Tien jaar geleden kon je er met wat geluk nog mee wegkomen als je niet te veel aandacht besteedde aan beveiliging, vooral binnen bepaalde sectoren. Tot een paar jaar geleden dan. Voor iedereen is namelijk de impact van potentiële veiligheidsincidenten toegenomen. En erger nog: de kans dat ze optreden is ook groter geworden. Welke veranderingen hebben hiertoe geleid?
Volgens Securify zijn deze veranderingen onder te verdelen in drie categorieën: veranderingen in regelgeving, aan de kant van de verdedigers en aan de kant van de aanvallers. Deze veranderingen worden hieronder besproken.
Veranderingen in regelgeving
Regelgeving op het gebied van cybersecurity-activiteiten in de private sector is in het afgelopen decennium toegenomen. Hieronder enkele in het oog springende voorbeelden hiervan.
-
In 2016 introduceerde De Nederlandsche Bank TIBER , een testframework voor financiële instellingen, geïnspireerd op CBEST. Later is dit op Europees niveau overgenomen en heeft het geleid tot spin-offs, zoals het ZORRO-framework voor de gezondheidszorg dat momenteel in ontwikkeling is.
-
In 2016 werd ook de NIS-richtlijn geïntroduceerd, gericht op exploitanten van essentiële diensten en digitale dienstverleners.
-
In 2019 werd de AVG in Nederland geïntroduceerd. Deze privacywetgeving bevat enkele artikelen die ook over beveiliging gaan, en introduceert de mogelijkheid tot hoge boetes bij overtreding of incidenten.
-
Onlangs werd in 2022 de DORA (Digital Operations Resilience Act) geïntroduceerd. Deze wet is van toepassing op organisaties binnen de financiële dienstverlening en treedt in 2025 in werking.
-
Binnenkort zal de NIS-richtlijn worden vervangen door NIS2, met een bredere reikwijdte en strengere regels.
Wetgeving fungeert als een stok met consequenties. Ze vergroot de impact van incidenten of non-compliance. Het effect van de hierboven beschreven veranderingen is dat organisaties die het betreft, zich aan strengere regels moeten houden en dat veel organisaties die eerder niet onder toezicht stonden, dit nu wel staan. Voor de meeste bedrijven betekent dit dat er meer aandacht moet worden besteed aan sturing op beveiliging, en preventieve maatregelen.
Veranderingen in aanvalsoppervlak
Ons gezamenlijke aanvalsoppervlak is ook veranderd door de jaren heen. De grootste verandering is de migratie van bedrijven naar de Cloud. Van eerdere gemakkelijk te omarmen SaaS-oplossingen zoals e-mail en CRM naar complexe situaties waarin volledige infrastructuren zijn gemigreerd.
Vaak heeft een migratie naar de Cloud een positief effect op je aanvalsoppervlak. Vergelijk het beheren van je eigen Exchange-servers met een Microsoft 365-abonnement. Vanuit beveiligingsoogpunt zijn er voor de meeste organisaties weinig redenen om voor het eerste te kiezen. Maar ook bij IaaS en PaaS levert de migratie naar de Cloud per saldo voordelen op. Over het algemeen hebben Cloud aanbieders hun beveiliging beter onder controle dan de meeste van hun klanten.
Een andere positieve ontwikkeling is de adoptie van 'no-code' en 'low-code' ontwikkelomgevingen. Dit heeft geleid tot minder kwetsbare applicaties. Natuurlijk gaat alles niet helemaal vanzelf goed en moet je nog steeds op configuraties en business logica letten. Over het algemeen is dit echter een positieve ontwikkeling.
Maar er zijn ook negatieve ontwikkelingen.
-
Meer organisaties produceren meer code die vaker verandert. Dit is gunstig vanuit een bedrijfsperspectief, maar het brengt beveiligingsrisico's met zich mee, zelfs als je een solide SDLC hebt geïmplementeerd.
-
Veranderingen in de infrastructuur zijn gemakkelijker te realiseren in de Cloud (in vergelijking met fysieke servers). Dit betekent dat infrastructuren nu flexibeler zijn dan voorheen. En toegenomen automatisering en integratie leiden tot meer API's.
-
Deze veranderingen bij elkaar betekenen een aanvalsoppervlak, dat groter wordt en vaker verandert. Dit vergroot de kans op incidenten.
Veranderingen in dreigingen
Aan de kant van dreigingen deden zich de veranderingen met de grootste impact voor bij financieel gemotiveerde dreigingsactoren. Tien jaar geleden hadden de veel criminelen als bankklanten als doelwit om geld te stelen door het gebruik van banking trojans, of ze vielen organisaties aan om creditcardgegevens of persoonsgegevens te bemachtigen. De opkomst van ransomware rond 2012 was een game changer. Kwaadwillenden behaalden een goed rendement op hun investeringen haalden hun transacties uit het financiële systeem door met virtual currencies als Bitcoin te laten betalen. Ransomware groeide explosief binnen de criminele wereld.
Bovendien vond er in 2017 en 2018 een verschuiving plaats naar het afpersen van organisaties in plaats van mensen in hun thuisomgeving. De dagen dat je als crimineel een aanval uitvoerde voor een bedrag van 400 dollar waren voorbij. Het afpersen van een organisatie leverde in de beginfase enkele tonnen op. Vandaag de dag kan dit oplopen tot ettelijke miljoenen. Het is een serieuze return on investment. Sindsdien hebben criminelen nog een tweede manier van afpersing aan hun arsenaal toegevoegd: het lekken van vertrouwelijke bedrijfsinformatie. En meest recent als derde het direct afpersen van klanten van hun slachtoffer met het lekken van gevoelige informatie die henzelf betreft.
De impact op de wereld is enorm. Ransomware is veranderd van een consumentendreiging naar een dreiging die elke organisatie hard kan treffen, overal en op elk moment. In 2023 is ransomware nog steeds de grootste dreiging voor de meeste organisaties, met vernietigende gevolgen.