Wat maakt ‘cyber security’ anders

In beginsel zou je kunnen stellen dat indien‘cyber security’ conform de definitie voortborduurt op informatiebeveiliging/IRM, er geen reden is om anders tegen de assets en impactanalyse aan te kijken als al het geval was. Toch is er een aantal kenmerken van ‘cyber security’ te benoemen die het anders maakt: • Een (veel) grotere dynamiek: snelle veranderingen, onder meer in dreigingen, kwetsbaarheden en slachtoffers • Het open karakter van internet biedt uitgebreide mogelijkheden tot samenwerking, niet alleen vreedzaam in het kader van bijvoorbeeld B2B of sociale netwerken als Facebook en LinkedIn, maar ook voor de aanvallers. • De meeste mensen hebben van nature bepaalde karaktereigenschappen waardoor ze gevoelig zijn voor aanvallen zoals ‘social engineering’ en ‘phishing’ en helpen zo onbewust aanvallers bij het plegen van hun misdaden. • Het is vaak ondoenlijk om aan te tonen wie de echte aanvallers zijn: er zijn vele mogelijkheden om de eigen identiteit af te schermen en anderen te onbewust (botnet) te betrekken bij een aanval; veel aanvallen worden toegeschreven aan China en Rusland, maar het is moeilijk om aan te tonen dat deze landen daadwerkelijk achter de aanvallen zitten. • De aanval kan op hetzelfde moment van een groot aantal verschillende locaties afkomstig zijn, bijvoorbeeld wanneer de aanvaller een botnet gebruikt voor een Distributed Denial of Service (DDoS) aanval gebruikt. • De aanval kan plaatsvinden met relatief eenvoudige middelen: een simpele PC met standaard via het internet aanwezige tooling (Backtrack, Metasploit) kan voldoende zijn. De aanval op Diginotar is ook uitgevoerd – althans geclaimd door – één enkele hacker. Er is literatuur beschikbaar die beschrijft dat een beperkte Denial of Service aanval vanaf één PC maar gericht op applicatieniveau grotere schade kan veroorzaken dan een grootschalige aanval op netwerkniveau. • In geval van een zogenaamde “advanced persistent threat (APT)” kan de organisatie al aangevallen zijn zonder het te weten: de aanvaller kan malware geïnstalleerd hebben om deze op een later moment te gebruiken. Dit laat zich vergelijken met de klassieke spion die als een mol de organisatie is binnengedrongen en wacht op het juiste moment om toe te slaan. • Zodra een organisatie succesvol is aangevallen, kan het nieuws zich mede via social media met grote snelheid verspreiden en het lastig maken om de omvang van de (reputatie)schade te beperken. Het is dus noodzakelijke om bestaande risicoanalyses te actualiseren en na te gaan of assets op de juiste manier gewaardeerd zijn en of impacts op de juiste manier zijn ingeschat. Zowel de kans op schade als de omvang van de schade zouden wel eens (veel) groter kunnen zijn dan oorspronkelijk was ingeschat. Daarnaast dient dan tegelijk bezien te worden of de impact ook volgens de juiste scenario’s geanalyseerd is. Wellicht hield men in het verleden geen rekening met een DDoS-aanval en daarmee ook niet met het uitvallen van een compleet verkoopkanaal als dat via internet loopt.