Onze samenleving is innig verweven met internet. We kopen er concertkaartjes en vliegtickets, regelen onze bankzaken online en overleggen digitaal met collega’s. We gaan ervan uit dat het altijd werkt, maar wat verliezen we als dat niet zo is? Denk aan de DDoS-aanvallen op het netwerk van Ziggo en KPN in 2015. Of de hack van de servers van de Universiteit Maastricht, begin dit jaar.

Abhishta Abhishta, universitair docent finance and cyber risk management aan de Universiteit Twente in Enschede, onderzocht de financiële impact van cyberaanvallen op bedrijven, scholen en andere instellingen. Hij promoveerde in december en richtte zich voornamelijk op DDoS-aanvallen (distributed-denial-of-service). Daarbij wordt de aangevallen server zodanig overbelast met internetverkeer dat hij niet meer werkt. Precieze cijfers kan Abhishta niet geven omdat hij niet in de boekhoudingen van bedrijven en instellingen kan kijken. Maar ze zouden volgens hem veel meer bezig moeten zijn met hoeveel geld ze in cyberveiligheid steken, hoe ze zich tegen een aanval verzekeren, en wat hun zwakke plekken zijn. „Ik kom vaak bij bedrijven die te weinig stilstaan bij het belang van die beschikbaarheid van hun website of servers. Het is een vanzelfsprekendheid dat alles het doet, totdat het netwerk uit de lucht is.”

Wat vind je hier zo interessant aan?

„Beschikbaarheid van internet wordt steeds belangrijker voor ons. Ik heb thuis een Google Home, en als het internet niet werkt, kan ik mijn lichten niet eens meer uitdoen of koken. Hopelijk zien mensen over tien jaar in dat het echt waardevol is om hier geld aan uit te geven, bijvoorbeeld door een extra beveiligde telefoon te kopen. Deze technieken zijn nog volop in ontwikkeling, en ze zijn pas af als ze ook veilig genoeg zijn.”

Hoe heb je het onderzoek gedaan?

„Ik heb eerst gekeken naar de reputatieschade van bedrijven na een DDoS-aanval, door openbare koersinformatie te bestuderen. Dus op het moment dat de nieuwsberichten naar buiten komen waarin staat dat bijvoorbeeld Ziggo is aangevallen, kun je zien hoe aandeelhouders reageren: verkopen ze hun aandelen?”

Zag je dat in 2015 bij Ziggo?

„Bij Ziggo was dat helaas niet goed te achterhalen omdat het onderdeel is van een groot conglomeraat. Maar in veel andere gevallen was duidelijk te zien dat de financiële markten er negatief op reageerden. Dat duurde trouwens vaak maar enkele weken, daarna herstelde de aandelenkoers zich weer.”

Cyberveiligheid draait om drie beginselen: vertrouwelijkheid, integriteit en beschikbaarheid

 

Waarom heb je je op DDoS-aanvallen gericht?

„Cyberveiligheid draait om drie beginselen: vertrouwelijkheid, integriteit en beschikbaarheid. Als nu die eerste twee worden geschonden doordat er data worden gestolen, dan weet je dat het daarom gaat. Wat ik interessant vind, is dat er bij een DDoS-aanval geen gegevens worden gestolen – je website of server is uit de lucht. We moeten daarom naar andere dingen kijken om erachter te komen wat de verliezen zijn.”

Waarom voeren mensen cyberaanvallen uit?

„Losgeld is een reden. En het gebeurt regelmatig dat een bedrijf zijn concurrent laat aanvallen, zodat ontevreden klanten kunnen weglopen of overstappen. Er zijn ook mensen die dit voor de lol doen, om op te scheppen. Dat bewijzen ze dan door te zeggen dat het netwerk op een bepaald tijdstip weer werkt. Zoiets deed de activistische hackersgroep Anonymous ook toen ze Ziggo aanvielen omdat zij slechte service zouden bieden. ‘Hacktivism’, voor het algemeen belang.

„Anonymous doet dat vaker, ze leggen bijvoorbeeld ook websites van overheden plat, of websites van Donald Trump en Hillary Clinton tijdens de Amerikaanse verkiezingen in 2016. Interessant is dat het hier niet eens zozeer om de aanval zelf draait, maar om de hele mediacampagne en retoriek eromheen.

„En het gebeurt ook weleens dat ontslagen mensen wraak willen nemen op hun voormalige werkgever en er een DDoS-aanval op uitvoeren. Dus je ziet: vaak genoeg is er helemaal niks aan te verdienen voor daders.”

Nee? Waarom dan die aanval?

„Omdat ze wél goed gedijen bij de economische verliezen van hun slachtoffers. Dat is het spel!

Je kunt bepaalde websites, zogeheten booters, vijf euro geven voor een DDoS-aanval

 

„Ik heb ook gegevens bestudeerd van SURFnet, het bedrijf dat alle onderwijsinstellingen in Nederland van internet voorziet, en gekeken wanneer zij door een DDoS-aanval geraakt werden. Als je dat naast de schoolkalender legt zie je dat er 70 procent meer kans was op een DDoS-aanval tijdens kantooruren dan daarbuiten.”

Wat zegt dat?

„Dat het in dat geval de dader gaat om ontwrichting van de academische activiteiten. Colleges of examens kunnen bijvoorbeeld niet doorgaan. Besef dat het heel makkelijk is om zo’n aanval uit voeren. Je kunt bepaalde websites, zogeheten booters, vijf euro geven voor een DDoS-aanval op een bepaald IP-adres. Ze adverteren zichzelf als ‘stress testers’.”

Wat denk je van de hackaanval op de universiteit van Maastricht?

„Daar weet ik niet meer van dan in het nieuws bekend is gemaakt. Op het eerste gezicht is het niet een typisch doelwit. Maar aan de andere kant beschikken ze wel over examens en cijfers, die ze voor een bepaalde periode ná het afstuderen van studenten moeten bewaren. Als ze dat verliezen, weet ik niet wat voor juridische problemen ze zouden krijgen. En lopen er daarna mensen met een nepdiploma van de Universiteit Maastricht rond? Het zijn misschien geen geheime data, maar het gaat wel om de integriteit van de universiteit.”

Waar heb je nog meer onderzocht?

„Onder meer bij wisselkantoren voor cryptovaluta. Zij verdienen geld aan toeslagen voor elke transactie die zij bemiddelen en zijn erg afhankelijk van een beschikbaar netwerk: geen transacties, geen geld. En dat maakt ze vatbaar voor criminelen.

„Bijkomend nadeel is dat deze bedrijven, in het geval van een aanval waarbij wel losgeld wordt geëist, het moeilijk vinden om aangifte te doen. Dat zag ik ook bij goksites of providers van versleutelde e-maildiensten. Ze willen koste wat kost hun klantgegevens niet delen – die zekerheid is juist wat ze verkopen.”

Het bedrijf deed geen aangifte en betaalde het losgeld. Vervolgens werden ze door andere criminelen aangevallen

 

Dus zij lopen een groot risico op een cyberaanval?

„Ja, dit soort bedrijven wordt, vermoeden we, heel vaak aangevallen. Een ander voorbeeld is Protonmail, een provider van versleutelde e-mail. In 2015 werden ze getroffen door een DDoS-aanval. Het bedrijf deed geen aangifte en betaalde het losgeld. Vervolgens werden ze door andere criminelen aangevallen, omdat bekend was gemaakt dat ze hadden betaald. Daarom willen de meeste bedrijven ook niet melden of ze losgeld hebben betaald of niet.”



Source link

You must be logged in to post a comment.