De consumenten kan er bijna van uitgaan dat zijn gegevens op straat liggen, gegevens die hij maar al te graag aan slecht beveiligde bedrijven afstaat. Dat zegt Roel Schouwenberg van Kaspersky Lab in een interview met Security.nl. Volgens de senior virus-analist zijn er twee trends gaande. De eerste is het misbruiken van beveiligingslekken voor grootschalige aanvallen. De tweede trend is het inzetten van kwetsbaarheden voor gerichte aanvallen. "Ik denk dat we steeds meer een tweedeling zullen zien. Excel leent zich goed voor spear-phishing, terwijl een IE-kwetsbaarheid handig is om een grote groep gebruikers te treffen."

Deze tweedeling is niet alleen belangrijk voor het implementeren van de technische beveiliging, maar ook voor de manier waarop we over beveiliging spreken en nadenken, merkt Schouwenberg op. Hij wijst naar recente inbraken bij Sony en Epsilon. "Je krijgt langzaam aan het idee dat sommige cybercriminelen zich niet op de cliënt richten, maar voor de grote databases gaan. Een tijd geleden ging het nog om enkele incidenten, waardoor opsporingsdiensten zoals de FBI hier aardig wat mensen en middelen op konden zetten. Doordat er nu zoveel verschijnen, zijn er ook minder middelen per zaak beschikbaar en wordt de kans kleiner dat de cybercriminelen ook gepakt worden.

Daarbij kunnen ook amateuristische cybercriminelen zoals Albert Gonzalez een eind komen. "Kijk maar naar de aanval op HBGary, daar was geen hogere wiskunde voor nodig." Het Amerikaanse beveiligingsbedrijf werd door verschillende leden van Anonymousis gehackt, voornamelijk omdat het de eigen beveiliging ernstig had verwaarloosd.

Low-tech
"Bedrijven weten nog steeds niet hoe ze met problemen die tien a vijftien jaar oud zijn moeten omgaan", gaat de virusbestrijder verder. Bij cybercrime denken veel mensen aan 'high-tech', toch zijn de meest gebruikte technieken al jaren oud. Het feit dat de aanvallen nu succesvoller lijken komt volgens Schouwenberg omdat aanvallers ze op bepaalde bedrijven toepassen. "Eerder leken gerichte aanvallen nog sporadisch voor te komen. Nu begint het steeds meer een business te lijken." Het gaat dan om zowel het stelen van persoonsgegevens als intellectueel eigendom.

Bij de aanval op Sony werden allerlei gegevens buitgemaakt, zoals naam, e-mailadres, creditcardnummers en wachtwoorden. Veel gebruikers recyclen hun wachtwoorden. "Dit soort incidenten tonen aan dat je verschillende wachtwoorden moet gebruiken." Schouwenberg merkt op dat er geruchten gaan dat de Sony hack al langer geleden heeft plaatsgevonden.

Op straat
"We gaan nu naar een fase toe waarbij we ervan uit moeten gaan dat onze gegevens mogelijk op straat liggen." Schouwenberg noemt Amerika als een van de weinige landen waar bedrijven verplicht zijn om datalekken te rapporteren. "Dat is hier dus niet het geval." In het geval van de Sony PlayStation-hack, waarbij aanvallers de gegevens van zo'n 100 miljoen consumenten buitmaakten, is mogelijk creditcarddiefstal niet het ergste.

"Je kunt eenvoudig een nieuwe creditcard aanvragen. Dat kan al gebeuren voordat er iets gebeurt. Dan heb je het geneutraliseerd." De werkelijke waarde ligt volgens Schouwenberg in het uitvoeren van gerichte aanvallen. "Adresgegevens zijn een stuk lastiger te wijzigen." Aanvallers zouden de fysieke adresgegevens kunnen misbruiken om bijvoorbeeld het draadloze netwerk van een slachtoffer proberen te hacken.

"We zijn bekend met gerichte aanvallen waarbij er een fysiek component aanwezig was. Iemand die in een auto WiFi-verkeer afluistert." Het gebruik van WPA2 biedt in dat geval geen 100% bescherming. "Dan wil het geval dat sommige routers, dat bijna alle thuisrouters lek zijn."

Adresgegevens
Bedrijven maken zich druk over het beveiligen van de cloud en mobiele apparaten. "Maar we hebben het eerste probleem nog niet eens opgelost." In dat kader ziet Schouwenberg de toekomst niet rooskleurig in. Een ander punt waar hij zich zorgen over maakt is dat gerichte aanvallen steeds beter worden uitgevoerd. "De belangen worden steeds hoger en dan is een fysiek component niet uit te sluiten. Als overheden iets aan gerichte aanvallen willen doen, moeten we overwegen om die adresgegevens dezelfde status als creditcardgegevens te geven." Het klinkt misschien vergezocht, toch moeten grote bedrijven hier rekening mee houden.

Niet alleen zou het verhogen van de status van adresgegevens voor bedrijven belangrijk zijn, ook consumenten profiteren ervan. Die worden inmiddels verplicht om overal hun gegevens achter te laten. Daarnaast zouden Nederlandse bedrijven volgens Schouwenberg verplicht moeten worden om datalekken te melden. Een ander idee wat volgens de virusanalist mogelijk kan helpen, is dat de overheid regels aan websites stelt. Voor consumenten is het nu vrij lastig om de veiligheid van een website te bepalen.

Angry Birds
Toch speelt de consument zelf ook een belangrijke rol. "Als het om privacy gaat krijg je meestal twee reacties. Of ik heb niets te verbergen, of mensen zeggen dat ze het heel belangrijk vinden, maar hebben wel een Facebookprofiel." Als voorbeeld geeft schouwenberg het populaire spel Angry Birds. De makers daarvan hebben gezegd dat ze liever niet hebben dat mensen het populaire spel aanschaffen, omdat de advertentieversie meer oplevert. "En dan wordt er van alles en nog wat aan gegevens verzameld."

En dan is het de vraag hoeveel mensen de paar dollar voor het spel betalen om hun privacy te beschermen. "Hoeveel mensen geven dat bedrag uit om te voorkomen dat hun gegevens worden weggesluisd. Waarschijnlijk zal het een bedroevend laag percentage zijn."