U bent hier

Onderneming & Administratie
Cybersecurity5. Hacken5.1 Waarom hacken?
Voor Onderneming & Administratie

5.1 Waarom hacken?

Dit artikel is eerder verschenen als Themadossier FA Rendement
Publicatiedatum: augustus 2023

Hacken kan u zowel direct als indirect overkomen: uw bedrijfsnetwerk wordt gehackt of de organisatie waar u gegevens heeft opgeslagen is slachtoffer van een hack. Denk bijvoorbeeld aan een bank of IT-leverancier.

5.1.1 Diefstal

concurrentie

Meestal wordt een netwerk gehackt om gegevens of bestanden te stelen met persoonlijke, cruciale of uit oogpunt van concurrentie interessante informatie. Er wordt grof betaald voor die gegevens, die bijvoorbeeld weer kunnen worden ingezet om andere systemen aan te vallen. Daarnaast gaan hackers soms met iemands volledige identiteit aan de haal.

5.1.2 Aanvallen

botnets

reputatieschade

DDoS-aanval

Het systeem van een onderneming aanvallen of binnendringen kan om verschillende redenen gebeuren:

  • om (in het geheim) de besturing van het systeem over te nemen. Zo kunnen botnets opgezet worden voor de (verdere) verspreiding van spam of malware;
  • om moedwillig schade toe te brengen door met opzet bestanden of gegevens te verwijderen of aan te passen;
  • om een persoon of organisatie te duperen, imagoschade toe te brengen of te chanteren;
  • om het functioneren van websites onmogelijk te maken. Dit wordt een DDoS-aanval (Distributed Denial of Service) genoemd, waarbij zoveel verzoeken tegelijkertijd naar een website worden gestuurd, zodat die de verwerking ervan niet meer aankan (zie paragraaf 5.4).

Wat is een botnet?

zwak systeem

Een botnet is een netwerk van besmette apparaten, beheerd door een malafide botnetbeheerder. Die stuurt in grote hoeveelheden malware rond op zoek naar kwetsbare beveiligingsprocedures en -protocollen. Zodra een zwak systeem is gevonden, wordt dit toegevoegd aan het zombienetwerk. Sommige botnets bestaan uit duizenden computers. Vooral servers zijn gewilde computers om aan te vallen, omdat dit de verspreiding nog gemakkelijker maakt. Detectie van botnets is erg lastig, omdat deze vorm van malware goed is in verbergtechnieken.

5.1.3 Kwetsbaarheden aantonen

hacktivisme

Hacken gebeurt soms ook puur om de eer om als eerste een lek te vinden, waardoor de ‘reputatie’ van de hacker groeit. Dit kan ook uit ethische overwegingen gebeuren. Een bijzondere vorm van hacking is hacktivisme. Hoewel de beweegredenen erachter vaak heel nobel zijn – van het signaleren van misstanden tot het omverwerpen van dictaturen – zijn de meestal politiek ingegeven hackersactiviteiten in de meeste landen wettelijk gezien toch illegaal.

White-hat hacker

risico’s

Een hacker is een soort ‘softwaredeskundige’ die met zijn technische kennis beveiligingslekken en andere onvolkomenheden zoekt in bestaande software. Dat kan soms met goede bedoelingen zijn, bijvoorbeeld om de softwareproducent of de gebruikers in te lichten over lekken of risico’s, zodat ze zich beter kunnen beveiligen. Zulke ethische hackers – ook wel white-hat hackers genoemd – zijn niet voornemens schade aan te richten. De software-industrie of ondernemingen die gevoelige informatie beheren, zoals banken, huren ze soms in om hun eigen systemen te controleren.

Black-hat hackers

computer-vredebreuk

In de rest van dit hoofdstuk hebben we het over de malafide hacker (de black-hat hacker) die systemen of netwerken binnendringt op zoek naar gevoelige informatie, om willens en wetens schade toe te brengen. Deze vorm van hacken is bij wet strafbaar.

Wat zegt de wet over hacken?

Hacken wordt juridisch als computervredebreuk aangemerkt en is dus een vorm van (computer)criminaliteit. In de Wet computercriminaliteit is de term computervredebreuk gedefinieerd én strafbaar gesteld. Van computervredebreuk is sprake als iemand tegen de wil van de eigenaar of beheerder ‘opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan’. De straf hiervoor is één jaar gevangenisstraf. Bij het stelen van informatie kan dat oplopen tot vier jaar.

Strafbaar

opzettelijk

Het ‘raden’ van een wachtwoord of het anderszins kraken van een programma is het wederrechtelijk doorbreken van de beveiliging en is dus strafbaar. Op het opzettelijk veranderen, verwijderen of onbruikbaar maken van gegevens met kwade bedoelingen staat op basis van artikel 350a van het Wetboek van Strafrecht een straf van twee jaar. Die straf kan zelfs verdubbelen, als daarbij sprake is van gebruik van een virus of ander schadelijk programma.