Kosten van cybercriminaliteit: een introductie

Onderwerp:
kabels
Afbeelding ‘cable’ van postbear eater of worlds (CC BY-NC-SA 2.0)
De sterk toenemende kosten van cybercriminaliteit vereisen een verschuiving van detectie naar preventie. Om de gelegenheid te beperken is vooral risicovol gedrag van de eigen medewerkers van groot belang. Dit stellen Ad van de Gevel en Charles Noussair in een overzicht van de verschijningsvormen en de kosten van cybercriminaliteit.

Groeiende industrie

Een brede definitie van internetcriminaliteit geeft vormen van criminaliteit die betrekking hebben op, of gepleegd zijn met, computersystemen, inclusief telecommunicatienetwerken. Internet criminaliteit omvat het stelen van intellectuele eigendom, het online plunderen van bank rekeningen, het creëren en verspreiden van virussen op andere computers, het plaatsen van vertrouwelijke zakelijke informatie op het Internet en het verstoren van kritieke nationale infrastructuur van een land. Zakelijke verstoringen en verlies van informatie of diefstal ervan behoren tot de meest significante consequenties van een cyber aanval. Cybercrime is een groeiende industrie en criminele organisaties worden steeds professioneler, zij ontwikkelen hun eigen technieken en hulpmiddelen of breiden die van anderen uit. Er bestaat een markt voor criminele cyberdienstverlening met een ruime beschikbaarheid van kennis en tools voor cybervandalen.

De fundamentele bouwstenen van het internet zijn protocollen die ruim 30 jaar geleden zijn ontwikkeld, zonder enige notie van hoe groot het Internet in de daaropvolgende decennia zou worden. Protocollen als het Border Gateway Protocol (BGP), het Domain Name System (DNS) en het Simple Mail Transfer Protocol (SMTP) gebruiken nauwelijks enige vorm van verificatie, authenticatie of encryptie en werken op basis van vertrouwen in de integriteit van hun communicatiepartners. Verouderde software bevat vaak al langer bekende kwetsbaarheden en daar die niet meer worden opgelost, kunnen cybercriminelen deze blijvend misbruiken. Hierdoor ontstaat een ICT-duurzaamheidsprobleem.

Kwaadwilligen proberen de gebreken in deze protocollen te misbruiken. DNS en BGP, beide noodzakelijk voor het dirigeren van internetverkeer, zijn een gewild doelwit om internetverkeer naar ongewenste bestemmingen om te leiden en zo slachtoffers bijv. massaal met malware te besmetten of vervalste webpagina’s te tonen waarmee wachtwoorden kunnen worden gestolen.

Criminelen nemen hun beslissingen op basis van een evaluatie van de waarde van de gestelde doelen, het risico van ontdekking en het gemak van toegang om in te breken in een netwerk.

De intentie van Internetberoepscriminelen is vaak het verdienen van geld, ofwel door het zelf uitvoeren van aanvallen op informatie of op ICT netwerken of door afpersing door te dreigen met cyberaanvallen, ofwel door het aanbieden van diensten waarmee anderen aanvallen kunnen uitvoeren, ofwel door de handel in of dienstverlening voor gestolen informatie. Cybervandalen (hacktivisten, hackers) willen met hun aanvallen ook ideologische doelen realiseren of dichterbij brengen. Terroristen hebben de intentie maatschappelijke veranderingen te bewerkstelligen, de bevolking ernstige vrees aan te jagen of politieke besluitvorming te beïnvloeden.

Cybercriminelen zijn zich in de afgelopen periode meer gaan richten op de infrastructuur van het Internet in plaats van op individuele computers of sites. De schaalvoordelen van het misbruiken van een dienstverlener zoals een hostingpartij, een domeinnaamserver of een populaire website, bieden bijvoorbeeld veel meer mogelijkheden dan het compromitteren van een individuele website.

Verschijningsvormen

Cybercriminaliteit komt in veel vormen voor. Hieronder bespreken we de belangrijkste.

