Cyberaanvallen ING inleiding faillissement Online Dienstverlening

DDoS aanval op ING

Foto ANP

Ruim een week geleden schudde Nederland op zijn grondvesten. Er was iets misgegaan bij  de verwerking van een bestand waardoor de klanten van de ING verkeerde saldo informatie kregen. Maar daarna begonnen de problemen pas echt. Er zijn tenminste vier cyberaanvallen uitgevoerd op de ING, maar het lijkt alsof we ons om het laatste minder zorgen maken. Wij zijn vooral boos omdat de bank haar digitale zaakjes niet op orde heeft.

Hoewel de aanvallen zich nu toespitsen op de ING zijn ook de betalingsdienst iDeal en andere banken getroffen door een of meerdere DDoS aanvallen waarbij er zoveel verkeer gegenereerd wordt dat de servers het aantal aanvragen niet meer aankunnen en daardoor stilgelegd worden. Het is dus geen echte inbraak. Dus waar maken we ons druk over?

Voor ons als consumenten is zo’n DDoS aanval alleen maar lastig. We kunnen niet altijd inloggen, en onze overboekingen moeten we maar even uitstellen. Voor de detailhandel is het meer dan lastig. Zo stelde de branchevereniging Thuiswinkel.org deze week dat de online winkels door de cyberaanvallen op de ING tientallen miljoenen euro’s schade lijden. Voormalig commandant der strijdkrachten Dick Berlijn voorspelt dat we in de toekomst meer van dit type aanvallen kunnen verwachten en volgt er een top tussen de ministers Opstelten van Justitie en Dijsselbloem van Financiën.

Oppervlakkig bekeken zijn de aanvallen alleen maar lastig, maar als we dieper kijken naar de oorzaken dient de vraag zich aan wat wij als consument belangrijker vinden: Betrouwbare real time saldo informatie of een betrouwbare portemonnee. De cyberaanvallen van deze week tonen aan dat de IT infrastructuur van banken zeer kwetsbaar is.

Deels is dit het directe gevolg van de financiële crisis waarbij in 2008 en 2009 veel projecten bij banken zijn stilgelegd. Nog steeds wordt er bij projecten vooral naar het rendement gekeken, en niet naar de veiligheid omdat dit een kostenpost lijkt te zijn. In het Business Continuity Management ligt de nadruk vooral nog op de interne beschikbaarheid van systemen terwijl de focus juist bij externe bedreigingen moet liggen. Vanwege de bezuinigingen worden steeds meer diensten online aangeboden terwijl de infrastructuur van de banken hier niet klaar voor is. Tal van bedrijf kritische applicaties bij de banken draaien op ‘legacy systemen’. Oude mainframes met minder capaciteit dat onze nieuwste smartphones vormen de ruggengraat van onze online economie, waarbij programma’s geschreven in archaïsche programmeertalen het betalingsverkeer regelen. Deze systemen en programmeertalen zijn niet berekend op de huidige toepassingen. De financiële sector is daarmee een makkelijk doelwit voor cyberaanvallen. Niet alleen in Nederland, maar wereldwijd zien we de laatste maanden aanvallen op banken. Zo werden onlangs nog de Koreaanse banken lamgelegd en deze maand werd bekend dat Amerikaanse banken in 2012 maar liefst 249 uur onbereikbaar waren door DDoS aanvallen. banken Ondanks het feit dat er niet daadwerkelijk ‘íngebroken’ is bij de banken loopt de schade in de miljarden. Ook deze maand werd bekend dat hackers ruim 200 miljoen euro buitgemaakt hebben bij aanvallen op Russische

Moeten wij als consument in plaats van meer online diensten en digitaal gemak niet meer gaan vragen om veilige dienstverlening? Moeten wij eisen dat de banksector de miljardenwinsten investeert om de IT infrastructuur up to date te brengen? Het lijkt vechten tegen de bierkaai. Er worden al tonnen geïnvesteerd in zwaardere beveiligingsmethoden. Zonder veel succes overigens, want een half jaar later zit dezelfde rekencapaciteit in een laptop van 500 Euro en kan iedere puber ook deze beveiliging weer kraken.

