'Mensen zijn makkelijk te hacken'

“Je kan niet iets beveiligen wat je niet begrijpt”, citeert Ronald Kingma van SecureLabs Bruce Schneier, één van de meest gezaghebbende security-goeroes ter wereld. “En netwerken worden steeds complexer, dus moeilijker te beveiligen,' voegt Kingma eraan toe. 'We hangen alles maar aan elkaar, met het Internet of Things als laatste toevoeging. Daar komt bij dat de aanvallers steeds slimmer worden en professioneler. Er zitten hele bedrijven achter.”

Kingma schetst in het kort voor ons een beeld van de geschiedenis van malware en cybercrime. Van 1990 tot 2000 ging het om het raden van wachtwoorden en het uitvoeren van network exploits, met studenten als voornaamste daders. Van 2000 tot 2005 had je netwerkwormen en brute force attacks met als doel de pers te halen en bekendheid te verwerven. Tot 2010 domineerden de web app attacks door kleine criminele teams. En nu leven we in een tijdperk van cybercrime as a service, waarbij een complete criminele economie is ontstaan. Beroepscriminelen verkopen elkaar gestolen gegevens, testen elkaars malware en bieden DDOS-aanvallen en phishingcampagnes als dienst aan. De teams zijn groot, vaak is er zelfs een klantenservice die problemen verhelpt, ook bijvoorbeeld van slachtoffers van gijzelvirussen die niet weten hoe je het losgeld voor je data in bitcoins moet betalen. Het enige doel van deze vorm van criminaliteit is winst, zoveel mogelijk winst.

Mensen als zwakke plek
Een van de ontwikkelingen van de laatste jaren is dat mensen als zwakke plek op de korrel worden genomen. “Hacken wordt steeds lastiger, en mensen zijn eenvoudiger te hacken,” aldus Ronald Kingma. “SecureLabs voert vaak phishing attacks uit in opdracht, om te onderzoeken hoe makkelijk kantoorpersoneel daarop reageert. 80% blijkt dan vrijwillig bijvoorbeeld zijn wachtwoord prijs te geven.” En Kingma citeert een andere goeroe, meesterhacker Kevin Mitnick: “De beste bescherming is niet een virusscanner of een firewall maar training, educatie en bewustzijn.” Mitnick kan het weten want in zijn dagen als niet-zo-ethische hacker was social engineering zijn sterke punt: het slim bevragen en uithoren van mensen om aan gevoelige informatie te komen.

Ronald Kingma is niet alleen sceptisch over virusscanners en firewalls. Ook over penetratietests, waarbij een ingehuurd bedrijf zoals SecureLabs de beveiliging van een opdrachtgever test door op allerlei manieren te proberen binnen te dringen, heeft hij bedenkingen. “De meeste pentesters doen andere pentesters na. En certified ethical hacker word je al door een voldoende score te halen op 125 multiple choice vragen. Na zo'n test worden de aangedragen punten opgelost, maar daarna zijn er gewoon weer nieuwe problemen te vinden. De preventie van geavanceerde dreigingen is fantasie. We maken een verschuiving mee van preventie naar snelle detectie en reageren op incidenten.” In zijn bijdrage eerder op dezelfde dag zei cybergeneraal Hans Folmer het zo: “De vraag is niet of en wanneer je gehackt wordt. Je bent al gehackt.” Dat is de situatie waar bedrijven nu op moeten reageren.

Kingma vat zijn boodschap samen in een eigen multiple choice test:

• Streven we naar 100% veiligheid? Nee, dat is onhaalbaar.
• Als we investeren in de beste tools, zijn we dan veilig? Nee, in cybersecurity gaat het niet om technologie.
• Vinden we veiligheid in het naleven van procedures? Nee, ons vermogen om te leren is belangrijker dan controleren.
• Moeten we het hebben van de beste professionals? Ook dat niet, want veiligheid is geen afdeling. Het is een houding die overal in het bedrijf moet zitten.