Malware is een verzamelnaam voor vormen van software met kwaadaardige bedoeling zoals phishing, computer virussen, wormen, Trojaanse paarden, spyware of keyloggers. De eerste sporen van malware dateren al van 2003. Regin is gekarakteriseerd als de meest geavanceerde malware waarvan het Belgische telecom bedrijf Belgacom in 2013 het slachtoffer is geworden bij een grootschalige aanval die waarschijnlijk is uitgevoerd door de Britse inlichtingendienst Government Communications Head Quarters (GCHQ) en de Amerikaanse inlichtingendienst National Security Agency (NSA). De hacking operaties tegen Belgacom en ook tegen de Europese Unie zijn wereldkundig gemaakt via de uitgelekte documenten over de spionageactiviteiten van de NSA door de onthullingen van klokkenluider Edward Snowden in juni 2013 (voetnoot 1). Regin is vergeleken met Stuxnet dat werd ingezet om de uraniumverrijkingscentrale in het Iraanse Natanz te saboteren. De worm die ontwikkeld is door de Verenigde Staten en Israël legde een vijfde van de Iraanse computers, die gebruikt worden voor het kernprogramma plat. Hierdoor zou het Iraanse atoomprogramma voor meerdere jaren vertraagd zijn.

Phishing is een vorm van internetfraude, waarmee fraudeurs proberen om via e-mail achter bankgegevens te komen. Potentiële slachtoffers worden naar een valse (bank)website gelokt. Die is echter een kopie van de echte website van de bank. Na verzochte invoering van inlognaam en wachtwoord krijgt de fraudeur de beschikking over bankgegevens waarna plundering van de rekening volgt. Symantec, een onderneming gespecialiseerd in computer beveiliging, schat dat per dag wereldwijd 8 miljoen phishing pogingen worden ondernomen.

Met de term Trojaans paard wordt een kwaadaardig programma bedoeld dat ongemerkt met een ander programma meekomt en die, van binnenuit, onopgemerkt op een computer actief zijn en die een kwaadwillende ongemerkt toegang geeft of (ongewenste) acties uitvoert. Een Trojaans paard kan worden gebruikt om virussen en wormen te verspreiden. Het belangrijkste verschil is, dat virussen en wormen zichzelf verspreiden naar slachtoffers (push) en Trojaanse paarden meestal door het slachtoffer worden binnengehaald (pull). Een computerworm (of kortweg worm) is een zichzelf vermenigvuldigend computerprogramma dat zichzelf verspreidt over het Internet en dat via het netwerk kopieën van zichzelf doorstuurt zonder tussenkomst van een tussengebruiker. Een worm is geen computervirus want het heeft geen computerprogramma nodig om zich aan vast te hechten. Een worm brengt schade toe aan een netwerk, en een virus doet een gerichte aanval op een computer. Een computervirus heeft een gastheer nodig zoals een bestand of e-mail.

Veel Trojaanse malware paarden bevatten tegenwoordig een backdoor component, die een kwaadwillende op een later tijdstip toegang kan verschaffen tot de geïnfecteerde computer. Een rootkit is een stukje gereedschap dat een hacker volledige controle geeft over een computer die de standaard Windows autorisatie en authenticatie mechanismen omzeilt en daardoor praktisch onzichtbaar wordt. Een keylogger is een specifiek soort software die maar één ding doet: het vastleggen (loggen) van toetsaanslagen, muisklikken en wachtwoorden,. De gelogde gegevens worden vaak automatisch verstuurd naar een derde partij. Een keylogger kan op zichzelf staan maar komt ook voor als onderdeel van een backdoor of een rootkit. Spyware is software die specifieke gegevens van een computer verzamelt, zoals bijv. surfgedrag. Spyware wordt soms door de softwarefabrikant en soms door anderen aan bestaande software toegevoegd. Spyware ‘verstopt’ zich vaak niet echt en is redelijk gemakkelijk op te sporen.

Zakenlieden zijn in luxe Aziatische hotels al minsten vier jaar lang ongemerkt doelwit van hackers. Het gaat hier om de zogenoemde Darkhotel spionage campagnes waarbij hackers al eerder gegevens hebben buitgemaakt van topbestuurders uit Azië en de Verenigde Staten. De hackers wachten tot de slachtoffers verbinding maken met het draadloze WiFi-netwerk van het hotel en krijgen dan inzage in het kamernummer en de achternaam van het slachtoffer. De hotelgast wordt verleid tot het downloaden en installeren van een backdoor, die oogt als legitieme software van Adobe of Google. Als het pakket is gedownload hebben de hackers toegang tot de systeem van de hotelgast. Het overgrote deel van de computer-vredebreuken vindt plaats in Japan, Taiwan, China en Rusland.

