Dit cybersecurity-nieuws uit 2019 is ook in 2020 nog relevant
Lekken in vertrouwde digitale systemen haalden in 2019 voortdurend de voorpagina’s, een trend die typerend is voor de afgelopen tien jaar.
Het afgelopen decennium werd ingeluid met de ontdekking van de computerworm Stuxnet, die het nucleair programma van Iran probeerde te ondermijnen en daarmee een voorbode was van de komende ‘digitale wapenwedloop‘. Later waren we getuige van de eerste malware-uitbraak ter wereld die voor $10 miljard schade aanrichtte en van een onophoudelijke stroom datalekken. Daarnaast merkten we een toenemende focus op niet alleen de preventie van cyberaanvallen, maar ook de detectie van en reactie op die aanvallen.
Of het nu gaat om verkiezingen, bankieren of buitenlandbeleid – de manier waarop we apparaten, identiteiten en netwerken beschermen heeft voor bijna iedereen gevolgen. Elke nieuwe stap in de digitalisering van de samenleving maakt onze levens gemakkelijker, maar dat betekent ook dat we ons tegen steeds complexere digitale dreigingen moeten beschermen.
Dus laten we in dit nieuwe jaar terugblikken op een aantal zaken die wereldwijd de voorpagina’s haalden en urgente zorgen om cyberveiligheid aan het licht brachten.
773 miljoen unieke e-mailadressen en 21 miljoen unieke wachtwoorden geüpload uit datadump ‘Collection #1’
Dat een duizelingwekkende verzameling data half januari 2019 werd geüpload op de website Have You Been Pwned? van Troy Hunt was geen nieuw feit. Maar dit nieuws herinnert ons pijnlijk aan de voortdurende strijd die bedrijven moeten leveren om persoonsgegevens te beveiligen. En aan de risico’s waaraan consumenten zijn blootgesteld door een schijnbaar onophoudelijke stroom datalekken.
Alleen al de lekken die het afgelopen jaar aan het licht zijn gekomen, hebben waarschijnlijk miljarden mensen getroffen.
Door de enorme hoeveelheid data die we delen om in de 21e eeuw normaal te kunnen functioneren, wordt het alleen maar moeilijker om onze identiteit te beveiligen.
IT-netwerk van Norsk Hydro getroffen door een ‘uitgebreide cyberaanval met consequenties voor de activiteiten van verschillende bedrijfsonderdelen’
In maart 2019 werd de Noorse aluminiumproducent Norsk Hydro het slachtoffer van de ransomware LockerGoga. Het bedrijf riep onmiddellijk de noodtoestand uit. Dankzij de bewonderenswaardige inspanningen van de medewerkers kon het bedrijf zijn activiteiten hervatten, maar de aanval leverde uiteindelijk $75 miljoen schade op.
Deze aanval verschilde op een cruciaal punt van WannaCry en NotPetya, de wereldwijde ransomware-uitbraken van 2017. ‘Er is geen replicatiemechanisme. Dit is geen worm, dit is een gerichte aanval’, vertelde Mikko Hypponen, de Chief Research Officer van F-Secure aan WIRED.
Het ging puur om het geld.
Ransomware vormt inmiddels voor consumenten een iets minder ernstig risico. Cybercriminelen hebben hun pijlen meer gericht op organisaties die eerder geneigd zijn te betalen, zoals kleine ondernemingen, producenten en overheidsinstanties.
Wachtwoorden van 200 miljoen tot 600 miljoen Facebookgebruikers mogelijk in niet-versleutelde tekst opgeslagen
In 2019 hielden de privacyproblemen van Facebook het hele jaar aan.
Het ging onder andere om problemen met de wijze waarop de website wachtwoorden beveiligt, en het lekken van 419 miljoen telefoonnummers en persoonsgegevens van 267 miljoen gebruikers. Het grootste sociale netwerk ter wereld bewees hiermee opnieuw hoe moeilijk het is om de privacy van miljarden mensen te beschermen en tegelijkertijd aan hun persoonlijke levens te verdienen.
Het ziet ernaar uit dat de dataproblemen van Facebook in 2020 een bron van onheil blijven. Het is maar de vraag of de consequenties van deze uitglijders ooit ernstig genoeg worden om grote veranderingen in de houding van mensen en overheden tegenover het bedrijf teweeg te brengen.
Microsoft brengt oplossing uit voor BlueKeep, een ernstige kwetsbaarheid in Remote Code Execution
‘Door CVE-2019-0708 kan een aanvaller “remote code” uitvoeren op een kwetsbaar apparaat waarop het Remote Desktop Protocol (RDP) draait’, meldde Teemu Myllykangas van F-Secure in mei.
In november was het duidelijk dat het zou kunnen leiden tot ernstige consequenties als BlueKeep niet gepatcht zou worden.
‘F-Secure is op de hoogte van verslagen, zowel openbaar als vertrouwelijk, waarin een nieuwe soort malware ter sprake komt die de CVE-2019-0708-kwetsbaarheid – beter bekend als BlueKeep – tot wapen heeft gemaakt’, luidde de waarschuwing van F-Secure Consulting. ‘Het bestaan van malware die profiteert van de BlueKeep-kwetsbaarheid betekent dat alle organisaties meer risico lopen, ongeacht hun normale risicoprofiel.’
Door wat onze CEO Samu Konttinen het ‘trickle-down effect‘ van cyberoorlogsvoering noemt, zullen kwetsbaarheden zoals BlueKeep, bekend en onbekend, in de nabije toekomst gevaar blijven opleveren.
AVG viert eerste verjaardag
Of je de Europese Algemene Verordening Gegevensbescherming (AVG) nu als zegen of als vloek beschouwt, de impact ervan in zijn eerste levensjaar valt niet te ontkennen.
‘De bekendheid is reusachtig’, zegt Eric Andersen, die bedrijven ondersteunt bij de naleving van de AVG, in onze Cyber Sauna-podcast. ‘Iedereen heeft het erover hoe data binnen organisaties worden beschermd.’
De eerste grote boetes, die in december 2019 zijn opgelegd, wijzen erop dat de toezichthouders de verordening waarschijnlijk intensiever gaan handhaven. Maar het belangrijkste gevolg van deze wet zou wel eens de Californische ‘light-versie’ van de AVG kunnen zijn, de California Consumer Privacy Act (CCPA), die op 1 januari 2020 van kracht is geworden.
De CCPA mag dan de eerste wet zijn die voortborduurt op het Europese experiment met dataregelgeving, maar het zal zeker niet de laatste zijn.
Groeiende bezorgdheid om IoT en slimme huizen
‘Het zal niemand verbazen dat de veiligheidsrisico’s van ‘internet of things’ (IoT)-apparatuur een topprioriteit zijn geworden en in de eerste helft van 2019 hebben geleid tot veel internetaanvallen’, meldden we vorig jaar.
F-Secure gebruikt een eigen honeypot-netwerk als lokmiddel om cyberaanvallen over de hele wereld in kaart te brengen en ziet nu meer Mirai-malware, die onveilige IoT-apparatuur zoals webcams en routers aanvalt, dan dreigingen voor PC’s of smartphones. Deze warboel is veroorzaakt door onopgeloste kwetsbaarheden in IoT-apparaten die overhaast op de markt zijn gebracht hebben.
F-Secure Consulting blijft kwetsbaarheden vinden in de zogenaamd slimme apparaten waar kantoren en huizen momenteel vol mee staan.
Onze specialisten werken in red-team-onderzoeken aan de opsporing van kwetsbaarheden in zakelijke netwerken. Bij een van die onderzoeken merkten zij de populariteit van het ClickShare-presentatiesysteem op. Uiteindelijk wisten zij verschillende kwetsbaarheden in het systeem bloot te leggen. Daarnaast toonden onze onderzoekers in de laatste weken van 2019 kwetsbaarheden aan in een slim slot en in een projector.
Zorgen om het privacybeleid van de ‘slimme’ deurbel Ring van Amazon benadrukken het groeiende besef bij consumenten dat de complexiteit van de beveiliging van een leven waarin bijna alles is verbonden met het internet, overweldigend kan zijn.
In 2020 zal in Californië ook SB-327 worden ingevoerd, de eerste wet waarin de veiligheid van het Internet of Things wordt vastgelegd. Maar deze wet gaat alleen voor nieuwe apparaten gelden.
F-Secure werkt daarom nauw samen met bedrijven die zich bezighouden met internetbeveiliging, om bescherming te bieden voor de onderling verbonden slimme apparaten en identiteiten van gebruikers, verregaander dan onder de huidige wetgeving vereist is.
Categorieën