Vasco doet 4 securityvoorspellingen voor 2018

In 2017 zijn helaas meerdere records gebroken op het gebied van datalekken. Honderden miljoenen mensen zijn wereldwijd het slachtoffer geworden van cyberaanvallen en –dreigingen. De laatste jaren zijn veel nieuwe technieken opgedoken om deze dreigingen het hoofd te bieden. Maar de meest eenvoudige manier wordt nog steeds het vaakst genegeerd: de manier waarop bedrijven reageren op een mogelijk datalek. Infosecurity Magazine vroeg Vasco Data Security naar de belangrijkste uitdagingen waar we in 2018 voor komen te staan.

VASCO Data SecurityHet is van groot belang om te anticiperen op de trends die het komende jaar waarschijnlijk door gaan zetten. Sommige van deze trends gaan veel invloed hebben op de manier waarop organisaties naar hun security kijken. Deel zal de bewustwording onder managers door deze trends toenemen, mede door de hogere mogelijke kosten van datalekken die gedeeltelijk worden ingegeven door strenge boetes. Bij andere trends gaat het om technologie die security beheersbaarder maakt. Maar uiteindelijk moeten we hetzelfde effect gaan waarnemen: een duidelijke verbetering van cyberbeveiliging binnen bedrijven. Hieronder noemen we vier trends die een grote betekenis gaan hebben op het gebied van cybersecurity.

Mobiele aanvallen worden ernstiger

Browsers blijven een belangrijke doelwit voor criminelen om platformen voor online bankieren aan te kunnen vallen. Maar hun interesse zal meer uitgaan van apps voor mobiel bankieren. De eenvoudige reden is dat meer dan 50 procent van de banktransacties binnen de Europese Unie worden uitgevoerd via mobiele apps. Vrijwel alle banken bieden een app aan waarmee klanten hun rekeningen kunnen beheren en betalingen kunnen uitvoeren. De diensten op deze platformen zullen de komende tijd alleen maar worden uitgebreid.

Dat betekent dat we in 2018 waarschijnlijk meer geavanceerde aanvallen zullen waarnemen die zijn gericht op deze apps. De security blijft een uitdaging omdat iedere bank zijn eigen app heeft ontwikkeld. In landen als Rusland hebben we al gezien dat criminelen op grote schaal aanvallen hebben uitgevoerd door overlays in te zetten. Daarbij wordt een nepinterface geplaatst  bovenop een legitieme app om de beveiliging van het onderliggende platform te omzeilen. In andere landen zijn ook al pogingen geweest tot deze aanvallen, en het komende jaar kunnen we nieuwe varianten verwachten. Providers zullen nieuwe methodes moeten inzetten om deze dreiging te neutraliseren. De technologie hiervoor is al beschikbaar. VASCO biedt bijvoorbeeld een effectieve combinatie van malwaredetectie met Runtime-Application Self Protection (RASP) tegen overlay-aanvallen.

Blockchain verbetert databasebescherming

Blockchaintechnologie wordt al een tijdje nauwgezet gevolgd, maar lijkt in 2018 eindelijk mainstream te worden. Dat is goed nieuws. Tot nu toe worden alle transacties in een centrale database opgeslagen, ergens op een server binnen de organisatie. Om deze data te stelen of te corrumperen hoefden cybercriminelen alleen maar te weten waar de database zich bevindt en waar de zwakheden zitten. Vaak gaat het ook nog eens om menselijke zwakheden waardoor relatief eenvoudige phishingaanvallen voldoen. De schade kan gigantisch zijn. Anthem, een Amerikaanse zorgverzekeraar, moest $115 miljoen aan schikkingen betalen na een databaselek waarbij de gegevens van 79 miljoen mensen werden gestolen.

Blockchain is een technologie waarbij via peer-to-peer een ‘kasboek’ wordt bijgehouden en gepopulariseerd door het gebruik door cryptomunten. Daarbij wordt de centrale database vervangen door een gedistribueerde database die niet centraal wordt beheerd. Daardoor is er niet één zwak punt waar hackers zich op kunnen concentreren. De uitdaging ligt bij Blockchain vooral bij de snelheid omdat iedere transactie door het gebrek aan een centraal controlepunt apart geverifieerd moet worden.

Door IoT verschuift security naar de randapparatuur

Het aantal IoT-apparaten zal de komende jaren exponentieel toenemen. Nu zijn ongeveer acht miljard IoT-apparaten verbonden, maar Gartner schat dat dit zal groeien naar maar liefst 20 miljard in 2020. Binnenkort zullen industriële IoT-apparaten en zelfrijdende auto’s de interesse wekken van cybercriminelen, en hetzelfde geldt voor de gewone huishoudelijke apparaten die steeds vaker een internetverbinding hebben. Daarbij blijven de infrastructuren helaas kwetsbaar. De zogenaamde KRACK-aanval waarmee de wijdverspreide WPA2-beveiligingsstandaard voor draadloze netwerken wordt omzeild is een teken dat de beveiliging van apparaten beter moet. Deze aanvallen hebben bovendien een directe impact op het welzijn van mensen omdat het ook gaat om medische apparatuur en auto’s, die het mogelijk maken om mensen digitaal te gijzelen. Het Reaper-botnet die IoT-apparaten infecteert en inzet voor DDoS-aanvallen of zelfs Destruction-of-Service-aanvallen is al binnengedrongen tot meer dan een miljoen apparaten.

Dit wordt een groot probleem omdat consumenten zich amper bezighouden met de beveiliging van apparaten die ze niet meteen associëren met ICT-technologie. Het is daarom mogelijk dat we in 2018 de eerste grootschalige IoT-aanvallen gaan waarnemen.

AVG gaat een enorme boete opleveren

De Algemene Verordening Databescherming (AVG, onder sommigen beter bekend onder de Engelse afkorting GDPR) wordt op 25 mei 2018 van kracht en is dan binnen Europa de dominante wet op het gebied van privacy en databescherming. Bedrijven worden verantwoordelijk voor de verantwoorde inzet, opslag en bescherming van persoonsgegevens. Boetes voor het niet nakomen van de AVG kunnen oplopen tot €20 miljoen of 4% van de jaarlijkse omzet, afhankelijk welke hoger ligt. Voor financiële instanties komt daar dit jaar de nieuwe Payment Services Directive (PSD2) bovenop. Banken moeten dan hun data delen met handelaren als de eindklant dat wil, waardoor nakoming van de AVG nog moeilijker wordt.

Het is heel goed mogelijk dat de EU het eerste grote bedrijf dat betrapt wordt op het overschrijden van de AVG-regels als voorbeeld wil stellen. Dit om te laten zien dat de verordening serieus wordt genomen. Het zal dan waarschijnlijk niet gaan om een wereldwijd bekend bedrijf, maar het zal toch genoeg zijn om anderen te motiveren zich aan de regels te houden.

Robbert Hoeffnagel is hoofdredacteur van Infosecurity Magazine