Welke security-bedreigingen staan ons te wachten in 2017?

Security is een doorlopend proces en het kan geen kwaad om jaarlijks met klanten het security-beleid te evalueren. Zij vragen me dan bijvoorbeeld hoe ze moeten omgaan met de nieuwste security-bedreigingen, maar ook blijken nieuwe wetten rond privacy en datalekken veel kopzorgen te geven. Die hebben namelijk een zeer grote impact, zowel voor informatiebeheer als beveiliging. Tijd dus voor een lijstje met tien belangrijke security-bedreigingen voor 2017.

1. GDPR-privacywet

Niet zozeer een bedreiging, maar wel iets dat het datasecurity-beleid van organisaties sterk gaat beïnvloeden is de GDRP-privacywet. Dit jaar zullen alle bedrijven die met persoonsgegevens van Europese personen werken hun zaken op orde moeten krijgen om te voldoen aan de General Data Protection Regulation (GDPR). Deze Europese wet wordt in mei 2018 van kracht, maar uit meerdere onderzoeken blijkt dat veel bedrijven in de Benelux hier nog amper iets aan hebben gedaan. Privacy-assessments, risico-analyses en investeren in de technologie en processen voor veilig informatiebeheer zouden daarom hoog op de agenda moeten staan. Wat heb je precies staan aan data binnen je organisatie, en wordt daar volgens een security-by-design werkwijze mee omgegaan?

2. Ransomware voor clouds

Ransomware zal ook dit jaar een groot probleem blijven. Voor cybercriminelen levert het digitaal gijzelen van computersystemen simpelweg veel geld op. De aanvallen waren tot dusver vooral gericht op pc's, laptops en servers, maar naar verwachting zal ransomware dit jaar ook de transitie naar de cloud maken. Bedrijven met een private cloud omgeving lopen het meeste risico, wat een ernstige verstoring van hun bedrijfsvoering kan opleveren. Bij geoutsourcete omgevingen, bijvoorbeeld met IaaS en SaaS, profiteer je van de security-expertise en continue monitoring van het dataverkeer en de systemen door de leverancier. Een cloudprovider heeft vaak een eigen Security Operations Center (SOC), en leeft de juiste security-certificeringen en protocollen na.

3. IoT bedreigt organisaties

Steeds meer bedrijven gaan de komende jaren IoT-toepassingen gebruiken. Van productiebedrijven tot winkelcentra, allemaal zullen zij het IoT willen gebruiken voor het monitoren van goederen, apparaten en mensen. Zij moeten zich hierbij verzekeren dat de security van deze apparaten goed geregeld is, dat ze online geupdate kunnen worden, en op een flexibele en schaalbare manier beheerd kunnen worden. Kwetsbare IoT-apparaten die data uitwisselen met de bedrijfsinfrastructuur kunnen een ernstig datalek opleveren voor bedrijven, en zelfs gebruikt worden voor DDoS-aanvallen.

4. Kwetsbare bedrijfsnetwerken

Bedrijfsinfrastructuren worden diffuser doordat lokale applicaties en servers steeds meer gecombineerd worden met cloud services, mobiele applicaties en SaaS-toepassingen. Het beveiligen van on premises infrastructuren is veelal de grootste (en meest kostbare) uitdaging, aangezien dit bij cloud-services standaard voor je wordt geregeld. Organisaties zullen daardoor uit kostenoogpunt en voor risicobeheer steeds meer naar deze beheerde omgevingen migreren. De noodzakelijke beveiligingsmaatregelen en worden dan door de leverancier geïmplementeerd. Malware- of phishing-campagnes kunnen dan bijvoorbeeld tijdig afgeslagen worden. Daarnaast kan verkeer tijdens DDoS-aanvallen omgeleid worden om de schade te beperken. Interne security-kennis en kunde is dan overbodig.

5. Digitale lijken in de kast

Binnen organisaties worden er regelmatig allerlei obscure legacy-tools of zelf ontwikkelde software gebruikt, die veelal aan het internet zijn blootgesteld. Denk ook aan softwareleveranciers die snel groot geworden zijn, en gericht op functionaliteit snel hebben doorontwikkeld, maar op een matig security-fundament. Deze digitale lijken in de kast zijn een reëel security-risico, die vroeg of laat misbruikt gaan worden. Daarnaast zullen we nog lang last hebben van inbraken bij grote online dienstverleners, zoals LinkedIn, Dropbox en Yahoo. Er zijn lijsten met miljoenen gebruikersnamen en wachtwoorden in omloop, die in veel gevallen nog steeds actueel zijn, of ook voor andere services gebruikt worden. De gehackte Twitter-accounts van Nederlandse politici zijn daar een mooi voorbeeld van.

