Print:

Grote hacks in Europa; “geen kwestie van of, maar wanneer”

Lex Borger, Consultant Information Security

LinkedIn profiel

De muren zijn gevallen 110 miljoen sets persoonlijke informatie zijn gestolen bij de hack van Target vorig jaar. Target is de Amerikaanse equivalent van V&D. Deze hack is groter dan de hack van TJ Maxx in 2007. Alleen de hacks van Adobe (in 2013) en Heartland (in 2008) zijn groter. Eén aspect maakt de Target hack bijzonder: de aanval werd uitgevoerd door de point-of-sale (POS) apparaten, de kaartscanners zeg maar, te besmetten met malware. Heb je in de kerstperiode je kaart gebruikt of aangevraagd in een van de winkels, dan zijn de gegevens gestolen. De andere drie grote hacks richtten zich op de centrale databases.

Sinds het begin van het bestaan van computernetwerken is de belangrijkste beveiligingslaag de grens van het netwerk geweest, zoals de muren rondom het oude Jericho. De gedachte was ‘als ze niet op het netwerk kunnen komen, dan zijn we veilig’, net zoals de inwoners van Jericho veilig waren achter de muur. Inmiddels is het duidelijk dat dit niet werkt. De centrale databases zijn nu beter beveiligd. Maar de vele POS apparaten nog niet. En die Achilleshiel is nu gevonden. Eenmaal door de grens heen gebroken hadden de hackers vrij spel. Gegevens werden gestolen vóór ze vercijferd in een database werden opgeslagen.

Er zijn meer winkelketens gehackt. Naast Target zijn ook al de chique Neiman Marcus en hobbyketen Michaels zijn gehackt, en er is sprake van nog minstens drie andere winkelketens die op deze manier gehackt zijn. Het gemak waarmee alle POS-systemen bereikt konden worden is schrikbarend.

Voor wie nog twijfelde: de tijd van het netwerk alleen beveiligen aan de grens is over. Binnen het netwerk dienen er barrières te zijn die maken dat bij een grensdoorbraak niet álle apparaten makkelijk bereikbaar zijn. Vergelijk dat met de compartimenten in een schip, wat maakt dat het bij een lek niet gelijk zinkt. Systemen moeten qua beveiliging in een bepaalde mate zelfredzaam kunnen zijn. Encryptie moet veel meer toegepast worden: alle gevoelige informatie hoort zo snel mogelijk vercijferd te worden of ‘tokenized’, vervangen door een referentie.

Al die grote hacks vonden plaats in de Verenigde Staten. Kunnen ze ook in Europa plaatsvinden? Jazeker, nu met SEPA hebben we daar een mooie grondslag voor gelegd. Het is geen kwestie van ‘of’, het is ‘wanneer’.

Lex Borger

Lex is een redacteur voor het vakblad ‘Informatiebeveiliging’, wat gepubliceerd wordt door het PvIB (‘Platform voor Informatiebeveiliging’). Daarnaast is hij ook trainer bij IIR van o.a. de praktijktraining Security Architectuur.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten