Cyberaanvallen ING inleiding faillissement Online Dienstverlening

DDoS aanval op ING

Foto ANP

Ruim een week geleden schudde Nederland op zijn grondvesten. Er was iets misgegaan bij  de verwerking van een bestand waardoor de klanten van de ING verkeerde saldo informatie kregen. Maar daarna begonnen de problemen pas echt. Er zijn tenminste vier cyberaanvallen uitgevoerd op de ING, maar het lijkt alsof we ons om het laatste minder zorgen maken. Wij zijn vooral boos omdat de bank haar digitale zaakjes niet op orde heeft.

Hoewel de aanvallen zich nu toespitsen op de ING zijn ook de betalingsdienst iDeal en andere banken getroffen door een of meerdere DDoS aanvallen waarbij er zoveel verkeer gegenereerd wordt dat de servers het aantal aanvragen niet meer aankunnen en daardoor stilgelegd worden. Het is dus geen echte inbraak. Dus waar maken we ons druk over?

Voor ons als consumenten is zo’n DDoS aanval alleen maar lastig. We kunnen niet altijd inloggen, en onze overboekingen moeten we maar even uitstellen. Voor de detailhandel is het meer dan lastig. Zo stelde de branchevereniging Thuiswinkel.org deze week dat de online winkels door de cyberaanvallen op de ING tientallen miljoenen euro’s schade lijden. Voormalig commandant der strijdkrachten Dick Berlijn voorspelt dat we in de toekomst meer van dit type aanvallen kunnen verwachten en volgt er een top tussen de ministers Opstelten van Justitie en Dijsselbloem van Financiën.

Oppervlakkig bekeken zijn de aanvallen alleen maar lastig, maar als we dieper kijken naar de oorzaken dient de vraag zich aan wat wij als consument belangrijker vinden: Betrouwbare real time saldo informatie of een betrouwbare portemonnee. De cyberaanvallen van deze week tonen aan dat de IT infrastructuur van banken zeer kwetsbaar is.

Deels is dit het directe gevolg van de financiële crisis waarbij in 2008 en 2009 veel projecten bij banken zijn stilgelegd. Nog steeds wordt er bij projecten vooral naar het rendement gekeken, en niet naar de veiligheid omdat dit een kostenpost lijkt te zijn. In het Business Continuity Management ligt de nadruk vooral nog op de interne beschikbaarheid van systemen terwijl de focus juist bij externe bedreigingen moet liggen. Vanwege de bezuinigingen worden steeds meer diensten online aangeboden terwijl de infrastructuur van de banken hier niet klaar voor is. Tal van bedrijf kritische applicaties bij de banken draaien op ‘legacy systemen’. Oude mainframes met minder capaciteit dat onze nieuwste smartphones vormen de ruggengraat van onze online economie, waarbij programma’s geschreven in archaïsche programmeertalen het betalingsverkeer regelen. Deze systemen en programmeertalen zijn niet berekend op de huidige toepassingen. De financiële sector is daarmee een makkelijk doelwit voor cyberaanvallen. Niet alleen in Nederland, maar wereldwijd zien we de laatste maanden aanvallen op banken. Zo werden onlangs nog de Koreaanse banken lamgelegd en deze maand werd bekend dat Amerikaanse banken in 2012 maar liefst 249 uur onbereikbaar waren door DDoS aanvallen. banken Ondanks het feit dat er niet daadwerkelijk ‘íngebroken’ is bij de banken loopt de schade in de miljarden. Ook deze maand werd bekend dat hackers ruim 200 miljoen euro buitgemaakt hebben bij aanvallen op Russische

Moeten wij als consument in plaats van meer online diensten en digitaal gemak niet meer gaan vragen om veilige dienstverlening? Moeten wij eisen dat de banksector de miljardenwinsten investeert om de IT infrastructuur up to date te brengen? Het lijkt vechten tegen de bierkaai. Er worden al tonnen geïnvesteerd in zwaardere beveiligingsmethoden. Zonder veel succes overigens, want een half jaar later zit dezelfde rekencapaciteit in een laptop van 500 Euro en kan iedere puber ook deze beveiliging weer kraken.

De strijd op het internet lijkt een eindeloze wapenwedloop te worden die wij gaan verliezen. Het echte probleem zit veel dieper. Het zit in de aderen van het internet zelf. Net als bij de banken draait het internet zelf op systemen die in de jaren 70 ontworpen zijn en de uitwisseling van gegevens wordt gedaan door protocollen uit de jaren 70. In het ontwerp van het internet gaat het om de vrije uitwisseling van informatie tussen een klein groepje mensen die elkaar kennen en vertrouwen. Er was geen noodzaak om na te denken over beveiliging en het identificeren van gebruikers.

