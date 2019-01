Het is een duistere wereld vol eenzame zielen, hackers die zichzelf verhuren, ideologische organisaties en georganiseerde misdaad. Het is ook één van de grootste bedreigingen voor de toekomstige ontwikkeling van de wereldeconomie: bedrijfsspionage is big business.

Volgens een recent onderzoek van het Centre for Strategic and International Studies kost diefstal van bedrijfsgeheimen de wereldeconomie meer dan € 396 mrd per jaar. Dat is bijna 1% van het wereldinkomen. En dat cijfer zou nog maar eens het topje van de ijsberg kunnen zijn, want niemand kent de ware omvang van het probleem.

Wat we echter wel weten is dat het Witte Huis, overheidssystemen en grote bedrijven zoals Home Depot, JP Morgan en Sony in de afgelopen 12 maanden allemaal slachtoffer werden van cyberaanvallen. Voor de Amerikaanse president Barack Obama was dit de aanleiding om nieuwe wetten en sancties door te voeren die gericht zijn tegen buitenlandse hackers en bedrijven die profiteren van cyberspionage.

Cyberbeveiligingsexperts erkennen echter dat het uiteindelijk onmogelijk zal zijn dit soort aanvallen uit te bannen. “Het is altijd al een groot risico geweest, maar het is in de afgelopen paar jaar nog gegroeid, en er zijn altijd nieuwe bedreigingen”, zegt Kyle Brant, cyber regional manager, Continental Europe bij ACE.

Internetbeveiligingsexpert Symantec ontdekte in 2013 een toename van 91% aan gerichte aanvalscampagnes op bedrijven. Dit resulteerde in een toename van 62% van het aantal beveiligingslekken, waarbij meer dan 552 miljoen identiteiten werden blootgelegd. Tegen deze achtergrond schat onderzoeksfirma Gartner dat er alleen al in 2015 € 68,4 mrd zal worden uitgegeven aan informatiebeveiliging.

Verborgen identiteit

Eén van de redenen dat het zo moeilijk is om aanvallen te weren, is dat we niet weten wie erachter zit. “Uitvinden wie het deed en waarom is bijzonder moeilijk, tenzij de hackers zich bekend maken, maar dat gebeurt maar zelden”, vertelt Brant. Volgens Colin Tankard, managing director bij databeveiligingsspecialist Digital Pathways, zijn spear phishing, water-holing, APT en air-gap bridging malware tegenwoordig de favoriete hackingtechnieken. Bij de laatste wordt er een hoogfrequent geluidssignaal door de speakers van een geïnfecteerde computer verzonden om een andere computer (waarvan de microfoon is ingeschakeld) te infecteren.

Deze nieuwe technieken zijn niet altijd effectiever dan bekende en beproefde hack-technieken, merkt Iain Ainslie, technology and cyber risk manager bij ACE Global Markets en bij ACE European Group in het Verenigd Koninkrijk en Ierland op. “Hackers ontwikkelen zich steeds verder. Maar niet alle hackers zijn even ver ontwikkeld”, zegt hij.

Kijk bijvoorbeeld naar hacken in zijn meest elementaire vorm, met phishing e-mails. Symantec schat dat er elke dag 156 miljoen phishing e-mails worden verzonden. Ongeveer acht miljoen worden er geopend en vervolgens wordt er 800.000 keer op een link geklikt. Door zo goed mogelijk voorbereid te zijn op een aanval, heb je al een halve slag gewonnen volgens Brant. “Er zijn veel goede beveiligingssystemen die je daarbij kunnen helpen. Maar het draait ook om goed risicobeheer, dat van bovenaf moet beginnen en tot werknemers op het laagste niveau moet doorwerken. Vaak zijn zij degenen die reageren op een phishing-aanval en het systeem blootstellen aan gevaar.”

Naast moderne antivirusbeveiliging, kunnen bedrijven computer server cloaking overwegen, zegt Tankard. “Cloaked servers zijn alleen toegankelijk voor gebruikers of applicaties die deel uitmaken van een geautoriseerde groep. Als je geen deel uitmaakt van die groep kun je de servers niet zien. En je kunt niet hacken wat je niet kan zien.”

‘De netwerkbeveiligingsindustrie loopt altijd achter de feiten aan’

Experts zoals Tankard adviseren bedrijven zich te verzekeren tegen cyberaanvallen. Het is een uitdagend onderwerp, vooral waar het aankomt op het vaststellen van de schade als gevolg van diefstal van intellectueel eigendom, zoals patenten.

“Iemand kan een gepatenteerd ontwerp op zijn computersysteem hebben staan waarvan hij denkt dat het de komende vijf jaar € 44 miljoen zal opbrengen. Maar dan wordt het gestolen en meegenomen naar een deel van de wereld waar niemand zich druk maakt over het misbruik van patenten, om het product daar te laten maken tegen een fractie van de kosten hier”, zegt Ainslie. “Zullen zij een claim van € 44 miljoen indienen terwijl iemand anders negen maanden later met een beter product op de markt komt? Vaststellen wat de verzekerbare schade in dat geval zou zijn, is ongelofelijk moeilijk.”

Lastig parket

Het is slechts een extra complicatie op de stapel hiervoor genoemde moeilijkheden die met cybergerelateerde industriële spionage gepaard gaan. Degenen die dit probleem willen uitroeien zitten in een lastig parket. “De netwerkbeveiligingsindustrie loopt altijd achter de feiten aan. Ze proberen 10.000 bedreigingen te bestrijden terwijl de hacker op zoek is naar één zwakke plek. Die zwakke plek is meestal een persoon achter de software en het scherm dat de malware of hacker toegang tot het systeem biedt”, zegt Brant. “En zelfs de beste ICT-beveiliging kan dat niet tegenhouden.”