5.4 DDoS-aanval
website
Een populaire manier om netwerken plat te leggen, is de Distributed Denial of Service-aanval (DDoS). Het doel van een DDoS-aanval is het platleggen van een website of netwerk, met onbereikbaarheid als gevolg.
5.4.1 Server overbelasten
Bij een DDoS-aanval wordt een netwerk of (web)server bestookt met dataverkeer. Ook mailservers kunnen slachtoffer worden doordat zij duizenden mails tegelijk ontvangen. De server raakt daardoor overbelast, loopt vervolgens vast en is niet meer te bereiken, noch voor de eigenaar van het netwerk of de website, noch voor bezoekers. Ook de kleinere variant, de DoS-aanval, komt voor. De aanval wordt dan vanaf een enkele computer gedaan. Criminelen kunnen ook daarmee uw website overbelasten.
Digitale oorlogsvoering met wiper malware
onherstelbaar
ransomware
Cyberaanvallen kunnen ook als wapen worden ingezet om een land te raken. Zo wordt Oekraïne nu ook gebombardeerd met zogenoemde wiper malware die computers infecteert en bestanden onherstelbaar beschadigt. De computer en de bestanden zijn daarna niet meer te gebruiken. De criminelen vragen bij deze aanvallen – in tegenstelling tot de klassieke ransomwareaanvallen – geen losgeld. Er is dus sprake van een digitale oorlogsvoering met een kwaadwillend doel. Deze malware is al in Letland en Litouwen gesignaleerd. Door de snelle ontwikkelingen van de oorlog kan dit overslaan naar andere Europese ondernemingen en organisaties. Cyberexperts waarschuwen daarom voor een verhoogd cyberrisico.
Afpersing
schade
Daarnaast kunnen criminelen uw onderneming afpersen met het dreigement om uw website aan te vallen. Het is ook mogelijk dat uw website ‘uitverkoren’ is om als test te fungeren voor de systemen die de DDoS-aanvallen gaan uitvoeren. Die tests leveren vaak niet al te veel schade op, omdat criminelen alleen uw website op zwart zetten. Toch kan dat u imagoschade opleveren.
5.4.2 Aanval herkennen
kwetsbaar
signalen
Vaak beginnen de DoS- en DDoS-aanvallen met een paar kleine pogingen. Hiermee proberen hackers te achterhalen of een website kwetsbaar is. Na de kleine speldenprikjes volgt de golf van aanvallen, die uren kan duren. Deze aanvallen volgen op de speldenprikjes die inzichtelijk hebben gemaakt hoe een website het beste kan worden platgelegd. Hoe eerder uw onderneming deze aanvallen onderkent, hoe beter u kunt anticiperen op vervolgaanvallen van de hackers. Goede beveiligingssoftware herkent de aanvalspatronen snel. Het is overigens niet uitgesloten dat de hacker de beveiligingssoftware kan omzeilen.
Verschijnselen
Welke signalen kunnen erop wijzen dat een aanval gaande is of dat een aanval heeft plaatsgevonden? Dat merkt u aan de volgende zaken:
- Uw beheersystemen zijn online slecht bereikbaar.
- De verbinding waarmee u inlogt in uw beheeromgeving valt uit, waardoor u uw website niet meer kunt beheren.
- U heeft geen toegang meer tot uw beheersysteem.
- Uw software of uw computer crasht.
- Er komen opvallend veel aanmaningen binnen, terwijl u zeker weet dat de facturen zijn betaald.
- Er duiken vreemde afboekingen op van onbekenden.
5.4.3 Aanval voorkomen
werknemers
Hoe beter u uw website beveiligt, hoe groter de kans dat de cybercriminelen deze met rust laten. Er zijn genoeg ondernemingen die diensten aanbieden om een DDoS-aanval te weren. Er wordt dan een programma geïnstalleerd op de IT-infrastructuur van uw onderneming om het verkeer van bots die de aanval uitvoeren te filteren. Werknemers of klanten kunnen uw website nog wel bereiken. Bij een aanval komt de bedrijfsvoering stil te liggen. U kunt immers niet bij noodzakelijke gegevens op uw server. De investering in een filter is dus de moeite waard.
5.4.4 Schakel een specialist in
blokkeren
Het is effectiever om het verkeer niet te filteren op het moment dat het bij uw server binnenkomt, maar een stap daarvoor, dus op de verbinding zelf. De internetprovider zou het verkeer dan moeten filteren, maar die mist mogelijk specialistische kennis, waardoor alleen overduidelijk aanvalsverkeer wordt tegengehouden. Maar ook de subtiele aanval moet worden geblokkeerd. Er is dus een combinatie van filteren nodig om ‘ongewenst’ verkeer te herkennen en te blokkeren. Tegenwoordig bieden verschillende partijen (zoals Cisco en KPN) filterdiensten aan.
Stappenplan
signaleren
analyseren
Een specialist kan in elk geval het volgende voor u doen:
5.4.5 Internet of Things
Een opmerkelijke trend binnen DDoS is dat de aanvallen worden uitgevoerd via apparaten die verbonden zijn met internet via het ‘Internet of Things’ (IoT). Denk bijvoorbeeld aan beveiligingscamera’s, printers, slimme thermostaten en smart-tv’s. Steeds meer pc’s, laptops en smartphones zijn goed beschermd tegen misbruik, maar dit gaat meestal nog niet op voor nieuwe, slimme apparaten die verbonden zijn met het internet. Deze zijn een zwakke plek binnen een online netwerk waar hackers gebruik van kunnen maken.
5.4.6 Melding datalek bij aanval
Autoriteit Persoons-gegevens
Is uw onderneming het slachtoffer van een DDoS-aanval en zijn er persoonsgegevens buitgemaakt, dan bent u verplicht de aanval te melden bij de Autoriteit Persoonsgegevens (AP). Doet u dit niet, dan riskeert u een boete. De AP is bevoegd om boetes tot € 820.000 op te leggen.
Geen beveiligingsmaatregelen treffen, geen actie ondernomen bij constatering van hacking of ‘grove nalatigheid’ kan ertoe leiden dat uw onderneming aansprakelijk wordt gesteld voor de schade die bij anderen is aangericht (zie ook hoofdstuk 6).
Boete
onbedoeld foutje
De AP zal nooit zomaar boetes uitdelen. Daar gaat een heel proces aan vooraf. De AP start pas een onderzoek bij overtredingen die ernstig of structureel van aard zijn, of een heleboel mensen treffen. Gaat het om een onbedoeld foutje, dan is de kans klein dat de AP meteen op de stoep staat. Zeker als u de fout herstelt nadat u deze heeft ontdekt.
Er is natuurlijk bewijsmateriaal nodig om cybercrime te bestrijden. Daarvoor kunnen uw logbestanden, logboek-en of observaties nuttig zijn. Bewaar deze dan ook goed!