De strijd op het internet lijkt een eindeloze wapenwedloop te worden die wij gaan verliezen. Het echte probleem zit veel dieper. Het zit in de aderen van het internet zelf. Net als bij de banken draait het internet zelf op systemen die in de jaren 70 ontworpen zijn en de uitwisseling van gegevens wordt gedaan door protocollen uit de jaren 70. In het ontwerp van het internet gaat het om de vrije uitwisseling van informatie tussen een klein groepje mensen die elkaar kennen en vertrouwen. Er was geen noodzaak om na te denken over beveiliging en het identificeren van gebruikers.

Nu het internet door miljarden mensen wereldwijd gebruikt wordt en wij steeds meer ons leven online organiseren lopen we tegen de grenzen van het vrije internet aan. Langzamerhand moeten we de conclusie trekken dat het internet niet veilig genoeg is om onze financiële transacties af te handelen, dat het onvoldoende mogelijkheden heeft om ons intellectueel eigendom te beschermen en wij ons digitale leven er niet zeker zijn.

‘Cyberaanvallen binnen twee jaar grootste bedrijfsrisico’

AMSTERDAM – Cyberaanvallen zijn binnen twee jaar een groter risico voor bedrijven dan economische onzekerheid.

Dat blijkt althans uit een onderzoek onder ruim 3300 IT-specialisten door een beveiligingsbedrijf. Het is niet de eerste keer dat de risico’s van cyberaanvallen voor bedrijven onder de aandacht worden gebracht.
Bijna de helft (48 procent) geeft aan dat de beveiliging tegen online diefstal van intellectueel eigendom in hun bedrijf te wensen over laat. Bovendien geeft 51 procent toe machteloos te zijn tegen serieuze pogingen van cyberspionage.
Mede daardoor geeft een derde van de IT-specialisten aan dat hij verwacht dat zijn onderneming vroeg of laat slachtoffer wordt van cyberaanvallen.
Opvallend is dat ook een derde van de ondervraagden niet op de hoogte is van de laatste trojaanse paarden en niet weet hoe gerichte aanvallen precies worden uitgevoerd.
Op dit moment wordt de economische onzekerheid door bedrijven als het grootste risico gezien. Cyberaanvallen staan op de tweede positie. Binnen twee jaar zou deze rangschikking dus omgedraaid moeten zijn.

Bron: Nu.nl

Bij Auruncus gaan we een stapje verder. We schrijven er al een tijdje over, en dat blijven we doen. Cyberaanvallen zullen niet over een jaar of twee de een grotere bedreiging zijn voor het bedrijfsleven dan economische onzekerheid, maar binnen een decennium voor een grotere, diepere financiële crisis zorgen dan de huidige economische crisis omdat ze de hele economie kan ontwrichten.

Cyberoorlog – Gaaaap!

In mijn vorige artikel over het einde van de email refereerde ik aan het trendrapport van McAfee. Een bepaalde zinsnede uit het rapport viel me op:

Will this be the Year of Cyberwar, or merely a showcase of offensive cyberweapons and their potential? While we certainly hope it’s only the latter, the situation’s growth during recent years makes an eventual cyberwar nearly inevitable

Een snelle tweet leverde wel wat verschillende reacties op, variërend van “Gaaaaaaaaap” tot “Ik hoop dat ze dan genoeg professionals hebben om het op te lossen” Ik schrok zelf nogal van de eerste reactie want de impact kan immens zijn.

De impact van een cyberoorlog
Vooropgesteld dat alles te hacken is de kans groot dat een cyberoorlog verwoestend is. In een samenleving waarin steeds meer systemen aan elkaar gekoppeld worden én aan het internet kan de impact van een georganiseerde cyberaanval catastrofaal zijn, wereldomvattend.

