In het duister

In het duister
cruciale sectoren doelwit van cyberaanvallen
McAfee's tweede jaarrapport over de beveiliging van cruciale infrastructuren
In het duister
INHOUD
Auteurs:
Inleiding en overzicht
1
Stewart Baker, Distinguished Visiting Fellow
bij CSIS en partner van het advocatenkantoor
Steptoe & Johnson.
Snellere toename van dreigingen en kwetsbaarheden
4
Stapsgewijze reacties op cyberdreigingen
12
Natalia Filipiak, programmabeheerder
en onderzoekspartner bij CSIS.
Reactie van de overheid 16
Aanbevelingen
24
Conclusie
24
Woord van dank
25
Katrina Timlin, onderzoeksassistent bij CSIS.
Inleiding en overzicht
Een jaar geleden werd met het McAfee-rapport "In the Crossfire: Critical Infrastructure in
the Age of Cyberwar" (Onder kruisvuur: cruciale infrastructuur in tijden van cyber­oorlog)
aangetoond hoe gevoelig cruciale infrastructuren over de hele wereld voor cyberaanvallen
zijn. In het jaar na dat rapport heeft het dreigings­landschap door de komst van Stuxnet
een grote verandering ondergaan. Stuxnet was een geavanceerd, succesvol wapen dat
voor één doelstelling was ontwikkeld: het saboteren van een industrieel regelsysteem.¹
Dit jaar richten we ons in een vervolgrapport op
de cruciale civiele infrastructuur die het meest
afhankelijk is van industriële regelsystemen.
Net als bij het eerste rapport hebben we gebruik
gemaakt van enquêteresultaten, onderzoeken
en interviews om een gedetailleerd beeld van de
cyberrisico's in deze sectoren te schetsen. De kans
is groot dat de sectoren die centraal staan in dit
rapport — elektriciteit, olie, gas en water — de eerste
doelwitten van een zware cyberaanval zullen zijn.
De resultaten van ons onderzoek wijzen uit
dat deze sectoren niet goed zijn voorbereid.
De professionals die belast zijn met de bescherming
van deze systemen, geven aan dat de dreiging snel
groter wordt, maar de reactie op de dreiging niet.
Ondertussen worden er al overal cyberexploits en
cyberaanvallen uitgevoerd. Cruciale infrastructuren
lopen groot gevaar te worden aangevallen
door cyberdieven of -afpersers, maar ook door
buitenlandse regeringen die geavanceerde
"Stuxnet‑achtige" exploits voorbereiden.
stroom aan afzonderlijke klanten of zelfs aan
bepaalde apparaten in het huis van de klant.
Zonder een betere beveiliging kunnen deze grotere
beheer­mogelijkheden in handen van criminelen
of hacktivisten vallen, die vervolgens facturerings­
gegevens kunnen wijzigen en mogelijk zelfs kunnen
bepalen aan welke klanten of apparaten stroom
wordt geleverd. Maar beveiliging is geen prioriteit
voor ontwerpers van slimme elektriciteits­netten,
aldus Woolsey, die twee jaar geleden voorzitter was
van een groep die in opdracht van het Amerikaanse
ministerie van Defensie een rapport over
kwetsbaarheden in het elektriciteits­net publiceerde.
"Negentig tot vijfennegentig procent van de mensen
die werken aan het slimme elektriciteitsnet maakt
zich geen zorgen over kwetsbaarheden en ziet
beveiliging slechts als laatste horde die nog even
moet worden genomen."
Slechts bescheiden verbeteringen in beveiliging
Het merendeel van deze dreigingen veroorzaakt
grote nieuwe problemen voor IT'ers die in deze
sectoren werkzaam zijn. "Als je nu al niet bestand
bent tegen een zero-day aanval vanaf een USBstick, dan ziet het er somber uit", zegt Jim Woolsey,
voormalig CIA-directeur.
We hebben geconstateerd dat dreigingen en
kwetsbaarheden in snel tempo toenemen. Voor het
tweede achtereenvolgende jaar gaven IT-managers in
de cruciale infrastructuur aan een reële en groeiende
cyberdreiging te bespeuren. Het aantal DoS-aanvallen
op energienetwerken is toegenomen. Ook in
andere cruciale infrastructuursectoren deden zich
vaker pogingen tot afpersing voor. En infiltratie van
cruciale netwerken door vijandige regeringen heeft
momenteel een zeer hoog slagingspercentage.
Ook het aantal kwetsbaarheden neemt nog
steeds toe. Veertig procent van de managers was
van mening dat hun sector in het afgelopen jaar
kwetsbaarder was geworden; bijna twee keer zoveel
als het aantal managers dat vond dat hun sector
minder kwetsbaar was geworden. Een vijfde tot
een derde van alle respondenten gaf aan dat hun
bedrijf niet goed of helemaal niet was voorbereid
op cyberaanvallen, variërend van malware tot
DoS-aanvallen. Dit is een marginale verbetering
ten opzichte van vorig jaar.
