'Risico's cloud en smartphones overschat'

Data wordt zelden vanuit clouds of smartphones buitgemaakt. “Ik heb zulke gevallen nog niet meegemaakt”, zegt Verizon-onderzoeker Dave Ostertag tegen Computerworld. Hij onderzocht samen met een team van Verizon, de Amerikaanse geheime dienst en de cyberdivisie van de Nederlandse politie 761 gevallen van data-inbreuk die zich in 2010 wereldwijd voordeden. Verreweg de meeste data lekt via organisaties’ eigen servers, desktops en laptops uit en wordt in 91 procent van de gevallen buitgemaakt door externe personen die de gegevens verkopen of inzetten voor criminele doeleinden.

Data in clouds en op mobiele apparaten zoals tablets en smartphones blijft voorlopig buiten schot, zegt Ostertag. Enerzijds komt dit door beveiliging, anderzijds hebben criminelen nog weinig interesse in deze bronnen van gevoelige data. “Cloud blijft grotendeels gevrijwaard van hacks, maar dat wil niet zeggen dat het in de toekomst nog gaat gebeuren. Het is een kwestie van tijd voordat hypervisors met malware besmet kunnen worden en het huidige beveilingsniveau onvoldoende blijkt”, aldus de onderzoeker.

Hoewel Verizon dit jaar een recordaantal zaken onderzocht heeft, blijkt het aantal bestanden dat cybercriminelen wisten buit te maken dit jaar ook historisch laag te liggen. In 2010 werden in alle 761 zaken namelijk 3,8 miljoen records gestolen, terwijl dit aantal in 2009 op 143,6 miljoen lag en in 2008 zelfs op 360 miljoen. In de voorbije jaren werden significant minder zaken onderzocht.

Gegevens betaalkaarten minder interessant

Volgens Ostertag is de verklaring voor het relatief lage aantal gestolen gegevens tweeledig. “Om te beginnen is het is een kwestie van vraag en aanbod. Het duurt even voordat gegevens die op de ondergrondse markten aangeboden worden verkocht worden. Dit kan tot twee jaar duren, vandaar dat we na de piek van 2008 nu een scherpe daling zien. Dit komt omdat de markt voor bijvoorbeeld creditcardgegevens aardig verzadigd raakt waardoor de prijzen dalen.”

Daarnaast zijn criminelen in 2010 uitgeweest op andere gegevens. “Voorgaande jaren waren het vooral klantgegevens die bij bedrijven werden ontvreemd. Wat we bij nieuwe zaken zien, is dat cybercriminelen uit zijn op gegevens over bedrijfsprocessen. Daarnaast zijn het samenwerkingsovereenkomsten en financiële rapporten die in trek zijn. De marges op betaalkaartinformatie zijn voor veel criminelen te klein geworden.”

Ondanks dat gegevens van betaalkaarten minder in trek zijn geworden, werden ze bij 78 procent van de onderzochte datalekken ontvreemd. Ook gebruikersnamen en wachtwoorden (45 procent) en persoonlijke NAW-gegevens (15 procent) blijven onverminderd populair.

Advanced persistent threat

Verder is het opvallend dat het rapport (pdf) het gevaar van advanced persistent threats (APT’s) relativeert. Zulke aanvallen, die zeer geavanceerd zijn en nauwelijks te stoppen, worden volgens Verizon vaak onterecht als APT aangeduid. Organisaties zeggen dat ze slachtoffer zijn van een APT, terwijl hun eigen beveiligingssystemen gefaald hebben, zegt Verizon-onderzoeker Bryan Sartin. “Ze bestaan wel, maar ze worden overhyped.”

Sartin zegt dat sinds de hackpogingen die in januari 2010 bij Google China door overheidshackers plaatsvonden, ondernemingen de neiging hebben om ieder hackincident als APT aan te merken. Volgens de officieuze definitie van een advanced persistent threat wordt deze vanuit overheden aangestuurd, maar is het ontrecht een modewoord geworden. Een “perfect excuus” voor een datalek, aldus Sartin.

Hacken (via backdoors, bruteforcing en SQL-injection) is de populairste manier om aan gegevens te komen, kort gevolgd door malware, waarbij vooral gemodificeerde ZeuS-code wordt toegepast. Social engineering, misbruik van systemen door eigen werknemers en diefstal van fysieke gegevensdragers komen beduidend minder vaak voor.