Hoe kun je jezelf effectief beveiligen in een wereld waar miljarden verdiend worden met cybercriminaliteit, met organisaties die met een enkel virus als WannaCry honderdduizenden bedrijven in een keer genadeloos weten te treffen? Hoe beveilig je jezelf in een wereld waarin malware en virussen beschikbaar zijn op een online markt, waar de cybercrimineel zonder programmeerkennis malware kan aanschaffen en tegen meerprijs gebruik kan maken van een 24-uurs klantendienst, mocht je malware-aanval niet helemaal lekker lopen. Hoe beveilig je jezelf in een wereld waarin potentieel ieder huishoudelijk apparaat een ingang tot je thuisnetwerk, je laptop en daarmee zelf het bedrijfsnetwerk biedt?

“Het is een oorlog,” zegt Kris Hagerman, CEO van het Britse beveiligingsbedrijf Sophos bezwerend,“en het vóelt alsof de slechteriken aan het winnen zijn. En als je denkt dat het probleem van cybercriminaliteit nu groot is, zet je dan maar schrap, want de komende 5 á10 jaar gaat iedere auto, deurbel, thermostaat, koelkast, koffiezetapparaat verbonden worden met internet, waarmee het aanvalsoppervlakte voor criminelen alleen nog maar toeneemt.” 

Consumenten en werknemers opvoeden in beveiliging

Kris Hagerman is CEO van wellicht het grootste internetbeveiligingsbedrijf waar u nog nooit van hebt gehoord, en dat heeft een reden: Sophos is als bedrijfsbeveiliger niet actief op de consumentenmarkt, maar voorziet bedrijven, en ook organisaties als ziekenhuizen, universiteiten, scholen, advocatenkantoren en dokterspraktijken van beveiligingssoftware. Hagerman, die zijn sporen verdiende bij softwarebedrijven als Symantec en Corel, richt niettemin zijn pijlen op de consument: “Hoe beter mensen thuis beschermd zijn, des te beter zullen zij beschermd zijn als ze aan het werk gaan. Want wat is een van de grootste aanvalsfactoren in een bedrijf? Het zijn werknemers!” Die werknemers nemen hun laptop, tablet of telefoon van werk mee naar huis, en verbinden zich met het thuisnetwerk. En als dat niet beveiligd is kunnen ze geïnfecteerd worden door allerlei soorten malware, gedownload via de apparaten van bijvoorbeeld hun kinderen. “Het is een gedeelde verantwoordelijkheid. Het is onze verantwoordelijkheid als bedrijf dat organisaties beschermt, zowel consumenten als werknemers te helpen en op te voeden in het belang van beveiliging.”

info
14-10-2017 02:00

Wat is malware?

Malicious Software, kortweg malware, is schadelijke software die ingezet wordt om computersystemen te verstoren of om op oneigenlijke wijze toegang te krijgen en informatie te verzamelen op computersystemen. Vaak wordt gebruik gemaakt van onvolkomenheden in software, maar steeds vaker is de gebruiker zelf oorzaak van een malware-infectie, door bijvoorbeeld een bezoek aan illegale torrentsites of pornosites, of door een zwakke beveiliging van IoT-devices. Veel voorkomende voorbeelden van malware zijn Adware, computerwormen en spyware. In het geval van Adware raakt de computer vervuildmet reclamesoftware en toont continu[U1]  reclame-pop ups, bij minder onschuldige varianten als ransomware, wordt de computer gegijzeld en pas vrijgegeven als er een losgeld is betaald. Een computerworm verspreidt[U2]  zich over een heel netwerk en spyware verzamelt data zoals creditcardgegevens. Vaak wordt een combinatie van bovenstaande varianten ingezet.

Ingrijpen zonder menselijke tussenkomst

Het is dus oorlog, en in de frontlinie zet Sophos nieuwe technieken in om cybercriminelen voor te blijven. Zelflerende machines die gebruik maken van kunstmatige intelligentie, ofwel Deep Learning, spelen hierin een grote rol. Deze intelligente techniek is dezelfde die bijvoorbeeld een Tesla in staat stelt zelf te rijden, helpt honderdduizenden stukken malware van over de hele wereld te analyseren, en voorspelt vervolgens wat echt gevaarlijk is, zelfs als het nog niet eerder is ingezet. “We zien tussen de 300.000 en 400.000 unieke stukken malware per dag voorbijkomen. Met Deep learning kunnen we niet alleen dat volume aan, maar we gebruiken die malware om ons model ermee op te leiden en beter te worden. Al die malware is dus gewoon input-data dat het model beter maakt. We halen er nuttige informatie uit die ons in staat stelt betere voorspellingen te doen wanneer iets slecht is, en dit doen we dan enorm veel sneller, zonder menselijke tussenkomst.”

Waar zoeken cybercriminelen naar?

Om het gevaar op consumentenniveau te schetsen schept Hagerman het beeld van een fysiek huis: “De manier waarop een cybercrimineel inbreekt is niet heel anders dan een inbreker die probeert je huis leeg te roven. Ze komen binnen, en proberen dingen uit. Eerst proberen ze via de voordeur binnen te komen. Als die gesloten is dan proberen ze de zijdeur en proberen die uit. Als die op slot is gaan ze naar een raam. Als dat dicht blijkt, gaan ze naar een ander raam. Weer dicht? Dan komen ze met een ladder en proberen op de eerste verdieping. En zo blijven ze proberen. En komen ze niet direct de woning binnen? Dan proberen ze wellicht de garage. Als de roldeur dicht blijkt, dan kunnen ze de grendel proberen. Als die verroest blijkt, proberen ze die. En beweeg je de grendel hard genoeg heen en weer, dan kun je dus naar binnen. En ben je binnen, dan verspreid je je met je criminele vrienden door het hele huis op zoek naar waardevolle spullen.” 

