En dat is precies waarom we zo kwetsbaar zijn voor cyberaanvallen, zegt Jake Moore, een cybersecurityspecialist van ESET en een white hat-hacker met 14 jaar ervaring in digitaal forensisch onderzoek en onderzoek naar cybercriminaliteit. Het ontbreekt hem nooit aan motivatie om de cybersecurity van kleine bedrijven onder de loep te nemen en te testen. Hoe kijken zij tegen het onderwerp aan, en hoe gaan zij ermee om? In de meeste gevallen is het antwoord helaas: niet zo goed.
Laten we eens van de andere kant beginnen. Aangezien je voortdurend probeert om het leven van hackers moeilijker te maken, moet je voor velen van hen een zeer aantrekkelijk doelwit zijn. Bent je zelf ooit gehackt?
Dat klopt. Maar nee, ik ben niet gehackt. Tenminste, dat denk ik niet. Maar iemand probeerde mijn Instagramaccount te dupliceren en begon berichten te sturen naar mensen, die zogenaamd afkomstig waren van mij. Maar raad eens - één van de mensen die de aanvaller berichten stuurde was een collega van mij. En hij had een geweldig gesprek met die man, hij hield hem aan het lijntje. Dat was hilarisch. Ik heb alle screenshots van het gesprek. Hoewel ik nog nooit het slachtoffer ben geworden van een cyberaanval, denk ik altijd dat het zou kunnen. Ik ben extra voorzichtig met links waarop ik klik en met e-mailbijlagen, enzovoort.
Dat klinkt als een "hoop op het beste, verwacht het ergste"-aanpak.
Absoluut. Soms vindt mijn vrouw me zelfs nogal onbeleefd aan de telefoon, maar ik ben gewoon voorzichtig met ongevraagde telefoontjes en op mijn hoede voor het ergste scenario. Iedereen is tenslotte een doelwit, en zo ook kleine bedrijven. Kleine bedrijven denken soms dat cybercriminelen liever achter de grote spelers aanzitten, maar in feite is 100 kleine bedrijven hacken veel makkelijker dan één groot bedrijf aanvallen.
(editor note: please create in-text related article there- add shortcode - related article - https://digitalsecurityguide.eset.com/en-uk/a-hacker-stole-my-life-and-i-got-it-back)
Je hebt 14 jaar voor de politie van Dorset in Groot-Brittannië gewerkt, gespecialiseerd in onderzoek naar cybercriminaliteit. Loste je ook zaken op met betrekking tot kleine en middelgrote ondernemingen?
Ik kwam vaak in contact met een groot aantal eenmanszaken en bedrijven met minder dan 50 werknemers. Meestal hadden ze geen idee hoe kwetsbaar ze eigenlijk waren. Ze dachten vaak dat ze geen geld hadden om een cybersecurityoplossing te implementeren, ook al zijn er goedkope of zelfs gratis manieren om een bedrijf te beschermen. Als ik ze basisadvies gaf, zoals het advies om tweefactorauthenticatie te gebruiken, vroegen ze vaak: "Wat is dat? Dat klinkt duur." Ze hielden bij wijze van spreken de deuren wijd open voor aanvallers. Voor velen van hen was dit een fatale fout.
In je recente stuk schreef je over hoe je undercover ging - gemaskerd als tv-assistent-producer, Jack - om het netwerk van een luxe golfclub te hacken. En het lukte je; het personeel liet je zelfs alleen met de bedrijfsapparatuur, waardoor je mogelijk het hele netwerk kon uitbuiten. Wat had er van hun kant anders moeten worden gedaan?
Ten eerste hadden ze om een soort ID moeten vragen, zeker als ik bij wijze van spreken achter de toonbank een USB-stick in hun machines wilde steken. Dit zou een basis veiligheidsmaatregel moeten zijn van iets dat niet mag.
Ik had ook niet verwacht een Windows XP-machine te zien (het Windows XP-besturingssysteem wordt sinds 2014 niet meer ondersteund), die zelfs was aangesloten op de kassamachine. Nog een no-go. Dergelijke machines kunnen zelfs op afstand worden aangevallen. De apparaten hadden op het nieuwste besturingssysteem moeten draaien. Veel kleine bedrijven laten hun apparaten op verouderde systemen draaien omdat ze denken dat als het niet kapot is, het niet nodig is om iets te veranderen - maar in feite is het een enorme kwetsbaarheid. Deze golfclub slaat enorme hoeveelheden gegevens op van hun klanten. Deze gegevens zouden potentieel meer waard kunnen zijn dan een financiële aanval, daarom zouden ze een doelwit kunnen zijn voor hackers.
Zijn dergelijke cyber-fysieke aanvallen een gebruikelijke strategie van cybercriminelen?
Vooral vóór de pandemie las ik veel over criminelen die fysiek in databases probeerden te komen. Soms deden ze zich voor als een werknemer, of een postbode. Nu is dat niet meer zo gemakkelijk omdat er minder mensen in de kantoren zijn en het voor de hackers moeilijker is zich te verbergen. Cyber- en fysieke beveiliging moeten allemaal tegelijk worden bekeken. Voorkomen dat de aanval plaatsvindt, is een veel betere strategie dan omgaan met de nasleep ervan.
