Veel organisaties werken met een eigen red team. Een red team probeert te denken als een crimineel en ongeautoriseerd binnen te komen bij de organisatie. Het doel van een red team is om zwakke plekken bloot te leggen. Daarom hebben ze dezelfde middelen als criminelen en eigenlijk kan een goed red team overal wel binnenkomen (en dus echte cybercriminelen ook!).
Maar, hoe denkt een crimineel nu eigenlijk?
Eigenlijk is het vrij simpel, de meeste cybercriminelen willen gewoon inbreken en geld pakken. En proberen alles om dat te bereiken. Soms is dat makkelijker dan we denken. Dan zijn we druk met het up-to-date houden van software en het patchen van zwakheden, maar niet zo streng met wachtwoorden. En dat is het eerste wat een crimineel probeert, wachtwoorden zoeken. Want, als ze een wachtwoord vinden, komen ze legitiem en onder de radar binnen in je systemen.
Maar, waar moeten je ambities liggen qua security? Dat ligt vooral aan het type crimineel waar je mee te maken hebt:
- Hacktivism: dit zijn activistische groepen of rebellen, die linken we vaak aan fysieke acties die voor het grote publiek goed zichtbaar zijn, zoals de snelwegen blokkeren. Maar ook deze groepen gaan op de digitale wereld over en zoeken nieuwe vormen om hun punt te maken. We hebben al gezien dat bepaalde organisaties zijn platgelegd met een zogenaamde DDoS (Distributed Denial of Service) aanval. Een dergelijke aanval overbelast de website van een bedrijf zo ernstig dat het onbereikbaar is.
- Organized crime: dit is de gangbaarste en grootste dreigingscategorie voor de meeste bedrijven, hier staat het financiële belang dat er te halen valt voorop. Dit soort criminele partijen zijn volwaardige en volwassen organisaties met bijvoorbeeld een HR of recruitmentafdeling en een helpdesk. Zo heeft de hackersgroep die zichzelf ‘Conti’ noemt in enkele jaren een vermogen opgebouwd van € 20 miljard aan gestolen bitcoins. Voor hen is het niet belangrijk of je een grote of een kleine organisatie bent en wat je doet, als er maar geld te halen is.
- Insider threat: De insider threat zoekt een kwetsbare medewerker die misschien financieel krap zit en bereid is om tijdelijk hun bedrijfsaccount te verkopen. Criminelen vinden zo een creatieve manier om digitaal toegang te krijgen tot een bedrijf. Zo zien we dat de interne medewerker ook wel eens de bron kan zijn van een cyberaanval. Het levert veel geld op voor de insider om even een paar dagen toegang te verkopen. Dus je wachtwoord verkopen of een tooltje installeren op je pc van de crimineel waarmee ze toegang hebben tot het bedrijfsnetwerk. Dit lijkt misschien vergezocht als je aan je eigen medewerkers denkt, maar het komt steeds vaker voor.
- Spionage: een dreigingscategorie waarmee de crimineel vooral op zoek is naar vertrouwelijke data. Denk hierbij aan R&D gegevens of aan gegevens die inzicht geven over de economie. Het stelen van de vertrouwelijke data gebeurt onopgemerkt en vaak door andere landen (statelijke actoren).
- Terrorisme en sabotage: deze vorm is vaak meer gericht op publieke organisaties waarmee ontwrichting van de maatschappij bereikt kan worden. Het kan een belang zijn van een statelijke actor om maatschappelijke onrust te creëren waardoor het land zich focust op de interne crisis en minder op externe conflicten.
Spionage, terrorisme, of sabotage lijken misschien niet van toepassing voor jouw bedrijf, maar denk eens aan de gehele keten waarin je actief bent. Een bedrijf als ASML heeft ontzettend veel intellectual property waar vreemde naties bereid zijn om veel tijd en energie in te steken om binnen te komen. Dus ook als jouw bedrijf misschien niet interessant lijkt voor dit soort dreigingsmotieven, als je in die keten zit ben je dat dus wel.
Voor welke type crimineel ben jij meest kwetsbaar?