Computercriminaliteit is een samengaan in tijd en ruimte van een gedreven dader, geschikte slachtoffers en een afwezigheid van geschikte beschermers. Dat is de conclusie van een onderzoek van wetenschappers aan de A. James Clark School of Engineering and Institute for Systems Research en het College of Behavioral and Social Sciences (bron).
Een mooie conclusie die op zich natuurlijk niet heel vernieuwend is maar die wel de essentie goed weergeeft. Je hebt dus nodig een dader, een slachtoffer en het moet ontbreken aan geschikte beschermmiddelen. Daarbij kijken we natuurlijk in de praktijk nog erg vaak naar die beschermmiddelen en dat noemen we dan al snel beveiliging. Jammer genoeg zit het probleem hem niet zozeer in die beschermmiddelen maar juist in het bijbehorende woord: geschikte.
Te vaak staren we ons blind op allerlei technische beveiligingsmaatregelen om er, na een incident, achter te komen dat we toch niet helemaal de meest efficiënte combinatie hadden gekozen. Helaas dringt dit nog te weinig door en blijven we in ons vaste stramien zitten. Wat we moeten doen (en waar hem ook de echte uitdaging voor security professionals zit) is de zoektocht naar de combinatie van geschikte middelen.
Daarbij moeten we dan ook direct onderscheid maken in het soort dader. Voor een scriptkiddie zal een basis beveiligingsniveau misschien voldoende zijn. Die komt niet door jouw buitenste schil en zal op zoek gaan naar een ander potentieel slachtoffer. Voor de meer ervaren cybercrimineel voldoet het basis niveau wellicht al niet meer om over professionele aanvallen van andere landen nog maar te zwijgen.
Hiermee komt dan ook automatisch weer het geaccepteerde risico om de hoek kijken. Voor de fysieke beveiligingswereld doen we dat ook en als we dat nu eens als voorbeeld nemen dan wordt het een en ander duidelijker. Willen we ons gebouw beveiligen tegen een amateur, een gelegenheidsdader, een professional of zelfs tegen terroristen? En zo ja, met welke aanvalsmiddelen willen we dan dat ze onze muren niet doorbreken? Beschermen we ons zelf tegen een steen die door de ruit wordt gegooid? Of gaan we verder en zorgen we ervoor dat we beveiligd zijn tegen handgereedschap en zelf thermische lansen?
Kijken we op deze manier naar informatiebeveiliging dan kunnen we natuurlijk ook daderprofielen opstellen. Waarna we kunnen besluiten wat ons beveiligingsniveau moet zijn. Zo kijken we ineens tegen een heel ander geaccepteerd risico aan. We hebben de grootste risico’s afgedekt en accepteren de restrisico’s.
Maar goed, we dwalen wat af van het menselijk aspect, zoals dat in het onderzoek bedoeld is. Laten we nog even kijken wat er verder voor opmerkelijks geschreven staat: Uit het onderzoek blijkt volgens de onderzoekers onder meer dat cyberaanvallen vooral tijdens de werkuren worden geregistreerd en nauwelijks tijdens de nacht of in de weekends. “Tijdens de werkuren zijn de potentiële slachtoffers met hun computers actief op netwerken,” merken Cukier en Maimon op. “Daardoor worden de netwerken blootgesteld aan aanvallen. Alleen al door het online browsen, worden internet-adressen en poorten zichtbaar voor mogelijke aanvallers. Het gedrag van de individuele gebruiker beïnvloedt dan ook de veiligheid van de hele organisatie.
Als dat inderdaad zo is, dan betekent het dat je netwerk dus veiliger is gedurende de avond en weekenduren. En dat alleen maar omdat er dan minder mensen actief zijn. Blijkbaar richten de aanvallen zich dus inderdaad op de menskant van het geheel. Ehm, interessante gedachte die wat mij betreft verder onderzocht mag worden.