Bedrijven en organisaties kunnen er niet meer omheen. Het aantal cyberaanvallen is de laatste jaren sterk toegenomen en raakt ook het Nederlandse bedrijfsleven. Zo werden onder meer de ABN Amro, ING, DigiD en de Belastingdienst in het weekend van 27 januari getroffen door grootschalige DDoS-aanvallen. Door deze aanvallen waren de servers tijdelijk niet of slecht toegankelijk.
Ook binnen het opleidingsprogramma van het traineeship Security en Privacy blijft het fenomeen cyberaanvallen niet onopgemerkt. Afgelopen vrijdag vond de tweede Train & Muscle dag – als onderdeel van het opleidingsprogramma – plaats op het hoofdkantoor in Alkmaar. Op deze dag werd onder meer uitgebreid stilgestaan bij de recente DDoS-aanvallen. Wat is nu precies een DDoS-aanval? Wat zijn de gevaren en gevolgen? En wat beweegt iemand tot deze aanvallen?
Wat is een DDoS-aanval?
Om een DDoS-aanval uit te kunnen voeren, besmet een hacker allereerst een grote hoeveelheid computers. Vervolgens zet hij een zogenaamd botnet (netwerk van deze besmette computers) op. Vanuit dit netwerk wordt een server bestookt met een enorme stroom dataverkeer. Een server raakt dan overbelast en kan het dataverkeer niet aan. Als gevolg hiervan zal de server tijdelijk offline of slecht bereikbaar zijn.
Wat zijn de gevaren en de gevolgen?
Tijdens de grootschalige DDoS-aanvallen op de ABN Amro, ING, DigiD en de Belastingdienst konden klanten van de banken tijdelijk niet internetbankieren en waren de websites van de DigiD en de Belastingdienst ook niet of nauwelijks toegankelijk. Voor zover bekend, was er door de DDoS-aanvallen geen gevaar voor het betalingsverkeer of klantgegevens.
Wel vormt het zogeheten ‘Internet of Things’ een bijkomend risico op DDoS-aanvallen. Tegenwoordig zijn veel apparaten, zoals beveiligingscamera’s en huishoudelijk apparaten aangesloten op het internet. Vaak zijn deze apparaten niet goed beveiligd, omdat het fabriekswachtwoord niet veranderd wordt door de eindgebruiker. Hierdoor kunnen deze apparaten ook eenvoudig gebruikt worden als middel voor het uitvoeren van DDoS-aanvallen.
Ondanks dat het betalingsverkeer of klantgegevens niet altijd in gevaar zijn, kunnen DDoS-aanvallen wel vervelende gevolgen hebben voor getroffen bedrijven en organisaties. Allereerst kan een aanval voor financieel verlies zorgen, doordat dienstverlening tijdelijk niet mogelijk is. Ook gaan DDoS-aanvallen gepaard met kosten voor het herstel van de beveiliging en kan het een bedrijf of organisatie reputatieschade en negatieve publiciteit opleveren.
Wie zit achter een DDoS-aanval?
Vaak is het niet duidelijk wie achter een DDoS-aanval zit. Een botnet kan namelijk vanuit de hele wereld worden opgezet, waardoor het achterhalen en het vervolgen van de aanvaller bijna onmogelijk is.
Toch heeft de politie voor de recente DDoS-aanvallen op onder meer de banken en de Belastingdienst een 18-jarige verdachte kunnen oppakken. Wat heeft de verdachte ertoe bewogen om op grote schaal deze bedrijven en organisaties aan te vallen? Naar eigen zeggen wilde hij ‘‘laten zien dat een tiener gewoon alle banken kan platleggen met een relatief simpele aanval.’’ Daar voegde hij aan toe: ‘‘Banken horen het gewoon goed voor elkaar te hebben, dus dat is een leuk target om plat te krijgen. Vooral omdat veel mensen er dan ook last van hebben.”
Het zullen hoogstwaarschijnlijk niet de laatste DDoS-aanvallen zijn waar deze bedrijven en organisaties door getroffen zullen worden. Van belang is dat bedrijven dus waakzaam zijn op cyberaanvallen en technische en organisatorische maatregelen inzetten om DDoS-aanvallen te voorkomen en te beperken. Ook het kabinet heeft naar aanleiding van de recente aanvallen een nieuw actieplan op de cybersecurity-agenda gezet. Sinds 1 januari van dit jaar geldt al een meldplicht voor vitale bedrijven en organisaties die voorzien in basisbehoeften (zoals financiële instellingen, netbeheerders en Schiphol) om cyberaanvallen te melden bij het Nationaal Cyber Security Centrum. Om de nationale online veiligheid zoveel mogelijk te kunnen waarborgen, wil het kabinet deze regel versterken door binnenkort bij de Tweede Kamer een wetsvoorstel in te dienen om bij het niet melden van een cyberaanval aan deze bedrijven en organisaties een boete op te leggen.
To be continued…