Ransomware, ‘gijzelingssoftware’, is een hardnekkige vorm van malware, die toegang tot de computer blokkeert. Het slachtoffer is niet meer in staat om gebruik te maken van het systeem: er is alleen maar een dreigende boodschap te zien. Hierin wordt het slachtoffer aangezet om een betaling te doen. Vaak doen de digitale afpersers zich voor als de politie, maar ook de namen van andere autoriteiten worden misbruikt. Ransomware is een vorm van afpersing en is strafbaar in Nederland.

De nieuwste en meest opvallende ontwikkeling in ransomware is de opkomst van cryptoware dat sterk gericht is op bedrijven. Medio 2013 werd de eerste variant gesignaleerd in Amerika, genaamd CryptoLocker. Eind 2013 werd cryptoware voor het eerst in Nederland waargenomen. CryptoLocker werd onder andere verspreid via de GameOver Zeus Trojan, dat in eerste instantie voor fraude met internetbankieren werd gebruikt. In totaal zouden 545.000 computers met GameOver Zeus ook met CryptoLocker besmet zijn geraakt. Dit was slechts een klein deel van het GameOver Zeus trojaans paard, aangezien bankfraude het hoofddoel was.

CryptoLocker is ransomware die bestanden op besmette computers versleutelt en vervolgens een bedrag eist dat slachtoffers moeten betalen om weer toegang te krijgen. De gebruikte encryptie is zo sterk dat het terugkrijgen van versleutelde bestanden, tenzij er betaald werd of slachtoffers over een back-up beschikten, zo goed als onmogelijk was. In het geval van CryptoLocker vervijfvoudigde de vraagprijs na 72 uur. Betaling leidde echter niet zonder meer tot het vrijgeven van de bestanden. Voor het versleutelen werd voor elke besmette computer een aparte privésleutel gebruikt, die zich op de goed verborgen servers van CryptoLocker bevond. Alleen met deze privésleutel konden de bestanden worden ontsleuteld.

Onderzoekers van het Nederlandse beveiligingsbedrijf Fox-IT en het Amerikaanse FireEye zijn erin geslaagd om de privésleutels van de CryptoLocker-ransomware te achterhalen, waardoor alle slachtoffers van deze ransomware sinds augustus 2014 hun versleutelde bestanden kosteloos konden terugkrijgen. Op het moment dat de FBI GameOver Zeus uit de lucht haalde waren nog steeds 155.000 computers met CryptoLocker besmet. Geschat is dat CryptoLocker de criminelen zo'n 2,2 miljoen euro opleverde, wat veel minder is dan de 24 miljoen dollar die door de FBI werden genoemd. Gebleken is dat uiteindelijk 1,3% van de besmette internetgebruikers het gevraagde losgeld ook betaalde.

Een opvallende trend in 2014 is de voortdurende groei van ransomware vooral op mobiele platvormen, zoals de Koler dreiging die sinds mei 2014 via pornowebsites vaste voet tracht te krijgen op het Android besturingssysteem voor mobiele telefoons. Het vertoont een vals bericht van lokale autoriteiten voor wetshandhaving en beschuldigt de gebruikers van het kijken en opslaan van pornografie met kinderen op straffe van het betalen van een boete via MoneyPak vooruitbetaal kaarten. Hoewel geen bestanden worden versleuteld doet de Slocker ransomware dat wel.

Een bot is een geïnfecteerde computer die op afstand met kwade bedoelingen bestuurd kan worden. Een botnet is een verzameling van dergelijke geïnfecteerde computers. Botnets of softwarerobots opereren automatisch en zelfstandig op ongewenste wijze bij aan elkaar gekoppelde computers via een worm, Trojaans paard of een achterdeur. Op de achtergrond staat altijd een beheerder (bot herder) die op afstand bestuurt vaak met behulp van het open groepscommunicatie (multicasting) Internet Relay Chat (IRC) protocol voor groepsgewijze Internet communicatie dat zich toelegt op een soort kamers (channels of kanalen) voor specifieke onderwerpen. Een botnet kan gebruikt worden voor het maken en sturen van spam, waarbij een spammer toegang tot het botnet koopt van de beheerder.