Ondanks deze kwetsbaarheden hebben veel
energiebedrijven het gevaar nog eens verdubbeld
door technologieën voor een "slim elektriciteitsnet"
te implementeren. Deze technologieën geven
IT-systemen meer controle over de levering van
Vorig jaar hebben we geprobeerd beveiliging
objectief te meten door bedrijven specifieke vragen
te stellen over het gebruik van 29 beveiligings­
technologieën, variërend van encryptie tot
verificatie. Aan de hand van de antwoorden
hebben we een objectieve schaal ontwikkeld
waarmee het aantal geïmplementeerde beveiligings­
maatregelen van bedrijven nauwkeurig kan worden
bepaald. Objectief gemeten heeft deze sector
het afgelopen jaar een bescheiden voortgang
geboekt in het beveiligen van hun netwerken;
ongeveer de helft van de door ons geïdentificeerde
beveiligings­technologieën was geïmplementeerd.
In de elektriciteits­sector is de implementatie van
beveiligings­technologieën met één procentpunt
gestegen naar 51 procent, terwijl de olie- en
gasbedrijven een stijging van drie procentpunten
behaalden en daarmee op 48 procent uitkwamen.
De enige opvallende stijging deed zich voor bij de
water- en afval­water­bedrijven, een sector die vorig
jaar achterbleef maar die dit jaar de invoering van
beveiligings­maatregelen met 8 procentpunten wist
te verhogen naar 46 procent.
Een bijna identiek patroon werd zichtbaar toen er
vragen werden gesteld over de implementatie van
beveiligingsmaatregelen voor ICS- (Industrial Control)
of SCADA-systemen (Supervisory Control and Data
Acquisitions). Hoewel een betere netwerkbeveiliging
niet kan worden bereikt door eenvoudigweg steeds
meer technologie op het probleem los te laten,
is een hogere implementatiegraad van bepaalde
technologieën toch wel een objectief bewijs dat
bedrijven niet alleen over betere beveiliging praten.
Er wordt wel actie ondernomen, maar helaas slechts
iets meer dan vorig jaar.
In het duister: cruciale sectoren doelwit van cyberaanvallen
1
Er kan nog veel worden verbeterd. Zestig procent van
de ondervraagde IT-managers geeft aan dat externe
gebruikers zich alleen met tokens of smartcards
bij cruciale systemen kunnen aanmelden, in plaats
van met eenvoudig te hacken gebruikersnamen en
wachtwoorden. Verder meldt een minderheid van
de ondervraagde bedrijven dat er geavanceerdere
maatregelen zijn ingevoerd, zoals programma's die
de netwerkactiviteit controleren of onregelmatigheden
in rollen detecteren (bij respectievelijk 25 en
36 procent van de respondenten).
Dreigingspercepties en -reacties verschillen
per land
De eerder genoemde hiaten in de beveiliging zijn
nog opvallender als deze per land worden bekeken.
De landen die een achterstand hebben opgelopen,
zoals Brazilië, Frankrijk en Mexico, passen slechts de
helft van de beveiligingsmaatregelen toe die door de
toonaangevende landen, zoals China, Italië en Japan,
zijn geïmplementeerd.
De verschillen werken ook door in de perceptie van
dreigingen. Negentig procent van de Australische
respondenten is bijvoorbeeld van mening dat hun
sector niet goed of helemaal niet is voorbereid op
heimelijke infiltraties. Ook drie op de vier Braziliaanse
respondenten en zes op de tien Mexicaanse
respondenten zijn van mening dat hun bedrijven niet
voorbereid zijn op een grootschalige DDoS-aanval.
Een andere uitschieter in het rapport staat op naam
van India, waar negen op de tien managers aangaven
binnen een jaar een grote cyberaanval te verwachten.
2
In het duister: cruciale sectoren doelwit van cyberaanvallen
De rol van de overheid blijft onduidelijk
Hoe reageren overheden op de kwetsbaarheid van
hun belangrijkste civiele infrastructuren? Over het
algemeen spelen overheden een dubbelzinnige rol
op het gebied van cyberbeveiliging; soms helpen
ze de particuliere sector, soms negeren ze de
particuliere sector.
China weet in dit opzicht nog steeds de meeste
aandacht te trekken. De regering van China lijkt een
ambitieuze rol te spelen door beveiliging voor cruciale
infrastructuren verplicht te stellen. De Chinese
respondenten hebben bijvoorbeeld veel ontzag voor
de beveiligingsvereisten van de Chinese overheid.
Bovendien heeft China (na Japan) het op een na
hoogste percentage wettelijke beveiligingscontroles.
Bij bedrijven in de Verenigde Staten en het Verenigd
Koninkrijk worden daarentegen bijna nooit wettelijke
beveiligingscontroles uitgevoerd.