Nu het internet door miljarden mensen wereldwijd gebruikt wordt en wij steeds meer ons leven online organiseren lopen we tegen de grenzen van het vrije internet aan. Langzamerhand moeten we de conclusie trekken dat het internet niet veilig genoeg is om onze financiële transacties af te handelen, dat het onvoldoende mogelijkheden heeft om ons intellectueel eigendom te beschermen en wij ons digitale leven er niet zeker zijn.

‘Cyberaanvallen binnen twee jaar grootste bedrijfsrisico’

AMSTERDAM – Cyberaanvallen zijn binnen twee jaar een groter risico voor bedrijven dan economische onzekerheid.

Dat blijkt althans uit een onderzoek onder ruim 3300 IT-specialisten door een beveiligingsbedrijf. Het is niet de eerste keer dat de risico’s van cyberaanvallen voor bedrijven onder de aandacht worden gebracht.
Bijna de helft (48 procent) geeft aan dat de beveiliging tegen online diefstal van intellectueel eigendom in hun bedrijf te wensen over laat. Bovendien geeft 51 procent toe machteloos te zijn tegen serieuze pogingen van cyberspionage.
Mede daardoor geeft een derde van de IT-specialisten aan dat hij verwacht dat zijn onderneming vroeg of laat slachtoffer wordt van cyberaanvallen.
Opvallend is dat ook een derde van de ondervraagden niet op de hoogte is van de laatste trojaanse paarden en niet weet hoe gerichte aanvallen precies worden uitgevoerd.
Op dit moment wordt de economische onzekerheid door bedrijven als het grootste risico gezien. Cyberaanvallen staan op de tweede positie. Binnen twee jaar zou deze rangschikking dus omgedraaid moeten zijn.

Bron: Nu.nl

Bij Auruncus gaan we een stapje verder. We schrijven er al een tijdje over, en dat blijven we doen. Cyberaanvallen zullen niet over een jaar of twee de een grotere bedreiging zijn voor het bedrijfsleven dan economische onzekerheid, maar binnen een decennium voor een grotere, diepere financiële crisis zorgen dan de huidige economische crisis omdat ze de hele economie kan ontwrichten.

Anonymous start eerste cyberoorlog

Het is een historische dag vandaag. Er word geschiedenis geschreven. Het bijzondere is dat bijna geen enkele nieuwssite of krant er aandacht aan besteed. In Nederland zijn de ontwikkelingen in de zaak Vaatstra het belangrijkste nieuws. Daarnaast krijgen de beschietingen op de Gaza strook een behoorlijke dosis aandacht, maar verder dan de ouderwetse oorlogsvoering wordt er niet gekeken terwijl er los van de raketaanvallen een andere oorlog is begonnen die mogelijk de wereld gaat veranderen.

Gisteren en vannacht zijn we getuige geweest van het begin van de eerste echte Cyberoorlog waarin honderden hackers uit het Anonymous collectief een gezamenlijke aanval op Israelische doelen zijn gestart onder de campagnenaam #OpIsrael. Volgens ABC News zijn er in de loop van de avond en de nacht meer dan 44 miljoen aanvallen gelanceerd op diverse doelen.

CNN meldt dat de schade in geen verhouding staat tot de schade op de grond. Daar hebben ze nog wel gelijk in, want er staat natuurlijk geen prijskaartje op een mensenleven. Aan de andere kant vind ik het wel een onderschatting van wat er gebeurd. Gezien de 44 miljoen aanvallen valt de uiteindelijke schade mee; Er zijn een aantal databases gehackt en gebruikersnamen en wachtwoorden gelekt. Volgens The Next Web zijn er een kleine 700 websites zijn gedurende een korte periode offline geweest als gevolg van de vele DDoS aanvallen waaronder enkele overheidssites en de Israelische Mastercard website. Zolang het bij websites blijft en niet bijvoorbeeld het betalingsverkeer lamgelegd wordt blijft de economische schade beperkt.

Dat die schade mee valt is voor een deel ook te danken aan de preventieve maatregelen die Israel genomen heeft. De Israëli’s zijn constant beducht voor aanvallen en ook cyberaanvallen horen in dit scenario thuis. Een ander land met minder voorbereiding zou volledig lamgelegd kunnen zijn als de hackers ook in de infrastructurele systemen hadden kunnen inbreken zoals de water en energie voorziening.

Hoewel de daadwerkelijke schade, ook in economische zin, mee valt is het belang van deze cyberaanval niet te onderschatten. Diverse instanties waarschuwen al een tijd dat het niet de vraag is of maar wanneer de eerste cyberoorlog zal uitbreken. Ook op dit blog heb ik dat meerdere keren aangestipt. Nu het dan zover is kunnen we een aantal voorzichtige conclusies trekken.