(Distributed) Denial of service, (D)DoS, is de situatie waarin een computersysteem niet in staat is te functioneren, waarbij bijv. een website onbereikbaar wordt voor de gebruikelijke afnemers van de dienst door de website te bestoken en te overbelasten met veel netwerkverkeer of te overspoelen met netwerkaanvragen. Het verschil tussen een 'gewone' DoS-aanval en een DDoS aanval is dat in het laatste geval meerdere computers tegelijk de aanval uitvoeren. Deze situatie kan veroorzaakt worden door een computerkraker, maar ook door een onbedoelde fout (bijv. een bug in een programma). Bij DDoS-aanvallen maakt men vaak gebruik van botnetwerken die allemaal extern aangestuurd kunnen worden. De externe bestuurder kan de computer van zijn slachtoffer laten crashen door alle computers in zijn botnetwerk tegelijkertijd bestanden te laten verzenden naar het slachtoffer. In april en mei 2013 lagen zowel de grootste Nederlandse banken als de overheid langere tijd onder vuur van deze aanvallen.

Volgens de Cyberedge Group behoren malware en phishing tot de belangrijkste categoriën van cybercriminaliteit. Op een schaal van 1 tot 5 scoren beide 3.26. Kwaadwillende insiders scoren 3.06. Minder verontrustend is (D)DoS met een score van 2.91.

Opvallend is dat organisaties over het algemeen minder bezorgd zijn omtrent de oorsprong van een dreiging dan omtrent het type dreiging dat teweeggebracht wordt. Kwaadwillende insiders scoren hoog op een tabel van 1 tot 5 met 2.96 en cybercriminelen hebben een score van 2.94. Hackers die politiek gemotiveerd zijn scoren 2.75 en hackers die door een staat gesponsord zijn realiseren een score van 2.74. Een en ander impliceert dat de bezorgdheid voor externe bedreigingen groter is dan die van interne aard in een verhouding van 2.5 ten opzichte van 1.

Kosten van cybercriminaliteit

De kosten van cybercriminaliteit worden in sterke mate bepaald door de wijze waarop cybercriminaliteit wordt gedefinieerd. Een enge definitie laat belangrijke niet-monetaire effecten op innovatie, nationale defensie en lange termijn concurrentievermogen buiten beschouwing. Tot de kosten behoren ook de kosten van het detecteren, herstellen, onderzoeken en beheren van de reacties op de incidenten.

Cybercriminaliteit treft honderden miljoenen mensen wier persoonlijke informatie is gestolen. In de VS gaat het om 40 miljoen mensen, in Turkije 54 miljoen, in Korea 20 miljoen, in Duitsland 16 miljoen en meer dan 20 miljoen in China. Voor 2013 wordt het totaal aantal getroffenen geschat op 800 miljoen.

Er zijn duizenden rapporten van bedrijven die gehackt zijn. Bijv. in de VS waren er in 2013 3.000 bedrijven die gehackt zijn. In India zijn tussen 2011 en juni 2013 308.371 websites gekraakt. Twee banken in de Perzische Golf verloren $45 miljoen in een paar uur. Een Britse onderneming rapporteerde een verlies van $1,3 miljard in een enkele aanval. Braziliaanse banken zeggen dat hun klanten jaarlijks miljoenen verliezen ten gevolge van cyber fraude. Een punt is dat banken die zware verliezen lijden ten gevolge van cyberincidenten dit vaak publiekelijk ontkennen. In Australië rapporteerden slechts 44% van de slachtoffers de internet aanvallen.

Wanneer ondernemingen getroffen worden door cyberaanvallen ervaren zij vaak een geringere waardering van hun aandelen tussen 1% en 5%, maar de daling is niet permanent en de koersen herstellen zich gewoonlijk binnen een kwartaal of twee.

Er is een positieve correlatie tussen de omvang van de getroffen organisatie en de kosten. Maar kleine organisaties ervaren hogere kosten per capita dan grotere organisaties ($1.601 versus $437). Alle industrieën zijn slachtoffer van cybercriminaliteit maar organisaties in sectoren zoals energie en nutsbedrijven en financiële dienstverlening ervaren hogere kosten dan organisaties in de media, wetenschappen en gezondheid.

De ondernemingen uit het 2014 onderzoek van het Ponemon Institute rapporteerden 429 succesrijke aanvallen per week in 257 organisaties en 1,7 succesrijke aanvallen per onderneming per week. Dit is een toename van 25 procent ten opzichte van 2013, toen dit voor 234 organisaties 1,4 aanvallen per week was en in 2012 voor 199 organisaties 1,3 aanvallen per week.

