
De cyberweek: dus 2017 was slecht, he?
Dus jullie dachten dat 2017 een slecht jaar was?
Verzekeraar AIG noemt 2017 het slechtste jaar ooit wat betreft ransomware, data breaches en cyber attacks. De verliezen waren meer dan die van de voorgaande vier jaren bij elkaar opgeteld.
Ik ben heel blij dat we steeds vaker cijfers van verzekeraars te zien krijgen. Dat betekent ten eerste dat de cyberwereld eindelijk volwassen wordt en verzekeren als onderdeel van het totaalpakket aan defensieve maatregelen onderkent. En ten tweede dat er nu partijen zijn die rechtstreekse schadecijfers hebben en daarmee een stuk betrouwbaarder zijn dan de tweede- of derdehands schadecijfers die we via de AV-industrie of het nieuws binnenkrijgen.
Dat gezegd hebbende vraag ik me toch af of die enorme stijging van de verliezen alleen te wijten valt aan cybercrime zelf. Het kan ook te maken hebben met een hogere bereidheid tot claimen of met een groei van het klantenbestand. Het rapport vermeldt in de methodologie alleen dat ze als basis 600 claims uit de afgelopen 4 jaar hebben gebruikt, niet hoe die claims gekozen zijn. Kortom: we weten eigenlijk nog niks.
Behalve dan natuurlijk dat 2018 er waarschijnlijk nog grimmiger uit gaat zien dan 2017. We hebben al het een en ander over ons heen gehad, en de DDoS- en ransomwaregevallen blijven zich nog uitbreiden. De Amerikaanse verkiezingen komen er weer aan. De AVG maakt de aanvallen nog wat zichtbaarder. Kortom: al bijna tijd om met nostalgie op 2017 terug te kijken.
Hack & lek
Afgelopen week bijvoorbeeld ging de website van Ticketfly op zwart. Ticketfly is een online ticket booking systeem. Gebruikers troffen afgelopen week de volgende melding op hun website aan:
Volgens Motherboard liet de hacker Ticketfly weten dat ze een kwetsbaarheid hadden, en vroeg vervolgens 1 bitcoin in ruil voor het verschaffen van de informatie over welke kwetsbaarheid dat dan was.
De hacker heeft waarschijnlijk de volledige klantendatabase van Ticketfly in handen. De website van Ticketfly is offline – wat voor een online ticket booking systeem ongeveer het ergste is wat er kan gebeuren…
Huurhacker Baratov veroordeeld
Het Amerikaanse Department of Justice noemt hem een hacker-for-rent. Een huurhacker dus. Of zoals wij dat in de cyberwereld noemen: een HaaS. (We zijn nou eenmaal dol op acroniemen. HaaS staat voor hacking as a service.)
De 23-jarige Kazachstaanse Canadees Karim Baratov is in de VS veroordeeld voor cybercrime. 5 jaar gevangenisstraf voor hacks voor met name de FSB. Baratov maakte gebruik van spear phishing, speciale op het slachtoffer gerichte mailtjes die aanzetten tot klikken en daarmee een malwarebesmetting. Baratov is vorig jaar in Canada opgepakt en is uitgeleverd aan de VS.
Volgens zijn omgeving was hij een aardige jongen, maar ze vroegen zich wel af waar hij die dure auto’s van betaalde.

Een aardige jongen in een dure auto (foto: Petrina Gentile)
Driekwart* MKB-sites slecht beveiligd
De Volkskrant concludeert uit onderzoek dat 75% van de MKB sites slecht beveiligd zijn. 19% van de websites zijn zelfs zeer slecht of niet beveiligd. Terwijl er in de MKB databases vaak heel gevoelige persoonsgegevens staan. Denk aan artsen, kinderdagverblijven, notarissen.
De cijfers komen niet als een verrassing, want het was al bekend dat het MKB niet de kennis en de financiën in huis heeft om hun websites zelf te beveiligen. De invoering van de AVG maakt dat alleen maar zichtbaarder. En leidt er hopelijk toe dat MKB’ers dergelijke taken gaan uitbesteden. De cloud in met die MKB’ers. Maar dan natuurlijk wel met een goed wachtwoord en 2-factor authentication.
*Ook voor dit onderzoek geldt weer dat er niet wordt genoemd wat onderzocht is, hoe groot de sample was, welke definities er gebruikt zijn: kortom, zoals zo vaak in de cybersecurity moet u deze cijfers met een korreltje zout nemen. Of een hele zoutpot.
No Comments :