De Britse beveiligingsdienst MI5 waarschuwde vorig jaar honderden financiële instituten en andere grote organisaties voor de dreigingen van digitale spionage uit vooral China. “In Nederland staan wij onmiskenbaar bloot aan dezelfde bedreigingen. Er is ook geen enkele reden waarom het niet ook in Nederland zou gebeuren”, zegt Jeroen Herlaar, manager managed security bij Fox-IT. “Veel landen spioneren en dat gebeurt ook digitaal. Wij doen daar onderzoek naar voor klanten en zien dat duidelijk.”
De brochure Digitale Spionage die de AIVD vandaag uitbrengt, richt zich onder meer op werknemers die deel uitmaken van handelsdelegaties, werkzaam zijn in hoogtechnische bedrijven maar ook op werknemers met ‘gewone’ IT-taken. “De samenleving is zich niet meer bewust van het bestaan van spionage. Dat wordt geassocieerd met de Koude Oorlog – iets uit het verleden”, verklaart een woordvoerder van de AIVD. “Maar het is nog steeds actueel en de laatste jaren levert het digitale aspect specifieke risico’s op. Daarom willen wij burgers en overheden daar actief over informeren.”
Bescherming tegen digitale spionage is mogelijk maar gebeurt maar zelden adequaat, vindt Herlaar. “Weinig bedrijven kijken hier serieus naar. Wij werken ook bij bedrijven waarvan je niet verwacht dat ze direct onder vuur zullen liggen van buitenlandse mogendheden, maar daar zie je al heel veel malware probleemloos binnenkomen. Bedrijven zijn echt doordrenkt met malware.” Daarbij is vooral bewustwording een groot probleem. Herlaar: “Bij audits en testen komen wij altijd heel makkelijk binnen. Men pakt gewoon heel makkelijk gratis USB-sticks aan en gebruikt ze in de bedrijfssystemen. Tegen gerichte geavanceerde social engineering is men ook zelden bestand.”
Of de recente aanvallen op Google en andere Amerikaanse bedrijven het besef van het gevaar vergroot hebben, is niet duidelijk. “Het is moeilijk in te schatten in hoeverre men zich hiervan bewust is. We proberen dit al jaren te vergroten, onder meer met presentaties, individuele gesprekken van vertegenwoordigers bij bedrijven en brochures als deze”, aldus de AIVD- woordvoerder.
Herlaar prijst de AIVD hiervoor, maar ziet wel een probleem. “Ze doen dat bij de ICT- of security-afdeling. Die moeten dat dan vervolgens verkopen aan het management, en dat is een lang traject. Dat wordt ook bemoeilijkt door het gat tussen de business en IT of security; men praat lastig met elkaar en het is een complexe materie. Dat staat de discussie over nut en noodzaak enorm in de weg. Het management luistert echt wel naar de IT-afdeling, maar is niet in staat om vanuit de eigen kennis en ervaring op dit vlak argumenten goed af te wegen.”
Beveiligers als McAfee, Panda, Symantec en Check Point zien wel tekenen dat organisaties zich bewust worden van het gevaar van digitale spionage. “Wij zijn meer interesse in oplossingen om juist op basis van geografische informatie te blokkeren”, aldus Check Point.
Ilias Chantzos, director of government relations van Symantec, ziet dat er ook op EU-niveau steeds meer gedaan wordt op het gebied van IT-beveiliging.”Het komt steeds hoger op de politieke agenda.” Men raakt ook steeds meer bewust van de gevaren, zeker in de grotere organisaties. “Zeker nu de overheid en de pers zich er meer mee bezighouden.
Greg Day, security analist bij McAfee, ziet het aantal spionage-aanvallen toenemen en hij kijkt er niet van op. “Het is veel goedkoper dan standaard oorlogsvoering. Een tank kost al snel 20 miljoen dollar. Een digitale aanval kan al voor 1000 dollar. Daarbij is de toegang heel makkelijk te verkrijgen en de slagkracht groot. Bovendien is alles op het gewone slagveld heel zichtbaar, maar digitale aanvallen zijn vaak onzichtbaar en de daders worden daardoor zelden gestraft.”
-- Beveiliging -------------------------------------------------- Bescherming kost meer moeite Technisch is bescherming tegen de digitale spionage-aanvallen wel mogelijk. In de praktijk gebeurt het echter zelden adequaat. Jeroen Herlaar van Fox-IT: “Je kunt niet volstaan met de normale maatregelen voor netwerkbeveiliging. Bij spionage gaat het vaak om miljarden. Een spionerende mogendheid steekt daar dan veel geld in en laat rustig systemen optuigen die tegen alle beschikbare commerciële detectieproducten worden getest. De detectiegraad van malware voor online banking bijvoorbeeld is behoorlijk slecht. En dat is dan malware die door velen is onderzocht, en tóch kunnen antivirusbedrijven dat nog altijd niet goed detecteren. Je moet dus forse additionele stappen nemen. Niet iets neerzetten en dan maar geloven dat het zijn werk doet; nee, altijd blíjven kijken of er iets moet gebeuren; blijven spitten en technologie creatief inzetten.” |