ICT zorgt voor de ondergang van de wereld

19-06-2019

“We gaan er allemaal aan. We weten alleen nog niet hoe. Zou het de stijging van de zeespiegel zijn, het uitsterven van diersoorten, de plastic soep, biotech problemen, of toch een natuurlijke ramp? Welke ramp gaat het einde van de wereld betekenen? Ik zeg: cybergeddon. Het is onze ICT die ervoor gaat zorgen dat we er allemaal aan gaan. Cyber is zo breed geïmplementeerd in onze maatschappij, dat als cyber eraan gaat, de wereld de soep in loopt,” aldus Peter Zinn tijdens zijn presentatie ‘Cybergeddon: we’re all gonna die’ op het IIA Congres 2019.

ICT de zwakste schakel?

“Maersk heeft er twee weken uit gelegen. Hoe? Er zat een foutje in Microsoft waar niemand wat van wist. NSA maakte een stukje malware om via Microsoft computers binnen te dringen, want Microsoft zelf wist het ook nog niet. Maar toen werd NSA gehackt, en daarna waarschuwden ze Microsoft pas. Hackers in de Oekraïne pushten in de tussentijd een update van een veelgebruikt Microsoft programma met malware erin. Bijna alle bedrijven die in of met de Oekraïne zaken doen, gebruiken dit programma, en werden zo allemaal in één keer gehackt. Inclusief Maersk. Er stonden 37 back-ups in hun systeem, maar het virus had ze allemaal tegelijk gehackt. De enige reden waardoor het bedrijf gered werd, was omdat er in Ghana een stroomstoring was geweest ten tijde van de update. Dus ja, mijn boodschap: als je ICT niet op orde is, zou je zomaar eens om kunnen vallen.

Waarom is ICT eigenlijk zo groot geworden? Computers worden elk jaar twee keer zo groot (de Wet van Moore), maar ook mobieltjes, bandbreedte en big data: alles verdubbelt. Dus ook cybercrime blijft exponentieel groeien. Want daar zit het geld: banktransacties, bitcoin - als wij met z’n allen online gaan, gaan de criminelen erachteraan. En niet houtje-touwtje, nee, ransomware is zeer geprofessionaliseerd. Daar kunnen je neefje en de politie niets meer aan doen. Bovendien, als je er niet uitkomt met een betaling, kun je contact opnemen met helpdesk van de hackers.”

Snelle ontwikkeling de zwakste schakel?

“Met het Internet of Things maken we ons leven makkelijker. Denk aan je koelkast, licht, verwarming en bel, die je allemaal via je telefoon kunt bedienen. De chips worden steeds kleiner, dus is er geen ruimte meer om security te implementeren. Bovendien zorgt de markt ervoor dat het allemaal veel te snel moet gaan. Zo wordt het er wel makkelijker, maar niet veiliger op. Een casino in Las Vegas werd bijvoorbeeld gehackt via hun hypermoderne aquarium, dat helemaal digitaal onderhouden kon werden: afvalstoffen, temperatuur, etc. Hackers kwamen via de slimme thermometer het aquarium en zo het complete netwerk van het casino binnen.

Na het Internet of Things volgt het Internet of People: we gaan mensen chippen. En dit gebeurt al. Denk aan pacemakers, apparaatjes die ervoor zorgen dat je hart in het juiste ritme blijft kloppen. Onmisbaar voor veel mensen. Maar die kunnen dus wel gehackt worden. Er zijn al meerdere malen pacemakers teruggeroepen, in welk geval de mensen moesten langskomen om de software te laten updaten. Er worden ook al implantaten in de hersenen geplaatst, die ervoor zorgen dat mensen met een verlamming toch hun armen kunnen gebruiken. Bovendien is er een bionische contactlens in ontwikkeling. Deze heeft nu een miezerige 16 pixels, maar met de Wet van Moore zal dat snel gaan. Handig, maar dus ook potentieel gevaarlijk.”

Mens de zwakste schakel!

Software wordt geüpdatet, mensen niet. Wíj zijn ‘goedgelovig, gretig en geil’, en daar maken criminelen dankbaar misbruik van. Naast dat we te makkelijke wachtwoorden gebruiken, letten we ook niet goed op als we ons wachtwoord invoeren, er kan altijd iemand meekijken. Bovendien bestaat er zoiets als social engineering. Er wordt dan geen aanval op de techniek zelf uitgevoerd, maar de hacker probeert een computersysteem binnen te komen door de mens te 'kraken', bijvoorbeeld door de nieuwsgierigheid van een potentieel slachtoffer te wekken. Denk aan phishing.

