In de fysieke beveiligingswereld is het al lang heel normaal om uit te gaan van bepaalde dadertypen en daderprofielen. Op basis daarvan worden keuzes gemaakt waartegen een bedrijf zich wil beschermen. Zo wil (bijna) iedereen zich wel beschermen tegen gelegenheidsdaders of amateurs. Hebben we het over terroristen dan wordt het al een ander verhaal.
In onderstaand artikel is een interessante typering gegeven van vijf hackers typen. Voor informatiebeveiliging kunnen we die gaan gebruiken om onze aanpak in te richten. Willen we ons beveiligen tegen script kiddies en insiders of ook tegen hackers die inbreken in opdracht van naties? Het is een keuze, maar wel een belangrijk vertrekpunt om de beveiliging in te richten.
De typen die worden onderscheiden zijn:
- Ten eerste de script kiddies. Dat zijn vaak nog pubers, die uit nieuwsgierigheid op zoek gaan naar gaten in onlinesystemen. Als ze lekken vinden, melden ze dat ook vaak aan de bedrijven.
- Dan zijn er de insiders. Hackers die uit rancune, bijvoorbeeld na ontslag, op zoek gaan naar zwakke plekken in ict-systemen. Omdat ze de bedrijven goed kennen, is de schade vaak groot.
- De georganiseerde misdaad hackt ook. Zij probeert bijvoorbeeld via phishing-mails (mails met het verzoek persoonsgegevens op te sturen) de geadresseerden creditcardgegevens te ontfutselen.
- Hackgroeperingen, zoals Anonymous, hacken vanuit een politieke overtuiging. Door schade aan bijvoorbeeld bedrijven toe te brengen willen deze activisten hun standpunt kracht bijzetten.
- Tot slot zijn er hackers die inbreken in opdracht van naties: om te spioneren of systemen plat te leggen. De hack die de centrifuges van een Iraanse kerncentrale platlegde, is een voorbeeld van deze cyberwarfare. (bron)
Aangezien we als organisatie niet alles in een keer aan kunnen pakken, lijkt het wijs er eerst eens voor te kiezen om de script kiddies en insiders in de gaten te houden. We zouden ons basis beveiligingsniveau daarop in kunnen richten en ons minimaal tegen deze dreiging kunnen beveiligen. Voor die processen en systemen waarvan we bepaald hebben dat ze kritisch zijn voor onze organisatie zouden we nog een stap verder kunnen gaan. We zouden er voor kunnen kiezen deze ook tegen de georganiseerde misdaad en hachersgroepen te beveiligen. Daar zal dan veelal veel technische kennis bij nodig zijn. Hebben we die zelf niet in huis dan schakelen we daar een extern expert voor in.
Voor veel organisaties zal het lastig zijn zich te wapenen tegen hackers die inbreken namens naties. Eerlijk is eerlijk, voor veel bedrijven is dit ook helemaal niet nodig. De vreemde natie is helemaal niet in jouw organisatie geïnteresseerd. Kijken we echter naar de infrastructuur die voor Nederland als vitaal is aangemerkt en kijken we naar de overheidsinstellingen dan wordt het een ander verhaal. Deze kunnen wel degelijk doelwit zijn en zullen deze dadertypering dus ook in overweging moeten nemen. Maar zolang sluizen en bruggen nog voor scriptkiddies open staan lijkt dat voor nu (voor sommige organisaties) nog een brug te ver.