Dit patroon komt ook in grote lijnen overeen met het
vertrouwen dat respondenten hebben in het vermogen
van de huidige wetgeving om aanvallen in hun land te
voorkomen of af te weren: de hoogste vertrouwens­
niveaus werden gemeten in Japan (78 procent),
de Verenigde Arabische Emiraten (67 procent) en
China (56 procent). Uit deze antwoorden blijkt dat
Europa en de Verenigde Staten niet met Azië kunnen
wedijveren als het gaat om de bescherming van civiele
infrastructuren tegen cyberaanvallen.
Industrieën over de hele wereld maken zich zorgen
over aanvallen van overheden. Meer dan de helft van
de respondenten zegt al eens het slachtoffer van een
dergelijke aanval te zijn geweest. Een verandering
ten opzichte van vorig jaar is het land dat de meeste
angst inboezemt.
"Negentig
tot vijfennegentig procent van de mensen die
werken aan het slimme elektriciteitsnet maakt zich geen
zorgen over kwetsbaarheden en ziet beveiliging slechts
als laatste horde die nog even moet worden genomen."
– Jim Woolsey, voormalig CIA-directeur in de Verenigde Staten.
De daling van de Verenigde Staten (van 36 procent
vorig jaar) als bron van zorg en de relatieve stijging
van andere landen hebben mogelijk te maken
met het feit dat IT-managers in de sector beseffen
dat cyberaanvalstechnologieën op brede schaal
worden verspreid.
Methodologie
We hebben tweehonderd managers van cruciale
infrastructuurbedrijven in veertien landen ondervraagd,
die anoniem een uitgebreide reeks gedetailleerde
vragen hebben beantwoord over hun procedures,
standpunten en beleidsregels ten aanzien van
beveiliging. De respondenten zijn geselecteerd uit
een groep IT-managers in de sectoren elektriciteit,
olie, gas en water. Hun primaire verantwoordelijkheid
ligt op het gebied van beveiliging van informatie­
technologie, algemene beveiliging en industriële
regelsystemen. Een team van het CSIS (Center for
Strategic and International Studies) in Washington
D.C. heeft de gegevens geanalyseerd en aangevuld
met onderzoeken en interviews.
Het onderzoek meet opinies van managers en
biedt een momentopname van de standpunten van
een belangrijke groep besluitvormers in cruciale
infrastructuursectoren. Het CSIS-team heeft ook
gebruik gemaakt van interviews om de onderzoeks­
gegevens te verifiëren en van context en achtergrond
te voorzien. Hierbij werden aanbevolen procedures
besproken en details toegevoegd aan het ontstane
beeld over het elektriciteitsnet en het dreigings- en
kwetsbaarheidsniveau van deze nutssector.
Industrieën over de hele wereld
maken zich zorgen over aanvallen van
overheden. Meer dan de helft van de
respondenten zegt al eens het slachtoffer
van een dergelijke aanval te zijn geweest.
In het duister: cruciale sectoren doelwit van cyberaanvallen
3
Snellere toename van dreigingen
en kwetsbaarheden
Een op de vier respondenten is weleens
afgeperst door middel van cyberaanvallen
of het dreigen met cyberaanvallen.
Een van de meest opzienbarende resultaten van ons onderzoek is
de ontdekking dat deze cruciale nutsnetwerken constant worden
verkend en aangevallen. Sommige elektriciteitsbedrijven melden zelfs
duizenden verkenningen per maand. Onze onderzoeksgegevens
bevestigen anekdotische meldingen over militairen in verschillende
landen die zich bezighielden met verkenningspogingen en het
plannen van cyberaanvallen op elektriciteitsnetten van andere landen.
Hierbij werden onderliggende netwerkinfrastructuren in kaart gebracht
en kwetsbaarheden opgespoord, met als doel deze gegevens voor
toekomstige aanvallen te gebruiken.
In het duister: cruciale sectoren doelwit van cyberaanvallen
5
Cyberafpersing
De dreiging van cyberafpersing is alom bekend
en neemt in snel tempo toe. In een jaar tijd is
het aantal bedrijven dat met afpersing te maken
kreeg met 25 procent gestegen. Afpersingszaken
zijn gelijk verdeeld over de verschillende cruciale
infrastructuursectoren, waaruit blijkt dat geen
enkele sector veilig is voor deze cybercriminelen.
India en Mexico hebben een hoog percentage
afpersingspogingen; 60 tot 80 procent van de
ondervraagde managers in deze landen maakte
melding van pogingen tot afpersing.
