Grote hoeveelheden slecht beveiligde, op internet aangesloten apparaten kunnen een groot bedrijfsrisico vormen. Massale inzet ervan brengt een enorme datastroom op gang, wat leidt tot overbelasting van websites en een geblokkeerde internetverbinding. ‘Communicatie met de buitenwereld is onmogelijk, de schade kan in de miljoenen lopen.’
Oproep om te testen: ‘Doe alsof je onbereikbaar bent’
Enkele jaren geleden leidden Distributed Denial-of-Service (DDoS)-aanvallen op banken tot de nodige opschudding, omdat klanten enige tijd niet konden telebankieren. Eind oktober dit jaar kreeg Dyn, een Amerikaanse domeinnaamprovider, te maken met een ongekend grootschalige DDoS-aanval. Klanten, waaronder Twitter en Spotify, waren hierdoor enige tijd niet bereikbaar. ‘De aanval werd uitgevoerd door het Mirai-botnet, vanaf zo’n 100.000 op internet aangesloten apparaten waaronder beveiligingscamera’s en digitale videoapparatuur’, aldus Frank Groenewegen, principal security expert bij Fox-IT. Botnets of botnetwerken zijn speciale netwerken van computers die besmet zijn met malware, waarmee iemand computers op afstand kan gebruiken voor allerlei vormen van cybercriminaliteit.
Enorme consequenties
De maatregelen die indertijd zijn genomen om DDoS-aanvallen te pareren, zijn ontoereikend bij de huidige, veel omvangrijkere aanvallen. Grote aantallen doorgaans onbeveiligde, met internet verbonden apparaten veroorzaken een gigantische datastroom en sluiten zo organisaties volledig af van internet. ‘Als de beveiliging van deze producten niet wordt verbeterd, zullen ze steeds frequenter en op grotere schaal worden ingezet voor DDoS-aanvallen’, voorspelt Groenewegen. ‘Het is een kwestie van tijd voor we ook in Nederland en de rest van Europa meer met dit soort aanvallen te maken krijgen.’
De consequenties voor bedrijven zijn enorm. ‘Stel, een DDoS-aanval legt in de decembermaand de website van een online winkel plat. Die is dan onbereikbaar voor klanten, bestellen en betalen is niet meer mogelijk. Ook de interne toegang tot mail, cloudapplicaties, et cetera, kan geblokkeerd zijn. Dat kan miljoenen euro’s schade per uur opleveren’, stelt de expert van Fox-IT. ‘Bovendien is nu de broncode van Mirai vrijgegeven, wat betekent dat iedereen zo’n zware DDoS-aanval kan opzetten. Het is dus zaak om als bedrijf je beveiliging te verifiëren.’ Adequate bescherming tegen dergelijke hoogvolume DDoS-aanvallen is dan ook een must. ‘Je bedrijf volledig beschermen is niet voor elke ondernemer financieel haalbaar, maar zorg ervoor dat in elk geval de bedrijfskritische processen zoals bestellingen, orderverwerking en betaling doorgang kunnen vinden.’
Securitynorm
Frank Groenewegen, principal security expert bij Fox-IT: ‘Je bedrijf volledig beschermen is niet voor elke ondernemer financieel haalbaar, maar zorg ervoor dat in elk geval de bedrijfskritische processen doorgang kunnen vinden.’
Veel bedrijven denken dat het zo’n vaart niet zal lopen, maar Frank Groenewegen adviseert nu al een crisisoefening te houden, de beveiliging te testen en een protocol op te stellen met een stappenplan voor het geval ze met een DDoS-aanval te maken krijgen. ‘Doe alsof je onbereikbaar bent. Reageert je internetprovider of het datacenter waar je servers staan alert en adequaat? Kun je je systeembeheerders te pakken krijgen op vrijdagavond? Het is belangrijk dat je al die stakeholders 24/7 kunt bereiken.’
Daarmee is het echte probleem – de vele onbeveiligde, op internet aangesloten apparaten – niet uit de wereld. Die apparaten draaien namelijk op zeer onveilig geconfigureerde besturingssystemen en maken vaak gebruik van standaardgebruikersnamen en -wachtwoorden die soms niet eens zijn aan te passen. Een botnet scant het internet op dergelijke kwetsbare apparaten, voegt ze toe en zet ze in om een aanval uit te voeren. Daardoor is het probleem buitengewoon lastig aan te pakken. ‘Consumenten hebben weinig oog voor security en al helemaal als het om randapparatuur voor het IoT (internet of things, red.) gaat. Leveranciers van IoT-apparatuur hebben vooralsnog geen enkele stimulans om wat aan beveiliging te doen. Dus zou de overheid moeten komen met een securitynorm voor IoT-apparatuur. Voldoet apparatuur niet aan die norm, dan mag deze niet op de markt gebracht worden’, stelt Frank Groenewegen. ‘Door de digitalisering zijn we steeds meer afhankelijk van internet en nu blijkt hoe kwetsbaar het huidige systeem is. De enige oplossing is dat overheid en de ict-branche er gezamenlijk de schouders onder zetten.’
