen verkopen.
In de gamingworld was niet alleen Sony/PlayStation slachtoffer, ook Nintendo, Codemasters en Epic waren de afgelopen weken aan de beurt. Volgens deze bedrijven zijn alleen maar persoonsgegevens gestolen en gelukkig geen creditcardgegevens. Alsof de persoonsgegevens alleen niet voldoende zijn. Vervelend voor onze online gamers, want online gamen kan nu niet meer via Nintendo, zij hebben i.p.v. heel goede maatregelen te treffen hun Club Nintendo afgesloten.
Digitale inbraak IMF, Lockheed Martin en RSA
Het meer serieuze werk vond plaats bij de bedrijven Internationaal Monetair Fonds (IMF) en Lockheed Martin. Bij IMF geldt dat zij niet weten welke gegevens exact zijn buitgemaakt, ze constateerde wel tijdens de inbraak dat er verdachte bestandsoverdrachten plaatsvonden. Lockheed Martin werd aangevallen met nep-RSA-tokens. Dit kon omdat er een eerdere hack heeft plaatsgevonden bij RSA, leverancier van beveiligingsproducten. RSA heeft nu een omruilactie voor deze tokens ingezet waardoor gebruikers van deze tokens weer veilig gebruik kunnen maken van de producten.
Veiligheid of schijnveiligheid
Ik kan nog wel eventjes doorgaan, want de lijst van digitale inbraken lijkt wel eindeloos. CitiBank, website Spaanse Politie, Cyberaanval op Noors leger , Cyberaanval Rabobank, bankrekening Kate Middleton, Duinrell (80.000 e-mailadressen), OV-Chipkaart, website Amerikaanse Senaat, Gmail. Daarnaast telt ook elke digitale inbraak die niet wordt gemeld, doordat de negatieve schade aan de onderneming negatiever wordt geacht. Veel erger zijn de inbraken die wel gepleegd zijn, maar die het bedrijf niet geconstateerd heeft of überhaupt niet kan constateren!
Hackers zijn en blijven actief, maar ik krijg steeds vaker de vraag: ‘zijn hackers nu vaker actief of melden we nu vaker een digitale inbraak?' Mijn visie hierop is dat er door de enorme groei aan digitale informatie en dus informatiesystemen het voor de hand ligt dat er steeds meer digitale inbraken gepleegd worden. Gelukkig zijn er ook veel mensen die hier goed over nadenken. Zo is er inmiddels een Europees Computer Emergency Response Team (Cert) opgezet. Dit team moet Europese instellingen helpen met het voorkomen van digitale computeraanvallen. Daarnaast stelt het Pentagon dat digitale aanvallen een oorlogshandeling is. Het is ook niet voor niets dat bijvoorbeeld het landelijk Electronisch Patienten Dossier (epd) niet is doorgegaan. Dit ging voornamelijk niet door omdat de patiënt veiligheid (privacy) niet voldoende geborgd kon worden.
Nou blijft er nog wel één vraag over: wat doen de cybercriminelen met de gesloten gegevens? Het antwoord is vrij eenvoudig te geven: persoonsgegevens zijn veel geld waar in de digitale onderwereld, persoonsgegevens worden dan ook op grote schaal verhandeld. Denk ook aan de informatiesystemen van bijvoorbeeld een Lockheed Martin, defensiebedrijf, verantwoordelijk voor het produceren van de Joint Strike Fighter. De bouwtekeningen van een JSF kun je wellicht vrij eenvoudig verkopen aan de Russen toch? Of was het een gerichte aanval van iemand die opzoek was naar deze tekeningen? Kortom een digitale inbreker weet wat hij wil. Ik ga er in deze context vanuit dat het om een professionele hacker gaat, maar wie weet is het wel iemand in een ver land die niet in de zon wil liggen en zich zo enorm verveeld en denkt: laat ik maar eens gaan inbreken!
Samengevat, elke organisatie dient voldoende maatregelen te treffen om cyberaanvallen tegen te gaan, maar vergeet niet dit regulier te laten bekijken door een expert. Wees bewust van het soort informatie dat op de informatiesystemen opgeslagen wordt, denk aan het goudkorreltje dat je wilt beschermen. Denk vooral niet: ‘dit zal mij niet overkomen'. Want in de digitale wereld is niemand veilig...
Om te kunnen beoordelen moet u ingelogd zijn: