Zonder monitoring ben je eigenlijk blind (blog)

5 januari 2016

Zonder monitoring ben je eigenlijk blind. Deze uitspraak is afkomstig van Michel van Eeten (TU Delft). Hij zei dit tijdens een uitzending van Brandpunt Reporter met als onderwerp ‘Cyber-Chinezen stelen Nederlandse bedrijfsgeheimen’. Tijdens de uitzending werd de ASML hack als leidraad gebruikt om een aantal experts te interviewen. Volgens hen is economische spionage via internet schering en inslag. In deze blog licht ik toe waarom Guardian360 goede monitoring zo belangrijk vindt, en waarom de uitspraak van Van Eeten mij daarom zo aansprak.

Economische spionage
In de uitzending stelt Marc Kuipers (AIVD) dat het verdienvermogen van Nederland in gevaar dreigt te komen doordat digitale spionnen azen op ons tafelzilver. Spionage is dankzij de inzet van IT goedkoper en eenvoudiger geworden; je kunt vanaf elke plek op aarde je werk doen. Ook is spionage effectiever geworden: een geslaagde inbraak kan nu een heel computersysteem blootleggen. Volgens Kuipers merkt de AIVD dat internetcriminelen zich steeds meer toeleggen op economische spionage, in plaats van dat zij het snelle geld najagen. Zij hebben daarbij een grote mate van professionaliteit ontwikkeld, mede dankzij de opbrengsten van eerdere door hen gepleegde hacks. Kuipers geeft ook aan dat de AIVD onder elke steen waar zij kijkt ook daadwerkelijk wat vindt. Economische cyberspionage zou daarom volgens hem wel eens het grootste aandachtsgebied van de AIVD kunnen worden. Daar komt bij dat inlichtingendiensten ook steeds meer gebruik maken van internetcriminelen. Een geslaagde hackpoging bij een ministerie levert hen immers zeer interessante informatie op.

Jeroen Herlaar (Mandiant) ondersteunt het betoog van Kuipers. Hij stelt dat groepen hackers actief naar intellectueel eigendom zoeken. Een van die groepen is de Chinese PLA Unit 61398. Deze groep beroofde al tientallen bedrijven van hun intellectueel eigendom, waarbij het om honderden gigabytes aan data ging. Het is bekend dat deze groep gelieerd is aan de Chinese overheid en defensie. Dit toont aan dat inlichtingendiensten hun focus steeds meer verschuiven naar het verkrijgen van militaire informatie en intellectueel eigendom, in plaats van alleen het inwinnen van militaire informatie. De samenwerking met criminele organisaties wordt daarbij niet geschuwd.

Advocaat Lokke Moerel constateert dat er een informatiemarkt is, met gegevens die interessant zijn voor handel, bijvoorbeeld op de beurs. Gegevens kunnen ook interessant en nuttig zijn bij onderhandelingen, of wanneer bedrijven met elkaar concurreren bij een deal of overname. Hackers zoeken daarom in bedrijfsnetwerken naar pdf’s, doc’s en andere documenten. Tegelijkertijd proberen zij zoveel mogelijk data naar buiten te sluizen, zodat ze deze later kunnen onderzoeken. Op deze manier worden er zaken bekend die bedrijven liever geheim hadden gehouden.

IT security
Kuipers stelt verder dat een aantal (grote) bedrijven IT security vooral zien als kostenpost, in plaats van een belangrijke investeringsfactor die nodig is om de continuïteit te verzekeren. Bij beveiliging moet de basis op orde zijn, dat is het belangrijkste. Veel bedrijven vergeten echter het belang van basale beveiligingsmechanismen, zoals een sterk wachtwoorden policy. Zwakke wachtwoorden zorgden er bijvoorbeeld voor dat Chinese hackers binnen konden komen in het netwerk van ASML.
Het is ook goed om te kijken naar dat deel van je portefeuille dat de kroonjuwelen bevat, want die wilt u uiteraard goed beveiligen. Ook is het belangrijk dat die kroonjuwelen niet voor iedereen zomaar toegankelijk zijn. Om die reden hangt de AIVD niet alles aan het internet. Herlaar voegt hier heel terecht aan toe dat kroonjuwelen in iedere organisatie aanwezig zijn. Vrijwel ieder bedrijf heeft immers geïnvesteerd in intellectueel eigendom, processen en procedures. Zij hebben dus absoluut waardevolle informatie in huis.

Monitoring
Volgens Herlaar wordt tweederde van de aanvallen pas bekend nadat een externe partij het slachtoffer daarvan op de hoogte brengt. Logisch: hackers willen zo lang mogelijk onder de radar blijven, want hoe meer tijd ze hebben, hoe meer data ze kunnen verzamelen. Gemiddeld duurt het 205 dagen voordat een hack wordt opgemerkt. Ronald Prins (Fox-IT) geeft aan dat zijn bedrijf zo’n 80 klanten monitort. Dagelijks zijn enkele meldingen van zodanige aard dat specialisten van Fox-IT ingezet moeten worden om een mogelijke inbraak te verijdelen. Prins geeft daarbij aan dat er veel meer gebeurt dan we nu eigenlijk weten.

Hoe kan Guardian360 helpen?
Met behulp van ons platform helpen we organisaties met het monitoren van de beveiligingsmaatregelen die ze al getroffen hebben. Daarnaast doen we ons best om een hacker snel te betrappen. Veel bedrijven hebben al in een bepaalde mate geïnvesteerd in informatiebeveiliging, wij kijken over de schouders van hun beheerders mee of systemen nog up-to-date zijn. Daardoor helpen we bedrijven om de basis op orde te brengen, waarna ze een gefundeerde keuze kunnen maken in welke middelen ze vervolgens investeren. Omdat Guardian360 deze middelen niet zelf levert, kunnen wij onafhankelijk adviseren. Wilt u hier meer over weten? Bekijk dan onze werkwijze of neem contact met ons op!

————
Deze blog is geschreven door Jan Martijn Broekhof van Guardian360 en werd ook op www.guardian360.nl gepubliceerd.

Intermax Redactie