Precies zo proberen criminelen zwakke plekken in de digitale beveiliging te vinden. Een nieuwe, buitengewoon zwakke plek is het Internet der Dingen: apparatuur die is aangesloten op het huisnetwerk, maar niet, of nauwelijks beveiligd is. Waar apparaten los staan van elkaar, niet ‘met elkaar praten’ maar wel in hetzelfde netwerk hangen. Zodra een crimineel een weg naar binnen heeft gevonden dan gaat hij naar iedere mogelijke plek waar hij kan komen. “Het is heel moeilijk om de schurken te pakken zodra ze in het netwerk zijn binnengedrongen. Zodra een crimineel binnen is, zal hij zich snel en in alle stilte zich verspreiden zo ver en zo snel hij kan, op zoek naar waardevolle dingen. En dat zijn niet diamanten of horloges of contant geld, het gaat ze om data zoals creditcardinformatie.”

Wat moet je doen om jezelf tegen malware te beschermen?

Hagerman snapt dat de consument nog geen goede radar heeft ontwikkeld tegen de dreiging van cybercriminaliteit: “Homo sapiens bestaat 100.000 jaar. In die tijd zijn we geëvolueerd om ons te beschermen tegen criminaliteit in de fysieke wereld. Er is altijd iemand die probeert een ander te benadelen. Zolang er mensen zijn, is er misdaad. Door de tijd heen hebben we behoorlijk goed geleerd onszelf te beschermen. In de online wereld, die nog maar 25 jaar bestaat, hebben we nog nauwelijks geleerd voorzichtig te zijn. Dus als een email binnenkomt, verwerken we die ontzettend snel, we denken geen seconde na en klikken. Als iemand op straat je vraagt ‘geef me je creditcard’ dan zul je dat nooit doen. Maar online gebeurt dat continue, omdat we dat vermogen nog niet hebben ontwikkeld dat we in de echte wereld wel hebben. Het probleem is groot maar traag, het is zorgwekkend, maar niet onmiddellijk bedreigend. Het is als de opwarming van de aarde. De meeste mensen geloven dat het gebeurt, en ze voelen wel dat het een impact op ze heeft, maar hebben een houding van: ‘Ik ben nu met honderd andere dingen bezig, ik ga me er later wel druk om maken’.”

Hagerman wil inzetten op educatie, laten zien hoe belangrijk het is. Persoonlijke cybersecurity moet wat hem betreft een variant worden op ‘je moet je gordel dragen als je in je auto stapt’ of, ‘niet appen terwijl je rijdt’. “Zorg dat je slimme dingen doet om je zelf te beschermen, en wees je bewust van de wereld waarin je leeft” is zijn boodschap. “Let op de beveiliging. Als je prijzen vergelijkt, zoek dan gelijk op internet naar de beveiliging van het apparaat. Zodra je het apparaat hebt, kijk naar de beveiligingsinstellingen, en als je het wachtwoord kunt veranderen, verander het wachtwoord. Vaak zijn die wachtwoorden standaard gewoon ‘admin’ of 4 nullen. Gebruik beveiliging als een van de criteria waarmee je een product aanschaft. En als je ze installeert, denk dan na over hoe je ze instelt, wat het wachtwoord is.”

In 'The Haunted House' wordt de kwetsbaarheid van huishoudelijke apparatuur getoond

Bewustwording onder consumenten is cruciaal in het succesvol bestrijden van cybercriminaliteit. Maar het zou wat Hagerman betreft ook de verantwoordelijkheid moeten zijn van overheden, die zouden een rol moeten spelen in het opvoeden van de consument. Maar ook de bedrijven die deze apparaten fabriceren zouden verantwoordelijkheid moeten nemen. “Om eerlijk te zijn zou je geen webdevice moeten mogen leveren dat wagenwijd openstaat en daardoor de boel kwetsbaar maakt.”

Is cybercrime onbeheersbaar?

Maar is de strijd wel te winnen, loop je niet altijd achter de feiten aan, zijn de slechteriken aan de winnende hand? Hagerman gaat even verzitten en richt zich op: “Het is vergelijkbaar met het namaken van contant geld. Je gaat het nooit voorkomen, maar als je het moeilijk maakt, door gebruik te maken van laser-technologie, door een reliëf aan te brengen, door een klein stukje metaalfolie in een bankbiljet te verwerken, zorg je ervoor dat vervalsers 2,5 miljoen dollar kwijt zijn voor een geavanceerde drukpers. Je hebt het daarmee niet uitgesloten, maar je hebt het wel erg moeilijk en ontoegankelijk gemaakt. Als wij dat kunnen doen voor cybermisdaad, dan is dat een grote stap. It’s a win. We zijn niet perfect, maar we worden iedere dag een stukje beter.  Het internet reikt tot overal over de wereld, met enorme voordelen voor de planeet. En de waarde van het internet, en al die mensen die verbonden zijn met bijna onbegrensde hoeveelheden informatie, loopt in de honderden biljarden dollars. Cybercrime is een groeiend, moeilijk probleem, maar het is slechts een fractie van de waarde die internet genereert. En het is een fractie die afneemt. Dus wees optimistisch. Het is een groot probleem, maar het is een beheersbaar probleem. Ik denk niet dat de slechteriken aan het winnen zijn, het internet is aan het winnen.” 

Weten wat je zelf kunt doen? En om welke apparaten gaat het? Lees 'Laat hackers zich niet thuisvoelen: 5 tips tegen het hacken van huishoudelijke apparaten'