Toename internetcriminaliteit verplicht bedrijven om incidenten te melden

Internetcriminaliteit is booming business maar er is weinig bekend over de werkelijke omvang. De reden is simpel: er is voor bedrijven niets te winnen bij het bekendmaken van inbreuk op hun computersystemen. Dit gaat echter veranderen. De EU werkt aan een verplichting voor bedrijven om incidenten te melden, zoals in de VS al langer gebruikelijk is. De druk wordt daarmee groter op bedrijven om te werken aan de veiligheid van hun computersystemen, waarvoor zij immers zelf verantwoordelijk zijn.

“Het idee dat internetcriminaliteit alleen draait om geldverduistering via gestolen credit card gegevens is te simpel”, zegt Fredrik Svantes, hoofd van het Security Incident Response Team (SIRT) van IT service provider Basefarm. De groei van informatie op computersystemen waar criminelen zich online toegang tot kunnen verschaffen leidt bijvoorbeeld tot een lucratieve handel in persoonsgegevens. “In sommige landen is het mogelijk om met een gestolen fiscaal nummer een banklening af te sluiten, waar de eigenlijke bezitter van het nummer niets van weet”, zegt Svantes. “Het slachtoffer kan vervolgens wel bezoek krijgen van een deurwaarder die de schuld komt opeisen. Een lastige positie voor het slachtoffer die zich moet vrijpleiten.”

Criminelen zien een ‘markt’ in het internet
“Het internet is nooit zo bedreigd geweest als nu. Steeds meer criminele organisaties zien hier een ‘markt'. Desalniettemin is het bewustzijn bij bedrijven over veiligheid niet bijzonder groot”, Fredrik Svantes, hoofd van het Security Incident Response Team (SIRT) van Basefarm.

Om het inzicht in internetcriminaliteit te vergroten, en ook het gevoel van urgentie bij bedrijven om maatregelen te nemen, werkt de Europese Commissie aan een rapportageplicht voor belangrijke incidenten. De Commissie omschrijft deze incidenten als: ‘incidents having a significant impact on the security of core services provided by market operators and public administrations’. Onder ‘market operators’ vallen onder meer banken, e-commerce organisaties, instellingen in de gezondheidszorg en transport- en energiebedrijven. Het is aan nationale overheden om te bepalen of zulke incidenten ook publiekelijk bekend moeten worden gemaakt. De bepalingen worden opgenomen in de komende Europese richtlijn voor Network and Information Security (NIS), onderdeel van de uitgebreide Digitale Agenda van de EU.

Topje van de ijsberg
Publiekelijk bekende gegevens over dergelijke criminaliteit, zoals bijvoorbeeld de rapporten van Breachlevel, zijn “het topje van de ijsberg”, zegt Svantes. “Een webshop heeft er geen enkel belang bij om bekend te maken dat een hacker gegevens uit het systeem heeft gestolen, want klanten zullen weglopen.” Dus houden veel bedrijven zich stil als er iets misgaat. Een groep bedrijven die al wel sinds lange tijd werk maakt van de veiligheid van IT-systemen heeft zich in 1990 verenigd in de organisatie FIRST – het Forum for Incident Response and Security Teams. Apple, NASA en Interpol zijn bijvoorbeeld lid, en in Nederland alle grote banken. “Het belang van zo’n organisatie ligt in de uitwisseling van informatie”, zegt Fredrik Svantes. Criminelen zijn continue op zoek naar nieuwe manieren om in te breken op systemen. Om tijdig op de hoogte te zijn van nieuwe bedreigingen en bijtijds maatregelen te kunnen nemen is het cruciaal voor bedrijven om informatie te delen.

“Via FIRST krijgen we informatie waar we anders niet over zouden beschikken. We zien wat voor aanvallen er worden uitgevoerd en hoe collega’s daarop reageren. Hierdoor voorkomen we dat we zelf slachtoffer worden.” Het is natuurlijk zeer gevoelige informatie die de FIRST-leden onderling uitwisselen en dus is er onderling absolute vertrouwelijkheid. “Daarom kunnen bedrijven alleen op uitnodiging lid worden en is er een zware toelatingsprocedure,” legt Svantes uit.

Niet het enige kanaal
Maar met het lidmaatschap van één organisatie, zoals FIRST, is de veiligheid bij lange na niet gegarandeerd. Het informatiekanaal is belangrijk, maar niet het enige kanaal voor Svantes en zijn team voor bescherming van IT-systemen.