Aanvallen nemen toe
Wijdverspreide afpersing
Vorig jaar zei bijna de helft van de respondenten
dat ze nog nooit een grootschalige DoS-aanval
of netwerkinfiltratie hadden meegemaakt. Maar
dit jaar laat een heel ander beeld zien: 80 procent
werd door een grootschalige DoS-aanval getroffen
en 85 procent werd het slachtoffer van netwerk­
infiltratie. Bovendien maakte een kwart van de
ondervraagden melding van dagelijkse of wekelijkse
grootschalige DoS-aanvallen. Een vergelijkbaar aantal
gaf aan het slachtoffer van afpersingspraktijken te
zijn geweest, waarbij druk werd uitgeoefend met
netwerkaanvallen of het dreigen met netwerk­
aanvallen. Een ander veeg teken is dat twee derde
van de ondervraagden zei regelmatig (ten minste
één keer per maand) malware aan te treffen die is
ontworpen om hun systemen te saboteren.
Cyberafpersing is al zeer lucratief. Allan Paller,
directeur van het SANS Institute, zegt hierover
het volgende: "Criminelen hebben via afpersing
[van verschillende bedrijven] honderden miljoenen
dollars buitgemaakt en misschien nog wel meer […].
Dit type afpersing is het grootste verzwegen verhaal
uit de cybercriminele wereld."2 Ten minste één
op de vier respondenten heeft aangegeven in de
afgelopen twee jaar het slachtoffer te zijn geweest
van afpersing door middel van aanvallen of onder
dreiging van aanvallen op IT-netwerken — een jaar
geleden was dit nog een op de vijf respondenten.
Afpersing heeft een grote vlucht genomen in
sommige landen; 80 procent van de respondenten
in Mexico en 60 procent van de respondenten
in India maakten melding van pogingen tot
cyberafpersing. Dit is een aanzienlijke stijging ten
opzichte van 2009, toen slechts 17 procent van de
Mexicaanse respondenten en 40 procent van de
Indiase respondenten afpersingsincidenten meldden.
Snellere toename van dreigingen en kwetsbaarheden
50%
2009
2010
40%
30%
20%
10%
Elke dag of elke week
Elke maand
In 2010 kreeg 80% te maken met een
grootschalige DoS-aanval en 85 procent
met een netwerkinfiltratie
6
In het duister: cruciale sectoren doelwit van cyberaanvallen
Enkele per jaar
Geen
Heeft uw bedrijf de afgelopen twee jaar te maken gehad met afpersing
door middel van cyberaanvallen of het dreigen met cyberaanvallen?
75%
2009
2010
60%
45%
30%
15%
Ja
Nee
Deze ontwikkeling is tevens een bevestiging van
andere rapporten waarin wordt gesteld dat cyber­
afpersing van elektriciteitssystemen steeds vaker
voorkomt. Cyber­beveiligings­experts buiten Brazilië
hebben er al eerder op gewezen dat de stroom­
storingen in Brazilië het gevolg van cyberexploits zijn,
ondanks ontkenningen van het land zelf.3 Brazilië is
echter niet het enige land met dit soort problemen;
ook in verklaringen van Amerikaanse inlichtingen­
officiers worden stroomstoringen in verschillende
landen aan cyberafpersing toegeschreven.4
Stuxnet
Voor gewone cybercriminelen is het uitschakelen
van een elektriciteitssysteem meer een teken van
mislukking dan van succes. Het hele punt van
cyber­afpersing is immers het slachtoffer zover zien
te krijgen dat hij betaalt, zodat de stroom niet hoeft
te worden uit afgesloten.
Maar dat geldt niet voor cyberstrijders. Het doel
van een door de overheid gesteunde aanval
bestaat uit het uitschakelen of verzwakken van de
infrastructuur die van groot belang is voor de burger­
bevolking, het ontoegankelijk maken van schaarse
hulpbronnen, het hinderen van civiele ondersteuning
voor oorlogs­activiteiten en het bemoeilijken van
militaire mobilisaties die afhankelijk zijn van de civiele
infrastructuur. Jarenlang hebben woordvoerders en
technici uit de sector het risico van dergelijke aanvallen
onder het kleed geveegd omdat ze bang waren dat
het erkennen van het risico tot nieuwe beveiligings­
wetten zou leiden. Zelfs degenen die de beveiligings­
gaten in de SCADA-systemen wel zagen, hadden de
neiging hun ogen te sluiten omdat er geen bewijs
was dat andere landen deze tekortkomingen voor
sabotage­doeleinden zouden gebruiken.
Weet niet
Aan deze overwegingen kwam een einde (of had
een einde moeten komen) in de zomer van 2010,
toen het Stuxnet-virus werd geïdentificeerd. Stuxnet,
een opvallend geavanceerd type malware, had
twee eigenschappen die de groeiende dreiging
van cyberaanvallen duidelijk zichtbaar maakten.
Ten eerste is Stuxnet niet ontworpen om veel geld
mee te verdienen. Het virus is enkel en alleen voor
sabotagedoeleinden gemaakt. Stuxnet infecteert
computer­systemen door misbruik te maken van
een aantal kwetsbaarheden in Microsoft Windows.