Sommige bedrijven vertrouwen op een cyberverzekering.
Helaas komt dat omdat het idee dat ze deze ‘veiligheidsdeken’ hebben, kan leiden tot het verwaarlozen van preventie. Het is niet alsof je een auto hebt verzekerd en je geld terugkrijgt als er een ongeluk gebeurt. Cybercriminaliteit werkt niet op die manier. Als één digitaal exemplaar wordt gestolen, kan het zich over de hele wereld vermenigvuldigen en overal terechtkomen, dus zelfs als de kosten van de aanval door de verzekeringsmaatschappij worden gedekt, kun je nog steeds bedrijven en middelen van bestaan verliezen. Dit is de reden waarom je niet alleen op een cyberverzekering moet vertrouwen. De optimale strategie is om de oorzaak te stoppen nog voor deze effect heeft. Ik zou meer geld steken in het voorkomen dat de aanval plaatsvindt dan in de kostenanalyse van een verzekering. Sommige verzekeringsmaatschappijen betalen zelfs het losgeld bij een ransomware-aanval - en financieren zo rechtstreeks de hele bedrijfscyclus van ransomware.
Mr. Robot geeft les in cybersecurity
De menselijke factor wordt vaak genoemd als de grootste vijand van cybersecurity. Maar met zoveel potentiële fouten die mensen kunnen maken, is het wel mogelijk om iedereen zo goed te trainen dat alle risico’s worden beperkt?
Ik denk dat het in ieder geval mogelijk is om het aantal mensen dat zich bewust is van de aanvalsfactoren te verhogen. Bedrijven zullen nooit 100% waterdicht zijn. Dat accepteer ik. Maar nu zijn veel te veel mensen kwetsbaar. Mijn gok is dat slechts een fractie van de mensen in de meeste bedrijven zich bewust is van cyberaanvallen. Je zou niet geloven hoeveel mensen nog steeds hetzelfde wachtwoord gebruiken voor meerdere accounts!
Is het mogelijk om mensen voor te lichten zonder ze bang te maken?
Dat is de lijn die ik probeer te vinden in mijn artikelen en bewustmakingsactiviteiten. Ik heb besloten om humoristisch over te komen, omdat ik denk dat als de inhoud grappig is, mensen het zullen blijven lezen, en als ik erin slaag om er ook een beetje educatie in te gooien, dan is mijn werk gedaan. Toen ik begon met het lesgeven in beveiliging, zeiden mensen dat ze het al beu waren om steeds weer dezelfde instructies te horen. Maar ik vroeg mezelf af: hebben ze een echt persoonlijk en pakkend verhaal gelezen? Waarschijnlijk niet. Dus begon ik ze te schrijven. Als mensen komen zeggen dat ze mijn artikel hebben gelezen en om cybersecurity zijn gaan geven, maakt me dat zo trots. Educatie moet leuk, onderhoudend en kort zijn. Cybersecurity-instructievideo's van zes uur lang werken gewoon niet.
Denk je dat de populaire serie Mr. Robot ook een goede bron van educatief materiaal zou kunnen zijn?
Een briljante! Ik vond het geweldig en het is erg waar: Mensen kunnen er veel van leren. Ze zouden zich kunnen realiseren hoe makkelijk het eigenlijk is om een apparaat te hacken. En dat niet alle hackers in een kelder zitten met een capuchon op - het kan ieder van ons zijn.
Je hebt verschillende bedrijven gehackt. Was er een rolmodel dat eruit sprong en als volledig immuun voor jouw pogingen kon worden beschouwd?
Eerlijk gezegd? Nee. Elke keer kreeg ik precies wat ik wilde. Maar ik heb een droom: Ik heb altijd al een bank (ethisch) willen beroven. Ik heb zelfs de Bank of England gevraagd of ik mocht proberen iets met hun netwerk te doen. Ze zeiden "no way." Dus vroeg ik in ieder geval of ik een pen mocht stelen.
Lieten ze dat toe?
Nee, ze zeiden dat ik hem terug moest leggen waar hij thuishoorde. Hoe dan ook, ik heb het niet opgegeven. Want op een dag, wil ik een blog schrijven met een titel die zegt: Dit is hoe je een bank berooft.
Jake Moore, ESET Cyber Security Specialist en Woordvoerder
Jake werkte voorheen 14 jaar voor de politie van Dorset in het Verenigd Koninkrijk, vooral als onderzoeker van computercriminaliteit in de Digital Forensics Unit voor een hele reeks misdaden, van fraude tot vermiste kinderen. In die tijd leerde hij met behulp van wettelijk toegestane technieken digitaal bewijsmateriaal van apparaten te halen om onschuldige slachtoffers van cybercriminaliteit te helpen beschermen. Daarna werd hij cybersecurityconsultant voor de politie, waarbij hij advies op maat gaf aan het publiek, scholen en lokale bedrijven met als doel de gemeenschap te helpen en voort te bouwen op hun bestaande beveiligingskennis. Hij is ook een gepassioneerd surfer. Is er een parallel tussen surfen en cyberspace, de twee gebieden waar hij zo gepassioneerd over is? "Je kunt nooit, maar dan ook nooit één van beide in twijfel trekken. Of het nu in de cyberspace is of in de zee: verwacht altijd het onverwachte."