De meest kostbare cybermisdaden worden bedreven door kwaadwillige insiders (employees), bij weigering van dienstverlening en web-gebaseerde aanvallen. Dit geldt voor 55 procent van alle cyber criminaliteitskosten. Voor aanvallen van kwaadwillige insiders kost het de meeste tijd om deze te pareren, namelijk 58,5 dag, terwijl virussen slechts 2,6 dagen eisen. Verstoring van de bedrijfsvoering bijv. in termen van productiviteitsdaling vormt de grootste kostencomponent (38 procent) ten opzichte van verlies aan informatie (35 procent ) en schade aan machinerieën (4 procent). De gemiddelde duur van een cyberaanval was in 2014 31 dagen, wat na weging met de gemiddeld kosten een toename is van 23 procent ten opzichte van de 27 dagen in 2013.

Het belangrijkste verlies ten gevolge van cybercriminaliteit is diefstal van intellectuele eigendom. Het Ministerie van Handel in de VS rapporteert dat diefstal van intellectuele eigendom (niet alleen ten gevolge van cybercriminaliteit) jaarlijks Amerikaanse ondernemingen $200 tot $250 miljard kost.

Financiële misdaden, het stelen van financiële activa door het illegaal binnendringen in computers, zijn de tweede grootste bron van directe verliezen van cybercriminaliteit. Het zijn misdaden met een hoog publiciteitsprofiel. Als van miljoenen mensen hun creditkaart wordt gestolen krijgt dat onmiddellijk de aandacht. Deze aanvallen kosten de slachtoffer ondernemingen meer dan $100 miljoen voor herstel, hoewel de winst voor de krakers veel kleiner is. Door online fraude verliezen bijv. Mexicaanse banken jaarlijks zo’n $93 miljoen. Geschat wordt dat Japanse banken $110 miljoen en Amerikaanse banken $200 miljoen verliezen. Vooral het kleinbedrijf is een favoriet doelwit voor cybercriminelen. Zo rapporteerde de kleinhandel in het Verenigd Koninkrijk een verlies van meer dan $850 miljoen in 2013. De financiële dienstverlening in Australië had per onderneming meer dan $100 miljoen verlies. De diefstal van financiële activa is voor criminelen gemakkelijk te monetiseren als de fondsen rechtstreeks getransfereerd worden naar een rekening die zij kunnen controleren. In de voormalige Sovjet Unie zijn 20 tot 30 cyber-criminaliteitsgroepen actief en zij zijn in staat om bijna elke defensieve cybermaatregel te ontwijken.

Het stelen van vertrouwelijke bedrijfsinformatie is de derde grootste kostenbron van cybercriminaliteit, die door criminelen snel kan worden omgezet in winst. Australische autoriteiten rapporteerden dat er meer dan 200 pogingen zijn gedaan om binnen te dringen in het netwerk van mijnbouw ondernemingen.

Manipulatie van aandelenkoersen is ook een groeiende tak van cybercriminaliteit. Door in te breken in het netwerk van een onderneming, van accountants en advocaten kan inside informatie verkregen worden omtrent aanstaande fusies en samenwerkingen waarmee de aandelenkoersen beïnvloed kunnen worden. Door gebruik te maken van “chat rooms” en sociale media voor “pump and dump” geven criminelen valse informatie omtrent de vooruitzichten van een onderneming en laten hun kasregisters rinkelen als de markt reageert (voetnoot 2).

Het verstoren van de bedrijfsvoering omvatte 38 procent van de totale kosten, gevolgd door verlies van informatie. Het opsporen van cyberaanvallen en het herstel daarvan maken 53 procent van de totale interne kosten uit.

De gemiddelde kosten per jaar van cybermisdaden voor 257 organisaties uit zeven landen (de Verenigde Staten, het Verenigd Koninkrijk, Duitsland, Australië, Japan, Frankrijk en Rusland) bedragen in 2014 $7,6 miljoen, met een aanzienlijke variatiebreedte van $ 0,5 miljoen tot $61 miljoen per onderneming voor elk jaar. Ten opzichte van 2013 was er een kostenstijging van 10,4 procent. De gemiddelde kosten zijn het hoogste in de Verenigde Staten ($12.7 miljoen) en het laagste in Rusland ($3.3 miljoen). Met uitzondering van Rusland, hebben alle zes landen een kostenstijging ervaren die varieerde van 2.7% voor Japan tot 22.7% voor het Verenigd Koninkrijk. Hoge inkomenslanden verliezen meer als percentage van hun GDP (0,9%) dan ontwikkelingslanden (0,2%).