Als Stuxnet naar een computer is geüpload,
bijvoorbeeld via een USB-stick, gedeelde netwerk­
bestanden of SQL-databases, richt het zich op een
specifiek SCADA-programma van Siemens. Als deze
software inderdaad is geïnstalleerd, gaat Stuxnet op
zoek naar een bepaalde configuratie voor industriële
apparatuur. Vervolgens wordt een aanval gelanceerd
die bepaalde microcontrollers afwijkend laat
functioneren terwijl aan de systeem­beheerders wordt
doorgegeven dat het systeem normaal functioneert.
Het gaat dus om sabotage, niets meer en niets
minder. Dat blijkt ook wel uit het feit dat deze
malware niet eenvoudig voor spionage- of
afpersings­praktijken kan worden gebruikt.
Er gaan veel geruchten dat Stuxnet bedoeld was om
te infiltreren in de zwaar bewaakte Natanz-faciliteit
(in Iran) waar uranium wordt verrijkt. De gevoelige
centrifuges in Natanz, die van essentieel belang zijn
voor het Iraanse atoom­wapen­programma, hebben
verschillende onverklaarbare storingen gehad sinds
Stuxnet werd gelanceerd.5
In het duister: cruciale sectoren doelwit van cyberaanvallen
7
Stuxnet
Uit onze gegevens blijkt dat het Stuxnet-virus
inderdaad een wereldwijd bereik had. Circa
40 procent van de respondenten vond het Stuxnetvirus op de computer­systemen van het bedrijf.
Stuxnet kwam vaker voor in de elektriciteits­
sector, waar de malware door 46 procent van de
respondenten werd aangetroffen.
Bij 57 procent van de respondenten
werden speciale beveiligings­
controles uitgevoerd uit angst
voor het Stuxnet-virus.
Drie kwart van de respondenten die Stuxnet hadden
gevonden, was ervan overtuigd dat de malware
van hun systemen was verwijderd. De maatregelen
om Stuxnet te neutraliseren waren echter per land
zeer verschillend. Sommige van de landen met het
hoogste percentage infecties, zoals India, Frankrijk
en Spanje, meldden relatief lage implementaties
van tegenmaatregelen.
Ten tweede is het Stuxnet-virus buitengewoon
geavanceerd vergeleken met de virussen die door
de criminele ondergrondse worden gebruikt.
Het Wit‑Russische beveiligings­bedrijf dat Stuxnet als
eerste identificeerde, dacht aanvankelijk dat het een
backdoor voor hackers was. Maar nader onderzoek
bracht de complexe aard van het virus aan het
licht. Stuxnet bevat meerdere exploits die voorheen
onbekend waren, heeft stuurprogrammamodules
voor Microsoft Windows die zijn ondertekend
met behulp van echte cryptografische certificaten
(die gestolen zijn van solide bedrijven), bevat ongeveer
4000 functies en maakt gebruik van geavanceerde
anti-analysetechnieken om reverse engineering te
bemoeilijken. Dit virus is bijna zeker het werk van
een regering, niet van een criminele bende.
Stuxnet is, kort gezegd, een wapen. Een wapen
dat duidelijk aantoont dat regeringen bereid zijn
malware te ontwikkelen om IT-systemen en cruciale
infrastructuren van tegenstanders te saboteren.
Daarnaast blijkt dat vijandige regeringen zich
eenvoudig op SCADA-systemen kunnen richten die
van essentieel belang zijn voor de elektriciteits-, gas-,
olie-, water- en afvalwaterinstallaties van een land,
waardoor de bescherming van een groot aantal
bedrijven in één keer kan worden uitgeschakeld.
Volgens één expert zijn de meeste cruciale
infrastructuursystemen niet speciaal ontworpen
voor cyberbeveiliging. In de elektriciteitssector
ligt de nadruk bijvoorbeeld altijd op het in stand
houden van een stabiele stroomlevering en een
efficiënt systeem. Zelfs vandaag nog gebruiken veel
elektriciteitsbedrijven de standaardwachtwoorden
van de leverancier omdat deze eenvoudig
toegang bieden tijdens crisissituaties of voor
onderhouds- en reparatiewerkzaamheden.
Recente pogingen tot modernisering van
elektriciteits­netten volgen hetzelfde patroon.
De efficiëntie wordt wel beter, maar er ontstaan
ook weer nieuwe beveiligingsgaten. De gevolgen
8
In het duister: cruciale sectoren doelwit van cyberaanvallen
kwamen aan het licht tijdens testen die in 2007
werden uitgevoerd in het Idaho National Laboratory.
Onderzoekers toonden aan dat ze op afstand
toegang konden krijgen tot de regelsystemen
van een generator en de bedrijfscyclus konden
veranderen, waardoor de generator onbeheersbaar
werd. Een video van het incident laat zien dat de
betreffende generator begint te schudden en te
roken en uiteindelijk knarsend tot stilstand komt.
Deze generators zijn duur in aanschaf en de reparatie
of vervanging ervan kan weken of maanden duren.