Phishing werkt echter niet zo goed meer. Daarom is er nu spear phishing ontwikkeld: specifieke mensen worden het doelwit. Hackers verzamelen en gebruiken persoonlijke informatie door de sociale media van hun doelwit te bekijken. Een CEO hacken levert natuurlijk meer op, dat heet dan ook whale phishing. Denk aan Pathé en Crelan. Dit werkt vooral als de directeur absolute macht heeft.”

In 3 stappen de zwakste schakel versterken

“Is dit proces onomkeerbaar? Of kunnen we het nog tegengaan? Hier ligt duidelijk een taak voor ons om de wereld een stukje veiliger te maken. We moeten niet paranoïde worden, maar simpelweg beter aan onze veiligheid denken.

1. Doe aan cyberhygiëne
Met een paar simpele handelingen kan 99% van de cyberproblemen voorkomen worden.

  1. Updates: Wanneer er een update van een programma wordt uitgebracht, doe deze update dan binnen één week. Want cybercriminelen kijken meteen wat er fout was in de vorige versie en gaan na een week al in de aanval.
  2. Back-ups: Zorg altijd voor een back-up, en zorg dat deze óók offline staat. Test bovendien geregeld of de back-up het wel naar wens doet, zodat je daadwerkelijk ‘gered kunt worden’.
  3. Wachtwoorden: Kies niet een te makkelijk wachtwoord. En gebruik als ‘vreemd teken’ ook geen uitroepteken aan het einde, want hackers weten ook dat wij voor gemak gaan. Het beste kun je gewoon vier woorden achter elkaar plakken. Dat is voor ons makkelijk te onthouden en voor computers moeilijk te raden. Of gebruik een password manager.

Denk bij hygiëne aan Ignaz Semmelweis: hij ontdekte dat handen wassen in het ziekenhuis veel doden kon voorkomen. Hij werd echter ontslagen en het duurde maar liefst 75 jaar voordat handen wassen algemeen verplicht werd. Mensen willen niet veranderen. Dus als je cyberhygiëne wilt doorvoeren in je organisatie, begin dan met kleine stapjes!

2. Leer denken als hacker
Heb jij wel eens een rubik’s cube opgelost? Heb je dat op de conventionele manier gedaan, of heb je: een blokje eruit gepulkt, de blokjes geverfd, of de hele cube uit elkaar geschroefd? Als valsspeler denk je duidelijk als hacker. Hoe zou jij een lampje uitdoen als je niet aan de lichtknop kunt komen? Je kunt het lampje losdraaien of stukslaan, maar je ook het switchboard uitschakelen. Wederom, hoe creatiever je denkt, hoe meer hacker je in je hebt. Zo heeft een hotel eens een hackaton georganiseerd om de vernieuwde hotelpasjes te laten testen: ‘Laat maar eens zien of jullie ze kunnen hacken.’ De eerste de beste hacker haalt een magneet uit zijn tas en maakt zo de dichtstbijzijnde deur open. ‘Dat is niet de bedoeling.’ Nee, alsof hackers volgens de regels spelen. Leer denken als een hacker, daar heeft je organisatie baat bij.

3. Leg de cyberverantwoordelijkheid bij de CEO
De CEO is verantwoordelijk voor cybersecurity, punt. Ze hoeven het niet zelf te ‘doen’, maar ze moeten het wel regelen. Als auditor moet je de verantwoordelijken wakker maken. Zorg dat ze cyberrisico ook echt als risico zien.

En verder? The end is near. Vroeg of laat komen ze binnen. En dan is de vraag, ben je daarop voorbereid? Het antwoord moet ja zijn. Alleen dan is het einde niet het einde.”



Elisabeth Beelaerts Fotografie 

Terug naar het nieuwsoverzicht.

IIA Nederland

088-0037100
iia@iia.nl
Burgemeester Stramanweg 102A
1101 AA Amsterdam
Postbus 22657
1100 DD Amsterdam
Contact opnemen

Audit Magazine

Audit Magazine

Lidmaatschap

IIA is dé toonaangevende beroepsorganisatie voor internal auditors. Een lidmaatschap laat u delen in de collectieve kennis van alle vakgenoten in de wereld.
Meer informatie