8 april 2014 -
De recente cyberaanval op hostingprovider FXW, waardoor 450 webwinkels urenlang problemen met hun website hadden, toont weer eens aan dat de beveiliging van webshops in veel gevallen onder de maat is.
Dat is op z’n minst verwonderlijk gezien de grote hoeveelheden aan cyberaanvallen op diverse organisaties begin vorige zomer. Hierdoor waren de websites van onder meer luchthaven Schiphol en KLM urenlang ‘uit de lucht’. Kennelijk hebben die incidenten aanbieders als FXW, onderdeel van Flexwebhosting, niet wakker geschud.Een schrale troost is wellicht dat FXW niet de enige is. Eind vorig jaar werd een aantal supermarktketens in de Verenigde Staten gehackt, waardoor creditcardgegevens van tientallen miljoenen klanten ‘in vreemde handen’ kwamen. De imagoschade die de winkelketens daardoor leden, is immens groot. Want klanten voelden zich persoonlijk benadeeld, omdat hun creditcardgegevens in vreemde handen kwamen.
Adequate beveiliging?
Het pijnlijke aan de incidenten bij zowel FXW als de supermarkten is dat deze organisaties meenden adequaat beveiligd te zijn. IT-beveiliging is echter een kat- en-muis-spel tussen beveiligers en criminelen, waarbij deze laatste groep voortdurend op zoek is naar gaten in de verdediging van hun slachtoffers. Managers moeten daarom permanent alert zijn op ongewenste acties en wellicht nog meer aandacht hebben voor de nieuwste methoden en technieken tegen cybercriminaliteit. Dat is eens te meer van belang nu cybercriminelen hun aandacht steeds meer verleggen naar organisaties met veel klanten en een hoog transactievolume, zoals retailers.
Proactive malware detection
Gelukkig zijn er wel degelijk afdoende maatregelen tegen de nieuwste ontwikkelingen op het terrein van cybercriminaliteit te nemen. De belangrijkste daarvan is volgens Etiënne van der Woude, Regional Sales Manager Benelux bij Watchguard Technologies, dat managers inzien dat defensieve technologie niet langer afdoende is. "Firewall en virusscanner zijn nog steeds onmisbaar, maar ze zullen meer aandacht besteden aan wat in het vakjargon wordt aangeduid als ‘proactive malware detection’. Veel van de huidige IT-security is nog reactief, wat betekent dat malafide code pas wordt geweerd als dergelijke code als ‘malware’ is gedefinieerd. Maar wat als ‘nieuwe malware’ uw systemen binnendringt? Het kan minuten of zelfs uren duren voor de grote cybercrimefighters nieuwe malafide code gedetecteerd hebben. Gedurende die detectieperiode kan die code onbelemmerd in uw systemen rondwaren. Proactive malware detection is gericht op het detecteren van dat soort code. Omdat het in staat is actieve code die afwijkt van de gangbare processen in een systeem te detecteren en zelfs te isoleren."
Detectie en respons
"Een tweede belangrijke maatregel is de focus op ‘detectie en respons’. Bij veel organisaties bestaat geen draaiboek dat ingaat op de vraag hoe men op cybercriminaliteit moet reageren. Dat kan er toe leiden dat zij weliswaar in staat zijn om malware in het systeem te onderscheppen, maar vervolgens niet weten hoe die malafide code ‘kaltgestellt’ dient te worden. Met als gevolg dat de website nog steeds te lang onderpresteert of zelfs ‘uit de lucht’ is. Ook dat leidt direct tot omzetderving. Na een actie van cybercriminelen weer ‘snel in de lucht zijn’ is minstens zo belangrijk als het onderscheppen van die acties"
Beschermen van data
Daarnaast vertelt van der Woude dat managers meer aandacht moeten hebben voor het beschermen van data, bijvoorbeeld creditcard- of pinpasgegevens. "De huidige oplossingen voor IT-security richten zich nog primair op het beschermen van netwerken, systemen en databestanden. Maar waarom zou je gevoelige data niet extra beschermen, bijvoorbeeld door ze te versleutelen? Er is inmiddels software die pinpas- en creditcardgegevens herkent en vervolgens kan encrypten. Zelfs als cybercriminelen onverhoopt tot in uw systemen weten door te dringen, kunnen ze weinig beginnen met versleutelde data."
Is met deze maatregelen een absoluut veilige omgeving verzekerd? Nee, want waterdichte IT-security bestaat niet. Maar deze betrekkelijk eenvoudige maatregelen wegen ruimschoots op tegen de schade die een organisatie leidt als zijn site een halve dag ‘uit de lucht’ is of als gegevens van zijn klanten ‘op straat’ liggen.
Zucht. Als je als journalist geen kaas hebt gegeten van IT, schrijf er dan niet over.
Het gaat hier om het offline zijn van een aantal websites, als gevolg van een DDoS aanval. Dit heeft werkelijk NIETS met de beveiliging van webshops te maken, noch met beveiliging in algemene zin, noch met malware, noch met het beschermen van data. Dit is zo ongeveer hetzelfde als het schrijven over een raketaanval en vervolgens concluderen dat doktoren hun werk ''kennelijk'' niet goed doen omdat er zoveel doden gevallen zijn.
FXW wordt hier inderdaad onterecht voor het blok gezet. Als met de ''recente cyberaanval'' gedoeld wordt op de DDoS-aanvallen in januari (er staat geen bronvermelding bij), dan is het belangrijk om je te realiseren dat elke (grote) hostingprovider regelmatig met dergelijke aanvallen te maken heeft, en deze slechts ten dele te bestrijden zijn. Dan hoef je niet met ''betrekkelijk eenvoudige maatregelen'' zoals ''malware protection'' of virusscanners aan te komen zetten, want dat heeft geen enkele relevantie ten aanzien van een DDoS-aanval. Managers zijn doorgaans geen techneuten, dus als zij ''meer aandacht moeten hebben voor het beschermen van data'', dan is het extra belangrijk dat je ze van de juiste informatie voorziet.