De stroomuitval die in 2003 plaatsvond in het noord­
oosten van de Verenigde Staten hield weliswaar geen
verband met een cyberaanval, maar bewees wel dat
een storing in zelfs een klein deel van het elektriciteits­
net een opeenstapeling van gevolgen kan hebben.
Hoewel de storing, die 50 miljoen mensen trof, binnen
48 uur was verholpen, moesten sommige mensen zich
niettemin wel een week zonder stroom zien te redden.6
De problemen grepen zo snel om zich heen dat er
geen tijd was voor handmatig ingrijpen: in slechts
zeven minuten zat de hele regio zonder stroom.7
Dit incident toont tevens de potentiële effectiviteit
van de Stuxnet-functie die verantwoordelijk is voor
de "onjuist rapportage". Een expert vertelt dat
deze functie activiteiten verborgen kan houden
voor het netwerkoperatiecentrum tijdens een
aanval op elektriciteitsbedrijven en andere cruciale
sectoren. Volgens een onderzoeksrapport van de
U.S.-Canada Power System Outage Task Force over
de grote stroomstoring in het noordoosten van de
Verenigde Staten in 2003, probeerden eigenaren
van afzonderlijke lijnen de beheerders attent te maken
op de steeds groter wordende storing. Helaas werden
ze geruime tijd genegeerd omdat er volgens de
computers die toezicht op het SCADA-systeem
hielden geen problemen met de stroomlevering
waren. Pas toen andere bedrijven de aandacht op
het probleem vestigden, werden de medewerkers
zich bewust van de omvang van het probleem.8
Terroristische aanvallen op het elektriciteitsnet?
Als natiestaten een dreiging vormen voor de
elektriciteitsvoorziening en andere nutsdiensten,
hoe zit het dan met terroristen? Kunnen terroristen
het elektriciteitsnet aanvallen en grootschalige
stroomstoringen veroorzaken? Deze dreiging wordt
door de meeste experts niet groot geacht, met de
mogelijke uitzondering van terroristengroepen die
door natiestaten worden ondersteund. "Een aanval
op een cruciale infrastructuur biedt meer waar voor
je geld dan een aanval op een militaire faciliteit,
maar heeft nog steeds niet dezelfde emotionele
impact als het bloedbad na een bombardement op
een burgerdoelwit", zegt een expert. Hij wijst er
echter wel op dat de huidige leiders van terroristische
organisaties geleidelijk door jongeren worden
vervangen en dat het aantal cyberaanvallen dus
zeer waarschijnlijk zal toenemen.
"Natiestaten blijven de belangrijkste dreiging voor
de cyberbeveiliging van cruciale infrastructuren
in de Verenigde Staten", aldus een inhoudelijk
deskundige. Het enige goede nieuws in dit opzicht is
dat aanvallen van regeringen minder vaak voorkomen
dan afpersingspogingen van criminelen. "Natiestaten
oefenen meestal niet van tevoren", aldus de expert.
Welke conclusies heeft de sector getrokken uit
het Stuxnet-incident?
In een conflictsituatie moet echter wel degelijk
rekening worden gehouden met een cyberaanval.
Alle grote wereldmachten beschikken over
mogelijkheden om cyberaanvallen uit te voeren of
zijn bezig deze mogelijkheden te verkrijgen. Cruciale
infrastructuren blijven een belangrijk doelwit.
Maar de ontdekking van Stuxnet op hun systemen
lijkt de bedrijven niet tot actie te kunnen aansporen.
De meeste maatregelen tegen Stuxnet werden
geïmplementeerd in landen waar het aantal
Stuxnet-infiltraties betrekkelijk laag was, te weten
de Verenigde Arabische Emiraten, Italië en Japan.
Landen als India, waar zich veel Stuxnet-infiltraties
voordeden, implementeerden daarentegen
betrekkelijk weinig tegenmaatregelen.9 Een expert
uit India legt uit dat de Stuxnet-infiltraties en andere
recente cyberincidenten de bewustwording van
cyberbeveiliging wel hebben bevorderd, maar dat
ministeries en bedrijven genoodzaakt zijn hun eigen
maatregelen te treffen omdat er van een duidelijk
overheidsbeleid geen sprake is. "Er is onvoldoende
informatie beschikbaar om een landelijk beeld te
schetsen, maar ondertussen worden de netwerken
wel steeds kwetsbaarder", aldus de expert uit India.
Wij hebben sectoren die afhankelijk zijn van SCADAsystemen gevraagd of Stuxnet gevolgen heeft gehad
voor hun activiteiten. De antwoorden zijn frappant.
Twee vijfde van alle respondenten en bijna de helft
van de respondenten in de elektriciteitssector zeiden
dat ze Stuxnet op hun systemen hadden aangetroffen.
In feite had de elektriciteitssector het hoogste aantal
Stuxnet-virussen van de cruciale infrastructuursectoren
die aan het onderzoek deelnamen. Meer dan de helft
van alle respondenten gaf aan dat ze maatregelen
tegen Stuxnet hadden genomen.