  1. In de eerste plaats valt de schade mee door de goede voorbereidingen van Israel. Een ander doelwit met minder goede beveiligingsmaatregelen had veel harder getroffen kunnen worden.
  2. In de tweede plaats valt de schade mee doordat ze uitgevoerd zijn door een collectief hacktivisten. Hoewel er veel goede hackers zijn binnen het Anonymous collectief is het een te ongecoördineerde actie geweest om echte infrastructurele schade aan te richten. Een militair geleidde aanval zou andere doelen geselecteerd hebben.
  3. In de derde plaats is de massaliteit van de aanvallen verontrustend. Ook met beperkte middelen en huis tuin en keuken hacktivisten is het mogelijk om miljoenen DDoS aanvallen te initiëren. Dat geeft te denken over de mogelijkheden die een militaire operatie in een aanval van land op land zou hebben.
  4. In de vierde plaats vind ik het ook verontrustend dat Anonymous zich nu met politiek en lokale conflicten inlaten. Bij veel mensen kan Anonymous op sympathie rekenen omdat ze digitale misstanden aan de kaak stellen. De aanvallen van gisteren zijn echter wel te kwalificeren als oorlogshandelingen en daarmee is er een grens overschreden. Zal Anonymous verder radicaliseren en professionaliseren?

Er staan veel vragen open voor de toekomst na deze eerste gerichte cyberaanval op een land. Hoeveel schade zou er daadwerkelijk aangericht kunnen worden als het een militaire operatie zou zijn en de aanval een laag dieper doordringt in de infrastructurele systemen? In dat gevolg zou de mogelijke schade enorm kunnen zijn. Een cyberoorlog is in potentie gevaarlijker voor de economie dan de huidige financiële crisis.

Het gebrek aan aandacht in de media voor deze ontwikkelingen is ook een teken aan de wand: Cyber Security is niet in beeld omdat men geen idee heeft van de mogelijke schade. Totdat het straks te laat is…

Opening NCSC, een Cyber Delta Plan

Vorige week donderdag opende minister Ivo Opstelten met een spectaculaire lasershow het nieuwe Nationaal Cyber Security Centrum, het NCSC. De opening vondt plaats in het World Forum in Den Haag met een aantal plenaire sessies en diverse workshops.

Vlak voor de lunch sloot Melissa Hathaway het ochtendeel af met een verassend techniekloze lezing. Ondanks dat ze haar speech op handgeschreven kladjes voor zich had en geen gebruik maakte van de beamer wist ze de aandacht goed vast te houden, wat natuurlijk een prestatie an sich is.

Melissa Hathaway was security adviseur bij zowel de regering Bush als de regering Obama en gaf een korte overview van de geschiedenis van het internet. Met de opening van het NCSC ziet ze dat Nederland weer een leidende positie in Europa kan gaan innemen. En dat is nodig. Er komt een golf van cyberterrorisme op ons af. Er zijn nu al meer dan 67.000 nieuwe malware bedreigingen per dag. En het zal alleen maar erger worden.

20120116-100208.jpg

Met een verwijzing naar de Watersnoodramp in 1953 en het daaropvolgende Delta Plan riep ze op om ook tot een Delta Plan te komen voor de bestrijding van Cybercrime. Hierin moeten we al onze kennis en kunde bundelen. Om dit goed te doen geeft ze het advies om Disney in te huren. Eén van de belangrijkste must do’s is het creeëren van Awareness. De boodschap moet gecommuniceerd worden, en wie kan dit beter doen dan deze filmstudio. Naast Awareness moeten we ook onze strategie durven aanpassen onderweg. Cyberterroristen zijn inventief. De aanvalsstrategie moet dan ook voortduren evolueren. Een derde aandachtspunt is de resourcing van de strategie. Zorg dat er voldoende middelen zijn om die strategie daadkrachtig uit te voeren.. Een vierde aadachtspunt volgens Hathaway is wendbaarheid. ‘Remain Agile’ en tenslotte is het nodig dat we onze ‘stem vinden’ Lange tijd hebben we in Nederland een beetje achter de rest aan gehobbeld, maar met het NCSC hebben we de kans om weer een lichtend voorbeeld te worden in Europa. We moeten onze kennis uitdragen en Europa voorgaan.

Cyberoorlog – Gaaaap!

In mijn vorige artikel over het einde van de email refereerde ik aan het trendrapport van McAfee. Een bepaalde zinsnede uit het rapport viel me op:

Will this be the Year of Cyberwar, or merely a showcase of offensive cyberweapons and their potential? While we certainly hope it’s only the latter, the situation’s growth during recent years makes an eventual cyberwar nearly inevitable

Een snelle tweet leverde wel wat verschillende reacties op, variërend van “Gaaaaaaaaap” tot “Ik hoop dat ze dan genoeg professionals hebben om het op te lossen” Ik schrok zelf nogal van de eerste reactie want de impact kan immens zijn.