Voor ontwikkelde landen heeft cybercriminaliteit ernstige implicaties voor de werkgelegenheid waarbij veelal die banen verdwijnen die de meeste waarde creëren. In de VS kost cybercriminaliteit 200.000 banen, wat neerkomt op een daling van de werkgelegenheid met ⅓ procent. Voor de EU kan het werkgelegenheidsverlies vanwege cybercriminaliteit oplopen tot 150.000 banen, wat neerkomt op 0,6% van de totale werkloosheid. Het gaat hierbij niet altijd om netto banenverlies want werklozen kunnen andere banen vinden of hoog betaalde banen kunnen vervangen worden door lager betaalde banen.

Misgelopen inkomsten ('opportunity costs')

Er zijn drie soorten alternatieve kosten die de verliezen van internet criminaliteit bepalen: verminderde investeringen in R&D, risico mijdend gedrag door bedrijven en consumenten waardoor het internet gebruik beperkt wordt en toenemende bestedingen aan netwerk beveiliging. Productiemiddelen zouden hebben kunnen worden aangewend in deze mogelijkheden, maar kennelijk is dat niet gedaan. Bij een economische beoordeling moet hiernaar echter wel gekeken worden.

De alternatieve kosten van internet criminaliteit worden wel gezien als het waarde aandeel daarvan in de Internet economie, die jaarlijks tussen $2 biljoen (een miljoen maal een miljoen) en $3 biljoen genereert. Cybercriminaliteit wordt geschat hieraan tussen 15% en 20% te onttrekken, wat een zware belasting is op potentiële economische groei en banen creatie.

De International Data Corporation (IDC) schat dat de totale markt voor beveiligingsproducten en diensten voor het Internet sinds 2011 is gestegen met 8,7% van $53 miljard naar $58 miljard in 2013. Dit is voornamelijk het resultaat van het toegenomen bewustzijn voor cyberveiligheidsrisico’s bij bedrijven.

Feit is dat de kosten van reparatie van cyberaanvallen, inclusief reputatieschade voor de gekraakte ondernemingen vaak groter zijn dan die van de misdaad zelf. Voor bijv. Italië waren de feitelijke verliezen slechts $857 miljoen, maar de kosten van herstel en de alternatieve kosten bedroegen $8,5 miljard.

Het beperken van cyberaanvallen eist de beschikking over geavanceerde technologieën zoals Security Information & Event Management (SIEM), systemen die aanvallen voorkomen, toepassing van digitale veiligheidsoplossingen. Door gebruik te maken van beveiligingstechnieken worden ondernemingen efficient in het opsporen van cyberaanvallen en dit levert volgens het Ponemon Institute een gemiddelde kostenbesparing op van $2,6 miljoen ten opzichte van bedrijven die dat niet doen.

Conclusies en de toekomst

Gesteld kan worden dat cyberaanvallen als een normaal verschijnsel te beschouwen zijn. Financiële criminaliteit vindt plaats op industriële schaal. Malware en phishing bezorgen IT beveiligingsprofessionals het meeste hoofdpijn. Zij zijn meer bezorgd omtrent kwaadwillende insiders dan cybercriminelen. Volgens de Cyberedge Group zullen binnen twee jaar ongeveer 75 procent van de ondernemingen "bring your own device" (BYOD) beleid geïnstalleerd hebben, waarbij employees hun eigen apparaten naar hun werk meebrengen. Smartphones en tablets worden dan ook gezien als de zwakste link voor IT beveiliging, gevolgd door laptops en sociale media applicaties. Deze “brave new BYOD world” stelt specifieke beveiligingsuitdagingen voor organisaties. In Europa is er sprake van een minder agressieve installatie van BYOD beleid dan in de Verenigde Staten: 21 procent van de ondernemingen versus 35 procent.

Net Access Control (NAC) en Next-Generation Firewall (NGFW) oplossingen worden opgevat als het meest effectief ter bestrijding van cyberdreigingen. Een laag beveiligingsbewustzijn bij employees is de grootste beperkende factor voor een adequate verdediging tegen cyberaanvallen.

De huidige generatie van oplossingen voor geavanceerde cybercriminaliteit is primair gericht op detectie terwijl preventie van voortdurende bedreigde activiteiten wordt beschouwd als een secundaire zaak. Een dergelijke benadering is echter onhoudbaar bij de toenemende frequentie van cyberaanvallen. Een “closed-loop” defensie circuit is noodzakelijk waarbij er integratie tussen detectie en preventie plaats vindt op basis van een automatische reactie op uit-de-hand-gelopen detectie gebeurtenissen.