Gezien de wereldwijde dekking van ons onderzoek,
zijn deze antwoorden opvallend. Hoewel Stuxnet
waarschijnlijk op één faciliteit was gericht, heeft het
virus een omweg genomen om zijn doel te bereiken.
Hierbij heeft het virus in feite iedereen geïnfecteerd
en is vervolgens inactief op het geïnfecteerde systeem
blijven bestaan als dit systeem niet de gezochte
configuratie had. Mogelijk was dit de reden dat bijna
drie kwart van de respondenten die Stuxnet had
aangetroffen er (heel) zeker van was dat de malware
op hun systemen was verwijderd of geneutraliseerd.
Het is duidelijk dat de meeste bedrijven zich bewust
zijn van de dreiging die buitenlandse overheden
vormen. Meer dan de helft van de managers
vermoedt dat netwerken in cruciale infrastructuren
door buitenlandse overheden worden verkend.
Veel waarnemers denken dat de sector voor een deel
ontkennend op Stuxnet zal blijven reageren. Volgens
één expert blijven veel bedrijven zich richten op het
herstel van systemen na een DoS-aanval, in plaats
van zich voor te bereiden op geavanceerde sabotage­
aanvallen op apparatuur. Dit laatste type aanval
wordt in snel tempo de belangrijkste dreiging voor
de elektriciteits­sector en andere cruciale sectoren.
Een andere bron zegt: "Stuxnet bracht een ommekeer
teweeg, maar heeft geen gevolgen voor de richting
waarin de Amerikaanse wetgeving voor cyber­
beveiliging zich ontwikkelt". De beleids­vormers zijn zich
namelijk al bewust van deze dreiging; het probleem is
alleen dat de sector zelf de veranderende aard van de
dreiging nog niet wil erkennen.
In het duister: cruciale sectoren doelwit van cyberaanvallen
9
"Veel bedrijven zien DoS-aanvallen nog steeds als
het grootste probleem en zijn in staat een DDoSincident te doorstaan, tenzij het fysieke systeem
schade heeft opgelopen. Het is bijzonder moeilijk om
deze bedrijven zover te krijgen dat ze Stuxnet als een
mogelijke dreiging zien", aldus een expert die voor
dit rapport werd geraadpleegd. "Het probleem is niet
dat de computer er niet is of niet werkt, maar dat
iemand anders jouw computer gebruikt om andere
opdrachten te geven". De bron noemt als voorbeeld
een incident dat zich een paar jaar geleden in de
Verenigde Staten voordeed, waarbij een hacker erin
slaagde de controle over enkele verkeerslichten te
krijgen en deze naar eigen goeddunken kon bedienen.
Managers uit de nutssector vertelden ons dat ze zich
meer zorgen maakten over DDoS-aanvallen dan over
malware als Stuxnet (en bevestigden daarmee het
door de bron genoemde probleem). Een derde van
de respondenten verklaarde er niet veel vertrouwen
of helemaal geen vertrouwen in te hebben dat hun
bedrijf DDoS-aanvallen of heimelijke infiltraties zou
kunnen doorstaan. Maar ten aanzien van malware
voor sabotagedoeleinden had slechts 20 procent
van de respondenten een vergelijkbaar gebrek
aan vertrouwen. Toch is de bescherming tegen
DDoS-aanvallen kinderspel in vergelijking met het
Stuxnet-virus. Na de ontdekking van het Stuxnetvirus zeiden veel mensen "Ik heb geen Siemens en
ik hou me niet bezig met nucleaire activiteiten, dus
waar zou ik me druk om maken", zo bevestigt een
cyberbeveiligingsexpert in de Verenigde Staten.
Steeds meer kwetsbaarheden
en verwachte aanvallen
Meer dan 40 procent van de ondervraagde
managers verwacht binnen 12 maanden een grote
cyber­aanval, dat wil zeggen een aanval die leidt
tot ernstige service­onderbrekingen van minimaal
24 uur, dodelijk letsel, lichamelijk letsel of het
faillissement van een bedrijf. Deze verwachting is
verbazingwekkend hoog in sommige landen, met
name in India, waar negen van de tien managers
aangaven een dergelijke aanval binnen een jaar te
verwachten; en in Mexico, waar zeven van de tien
managers dezelfde verwachting hadden. De angst
voor een grote aanval was ook relatief hoog in China,
waar meer dan de helft van de respondenten een
dergelijke aanval in 2010 of 2011 zei te verwachten.