In de afgelopen jaren hebben we genoeg voorbeelden gezien om – als we impact op ons laten inwerken – de dag van de cyberoorlog met vrees en beven tegemoet te zien. In de afgelopen jaren waren het gerichte, individuele aanvallen die aangetoond hebben dat de veiligheid niet alleen bij onwetende particuliere pc eigenaren ligt maar dat inderdaad alles te hacken is. Deze week berichtte NU nog over een nieuwe hack waarmee via printers op netwerken ingebroken kon worden. Maar ook gevangenisdeuren , banken , beurzen , logistieke systemen, waterkrachtcentrales, kerncentrales, wapenfabrikanten , watervoorziening en verwarmingssystemen zijn niet veilig, om maar een paar voorbeelden te noemen.

Bijna alle netwerken zijn op één of andere wijze gekoppeld aan het internet; omdat wij graag online verzekeringen willen afsluiten of onze bankzaken willen regelen, of omdat de werknemers ook graag thuis willen werken. Maar al te vaak zijn de bedrijfswerken nog één grote verzamelbak. Kun je bij één ding, dan kun je vaak bij alles. Netwerkzonering kan een heleboel schade voorkomen, maar zeker niet alles.

De genoemde aanvallen tonen aan dat het kan. Wanneer de aanvallen gecoördineerd worden kan de infrastructuur van een land lamgelegd worden. Een grote gecoördineerde aanval op bedrijven waarbij massaal de bedrijfsgeheimen wordt gelekt kan rampzalige gevolgen hebben voor de economie, want in feite is onze economie op geheimen gebaseerd: Ik kan iets, of ik weet is wat jij niet weet en daarom huur je mij in. Met die kennis maken we de producten die we verkopen.

De kans op een cyberoorlog
Als ik zo het rapport van McAfee lees dan is een cyberoorlog bijna onvermijdelijk. Ik onderschrijf die mening. De vraag is niet meer of, maar wanneer en door wie. In het rapport schrijft MacAfee:

“According to reports, the use of cyberweapons in the revolution in Libya was considered but didn’t happen because no one wanted to be the first to open Pandora’s box”

Als we naar de ‘wie’ kijken dan beseffen landen vaak wel dat de wereld tegenwoordig zo verbonden is met elkaar dat de kans op oorlogen wel afneemt. Kijk maar naar de Eurocrisis: We kunnen een land als Griekenland niet zomaar afschrijven want de gevolgen werken wereldwijd door. De grootste dreiging voor een cyberoorlog komt uit kleinere groeperingen.

We hebben het dan niet over de Nigerianen die met een door ons zelf gesponsorde “Iedereen een (100 dollar) PC” ons oplichten, ons de bankrekening nummers ontfutselen en de rekeningen leeghalen maar gerichte guerrilla aanvallen.

McAfee beschrijft ondermeer een scenario waarin Hacktivism (het hacken door activistische groeperingen als Anonymous) meer georganiseerd wordt. Veel mensen hebben toch wel sympathie voor Wikileaks en voor Anonymous maar hun methoden zijn verwoestend en anarchistisch. Het meest donkere scenario is het einde van het internet en een wereldwijde economische crisis die erger is dan de huidige schuldencrisis.

De oplossing
Op een eerder artikel kwam de reactie dat het makkelijker is om aan te geven wat er mis gaat dan om antwoorden te geven. Als ik de antwoorden al zou hebben, dan zat ik hier niet meer en was ik permanent op vakantie.

De bron van het probleem is de verouderde infrastructuur. In eerdere blogartikelen heb ik al geschreven dat deze in de jaren 80 ontworpen is door en voor academici en niet berekend is op de huidige wereld. Hier ligt dan mijns inziens ook de sleutel voor de oplossing van het probleem: Redesign the web. Maar dat is omvangrijk. Het gaat dan om een end to end oplossing. Niet alleen software, maar ook hardware en communicatieprotocollen moeten meer tracking en tracing opties krijgen.

Wordt er aan gewerkt? Nou nee. Er zijn initiatieven, maar vooralsnog wordt er gewoon grof geld verdiend aan het misbruik van de huidige infrastructuur. Een internet waarin persoonsgegevens veilig zijn is dodelijk voor de beurswaarde van bijvoorbeeld sociale netwerksites als Facebook.