Een kwart van de reagerende en geïnterviewde organisaties voert dagelijks of wekelijks kwetsbaarheidsscans uit op hun volledig netwerk. Slechts een op de twee organisaties scannen hun netwerk per kwartaal of jaarlijks.

Het voorspellen van de toekomst komt neer op een vergelijking van waarschijnlijkheden – de kans op verbeterde protectie en betere internationale samenwerking versus de kans op toegenomen economische ontwikkeling in de wereld. Zelfs als de verliezen van financiële misdaden constant blijven zal het verlies van intellectuele eigendom alleen maar stijgen.

Twee mogelijkheden doen zich voor.

  • Voor de ontwikkelde landen zullen de kosten vlak blijven als percentage van het GDP, maar de globale kosten nemen toe als nieuwe toetreders en ontwikkelingslanden hun gebruik van het Internet accelereren.
  • De kosten voor ontwikkelde landen nemen toe als meer activiteiten online worden afgewikkeld en krakers hun vermogen om te monetiseren wat zij stelen kunnen verbeteren.

Een scenario waarin de cybercriminaliteitsverliezen afnemen is niet geloofwaardig te achten. De toekomst voor de wereld ligt in toenemende criminaliteitsverliezen en lagere groei.

Referenties

Armin, Jart, 2012, The World’s Community and the War on Cyber Crime - What About Italy, CyberDefcon Ltd.

Bijl, Joost, 2014, CryptoLocker ransomware intelligence report, Fox It, 6 augustus 2014.

Center for Strategic and International Studies, 2014, Net Losses: Estimating the Global Cost of Cybercrime, Economic impact of cybercrime II, juni 2014

Certified Secure, Onderzoekers verslaan encryptie CryptoLocker-ransomware, woensdag 6 augustus 2014, Security.nl

Cyberedge Group, 2014, Cyberthreat Defense Report.

Marquis-Boire, Morgan, Claudio Guarnieri en Ryan Gallagher, 2014, Secret Malware in European Union Attack linked to U.S. and British Intelligence, The Intercept, 24 november 2014.

Ponemon Institute, 2014, Global Report on the Cost of Cyber Crime.

Rosoff, Matt, 2011, Smartphone Invasion! BYOD (Bring Your Own Device) Is Changing How We Work, Business Insider, 1 juni 2011.

Voetnoten

(1) De NSA hield wereldwijd sinds 2007 online communicatie in de gaten via het programma PRISM. Het omvat meerdere applicaties, computersystemen en databases en is niet een op zichzelf staand computerprogramma. Het is een manier om diepgaande bewaking toe te passen op live communicatie en opgeslagen informatie en is voor 98 procent gebaseerd op Yahoo, Google en Microsoft. Een op de zeven inlichtingenrapporten van NSA zijn gebaseerd op materiaal dat via PRISM is verkregen. De Nederlandse Algemene Inlichtingen- en Veiligheidsdienst (AIVD) gebruikt PRISM niet.

(2) Hierbij gaat het om frauduleuze berichten op het Internet waarbij beleggers worden aangemoedigd door zogenaamde insiders om snel een aandeel te kopen (verkopen) voordat de koers stijgt (daalt). De zogenaamde insiders maken winst door in hun bezit zijnde aandelen te verkopen (“dumpen”) nadat de koers “omhoog gepompt” is. Doordat deze criminelen hun aandelen hebben gedumpt daalt de koers zodat de misleide beleggers met verliezen worden geconfronteerd. In dit opzicht was een klassieke scam het aandeel My Vintage Baby in de zomer van 2007 waarvan de koers steeg van 40 dollar cent naar $2,88, terwijl dit aandeel daarna zeer sterk daalde.

Te citeren als

Ad van de Gevel, Charles Noussair, “Kosten van cybercriminaliteit: een introductie”, Me Judice, 24 februari 2015.

Copyright

De titel en eerste zinnen van dit artikel mogen zonder toestemming worden overgenomen met de bronvermelding Me Judice en, indien online, een link naar het artikel. Volledige overname is slechts beperkt toegestaan. Voor meer informatie, zie onze copyright richtlijnen.

Afbeelding
Afbeelding ‘cable’ van postbear eater of worlds (CC BY-NC-SA 2.0)

Ontvang updates via e-mail