De impact van een cyberoorlog
Vooropgesteld dat alles te hacken is de kans groot dat een cyberoorlog verwoestend is. In een samenleving waarin steeds meer systemen aan elkaar gekoppeld worden én aan het internet kan de impact van een georganiseerde cyberaanval catastrofaal zijn, wereldomvattend.

In de afgelopen jaren hebben we genoeg voorbeelden gezien om – als we impact op ons laten inwerken – de dag van de cyberoorlog met vrees en beven tegemoet te zien. In de afgelopen jaren waren het gerichte, individuele aanvallen die aangetoond hebben dat de veiligheid niet alleen bij onwetende particuliere pc eigenaren ligt maar dat inderdaad alles te hacken is. Deze week berichtte NU nog over een nieuwe hack waarmee via printers op netwerken ingebroken kon worden. Maar ook gevangenisdeuren , banken , beurzen , logistieke systemen, waterkrachtcentrales, kerncentrales, wapenfabrikanten , watervoorziening en verwarmingssystemen zijn niet veilig, om maar een paar voorbeelden te noemen.

Bijna alle netwerken zijn op één of andere wijze gekoppeld aan het internet; omdat wij graag online verzekeringen willen afsluiten of onze bankzaken willen regelen, of omdat de werknemers ook graag thuis willen werken. Maar al te vaak zijn de bedrijfswerken nog één grote verzamelbak. Kun je bij één ding, dan kun je vaak bij alles. Netwerkzonering kan een heleboel schade voorkomen, maar zeker niet alles.

De genoemde aanvallen tonen aan dat het kan. Wanneer de aanvallen gecoördineerd worden kan de infrastructuur van een land lamgelegd worden. Een grote gecoördineerde aanval op bedrijven waarbij massaal de bedrijfsgeheimen wordt gelekt kan rampzalige gevolgen hebben voor de economie, want in feite is onze economie op geheimen gebaseerd: Ik kan iets, of ik weet is wat jij niet weet en daarom huur je mij in. Met die kennis maken we de producten die we verkopen.

De kans op een cyberoorlog
Als ik zo het rapport van McAfee lees dan is een cyberoorlog bijna onvermijdelijk. Ik onderschrijf die mening. De vraag is niet meer of, maar wanneer en door wie. In het rapport schrijft MacAfee:

“According to reports, the use of cyberweapons in the revolution in Libya was considered but didn’t happen because no one wanted to be the first to open Pandora’s box”

Als we naar de ‘wie’ kijken dan beseffen landen vaak wel dat de wereld tegenwoordig zo verbonden is met elkaar dat de kans op oorlogen wel afneemt. Kijk maar naar de Eurocrisis: We kunnen een land als Griekenland niet zomaar afschrijven want de gevolgen werken wereldwijd door. De grootste dreiging voor een cyberoorlog komt uit kleinere groeperingen.

We hebben het dan niet over de Nigerianen die met een door ons zelf gesponsorde “Iedereen een (100 dollar) PC” ons oplichten, ons de bankrekening nummers ontfutselen en de rekeningen leeghalen maar gerichte guerrilla aanvallen.

McAfee beschrijft ondermeer een scenario waarin Hacktivism (het hacken door activistische groeperingen als Anonymous) meer georganiseerd wordt. Veel mensen hebben toch wel sympathie voor Wikileaks en voor Anonymous maar hun methoden zijn verwoestend en anarchistisch. Het meest donkere scenario is het einde van het internet en een wereldwijde economische crisis die erger is dan de huidige schuldencrisis.

De oplossing
Op een eerder artikel kwam de reactie dat het makkelijker is om aan te geven wat er mis gaat dan om antwoorden te geven. Als ik de antwoorden al zou hebben, dan zat ik hier niet meer en was ik permanent op vakantie.

De bron van het probleem is de verouderde infrastructuur. In eerdere blogartikelen heb ik al geschreven dat deze in de jaren 80 ontworpen is door en voor academici en niet berekend is op de huidige wereld. Hier ligt dan mijns inziens ook de sleutel voor de oplossing van het probleem: Redesign the web. Maar dat is omvangrijk. Het gaat dan om een end to end oplossing. Niet alleen software, maar ook hardware en communicatieprotocollen moeten meer tracking en tracing opties krijgen.

Wordt er aan gewerkt? Nou nee. Er zijn initiatieven, maar vooralsnog wordt er gewoon grof geld verdiend aan het misbruik van de huidige infrastructuur. Een internet waarin persoonsgegevens veilig zijn is dodelijk voor de beurswaarde van bijvoorbeeld sociale netwerksites als Facebook.