6. Aanvallen op smartphones

De afgelopen jaren hebben we diverse spyware-tools en kwetsbaarheden voor mobiele devices gezien , zoals Pegasus, XcodeGhost, Stagefright en Heartbleed. Aangezien veel van deze apparaten ook voor werk worden gebruikt, zouden bedrijven hier proactief op moeten reageren met procedures en beleid, en wellicht zelfs met oplossingen voor Mobile Device Management (MDM) of Mobile Threat Defence (MTD). De smartphone van een CEO vereist vanzelfsprekend de strengste controle, maar ook het mobiele apparaat van een “normale” werknemer kan door kwaadwillenden gebruikt worden om tot het bedrijfsnetwerk door te dringen.

7. Gevaarlijke digitale assistenten

Bedrijven als Apple, Google en Amazon zetten groot in op slimme digitale assistenten. Maar welke security-risico haal je in huis met een Google Home of Amazon Echo op de werkkamer? Je praat er immers mee en stelt vragen, en die data gaat vaak naar buitenlandse datacentra voor verwerking. De eerste rechtszaken om dit soort data te mogen inzien, worden al gevoerd in de VS. Ook is het in theorie mogelijk dat er tijdens meetings per ongeluk of misschien zelfs door kwaadaardige bedoelingen meegeluisterd wordt. Deze AI-platformen hebben bovendien vaak toegang tot allerlei externe diensten en apparaten, wat ook de nodige privacyvraagstukken opwerpt.

8. Aanvallen met AI en Big Data

In 2017 zullen we steeds meer toepassingen gaan zien van machine learning en kunstmatige intelligentie (AI). Ook in de cybercrimewereld zal deze technologie in combinatie met big data-analyse gebruikt worden, bijvoorbeeld om phishing- en social engineering-campagnes te optimaliseren, kwetsbaarheden in software te detecteren of wachtwoordenlijsten te analyseren. Security-leveranciers zullen daarom ook moeten investeren in technologie om informatie uit allerlei endpoints en aanvalssensoren te verzamelen en te analyseren. Informatie van allerlei klanten, industrieën en landen. Ze moeten hun systemen trainen om op een intelligente manier mee te spelen in het snel veranderende security-landschap, zodat ze hun klanten optimaal kunnen beschermen.

9. Privacygegevens binnen de organisatie

Werknemers hebben vaak toegang tot allerlei privacygevoelige gegevens, waar zij lang niet altijd recht toe hebben. Met de Meldplicht Datalekken en de opkomende GDPR-wetgeving in het achterhoofd, kan dit tot ernstige problemen leiden. Het lekken van persoonsgegevens kan tot hoge boetes leiden, en bovendien resulteren in reputatieschade voor een organisatie. Maar ook kunnen organisaties zelf onrechtmatig met persoonsgegevens omgaan, bijvoorbeeld om bepaalde bedrijfsdoelstellingen te halen. Bedrijven moeten daarom heel goed moeten evalueren of zij met hun processen en systemen in staat zijn om persoonsgegevens goed te beveiligen en beheren, en hierover ook volgens de wettelijke richtlijnen kunnen rapporteren.

10. Kwetsbare industriële en financiële systemen

Alles moet tegenwoordig internet-enabled zijn, maar op security-gebied blijken veel systemen sterk achter te lopen. Zo blijkt uit onderzoek dat er voor meer dan 30 procent van met internet verbonden controlesystemen voor industriële machines geen security-patches beschikbaar zijn. Aanvallen op dit soort systemen zijn daardoor een groot risico, en kunnen voor bedrijven gevaar opleveren, maar uiteindelijk zelfs voor de landelijke infrastructuur. Daarnaast richten cybercriminelen zich steeds meer op zogeheten SWIFT-systemen, die door banken gebruikt worden om financiële transacties af te handelen. Deze organisaties, maar indirect ook hun klanten, kunnen hierdoor ernstig gedupeerd worden. Regelgevers in de VS en Europa hebben de handen ineen geslagen om banken te dwingen meer te investeren in de security van deze systemen.

Blijf op de hoogte!

Wil jij op de hoogte blijven van vacatures, traineeships en loopbaanontwikkeling?
Meld je dan aan voor de nieuwsbrief.

aanmelden