In sommige landen was de perceptie van
kwetsbaarheden zelfs nog alarmerender. Drie kwart
van de Braziliaanse respondenten en 60 procent
van de Mexicaanse respondenten voelden zich
bijvoorbeeld niet voorbereid op een grootschalige
DDoS-aanval op hun bedrijf. Twee derde van de
respondenten in Brazilië en Mexico was tevens van
mening dat hun systemen kwetsbaar waren voor
geheime infiltratie. De hoge bezorgdheid in Brazilië
is mogelijk het gevolg van eerdere ervaringen met
cyberaanvallen en het grote aantal criminele hackers
in Brazilië. Volgens één onderzoek wordt een derde
van de vijftig meest populaire defacementwebsites
(websites die webpagina's van andere websites
vervangen door willekeurige andere) gehost en
beheerd vanuit Brazilië.10 Gezien de stroomstoringen
die zich in 2005 en 2007 in grote Braziliaanse steden
voordeden, is het niet verrassend dat 91 procent
van de Braziliaanse respondenten van mening was
dat hun elektriciteitssector niet voorbereid is op
een malwareaanval.
De Australische respondenten waren ook verrassend
bezorgd over de kwetsbaarheid van hun nutssector.
Negen op de tien respondenten uit Australië
waren bijvoorbeeld van mening dat hun sector niet
goed of helemaal niet voorbereid is op heimelijke
netwerkinfiltraties. "De overheid van Australië
besteedt veel aandacht aan de bescherming van
de cruciale infrastructuur. Het groeiende gevoel
van "onvoorbereidheid" vloeit voort uit een beter
inzicht in de dreiging als gevolg van een door de
overheid opgezette grote voorlichtingscampagne
voor managers", aldus Ajoy Ghosh, directeur
informatiebeveiliging bij Logica Australia.
De groeiende interconnectiviteit
en het slimme elektriciteitsnet
Ondanks alle onrust in de sector over de groeiende
kwetsbaarheid van het elektriciteitsnet en de
slechte voorbereiding op netwerkaanvallen, lijken
energiebedrijven en regeringen het gevaar alleen
maar te verergeren.
Hoe goed zijn bedrijven voorbereid?
80%
Enigszins of zeer
goed voorbereid
60%
Niet goed of helemaal
niet voorbereid
40%
20%
Grootschalige
DDoS-aanvallen
Heimelijke
infiltratie
10 In het duister: cruciale sectoren doelwit van cyberaanvallen
Malware
Het belangrijkste initiatief voor netwerken van
elektriciteitsbedrijven is niet een groot nieuw
beveiligingsoffensief, maar de invoering van een
"slim elektriciteitsnet". Slimme elektriciteitsnetten
maken gebruik van tweerichtingsinformatie,
die de leverancier de mogelijkheid biedt om de
elektriciteitsstroom naar en soms tot in het pand van
de consument te bewaken en beheren. Het doel van
slimme elektriciteitsnetten is de vraag te stabiliseren
door prijzen aan te passen of zelfs de stroom naar
bepaalde consumenten of apparaten af te sluiten
wanneer de vraag een piek bereikt, bijvoorbeeld op
late zomeravonden. Het afvlakken van de piekvraag
betekent dat er minder elektrische centrales nodig
zijn. Plannen om veel meer controle uit te oefenen
op het gebruik van elektriciteit door consumenten zijn
enthousiast ontvangen bij nationale beleidsmakers,
met name in China en de Verenigde Staten.
Wereldwijd zullen de uitgaven voor slimme
elektriciteits­netten tegen 2015 de 45 miljard dollar
overschrijden.11 Daarnaast hebben klanten- en
consumenten­groepen hun bezorgdheid geuit over
de gevolgen van het slimme elektriciteitsnet voor de
energieprijzen en de privacy.12 Lew Owens, algemeen
directeur van particulier elektriciteitsdistributeur ETSA,
erkent dit gevaar in een interview met Australian
Broadcasting Corporation: "De woorden 'slimme
meter' klinken fantastisch […] Maar in feite dwingen
we mensen hun verbruik te minderen door de prijs zo
hoog te maken dat ze […] apparaten uitzetten."13
Uit onze gegevens blijkt niettemin dat de sector
stug doorgaat met de implementatie van slimme
elektriciteitsnetten. Vier op de vijf managers uit de
sector zeggen dat hun bedrijf van plan is bepaalde
regelmogelijkheden voor slimme elektriciteitsnetten
te implementeren, zoals tijdgevoelige tarieven
en het onderbreken en beperken van de
elektriciteits­voorziening.
Maar het uitbreiden van het netwerkbeheer naar het
niveau van huishoudens of zelfs apparaten creëert
nieuwe gevaren als het netwerk zelf niet veilig is.
Als de nieuwe slimme meters of het ondersteunende
netwerk in handen van aanvallers komen, kunnen ze
worden gebruikt om de stroomlevering op een zeer
fijnmazige manier te ontwrichten. Het is bijvoorbeeld
mogelijk om stroomonderbrekingen of wellicht
stroompieken op bepaalde gebruikers of zelfs
bepaalde apparaten te richten. Een beveiligingsexpert
legt het als volgt uit: "Systemen worden steeds
kwetsbaarder als gevolg van automatisering en
toegang op afstand, omdat er meer toegangspunten
zijn via welke aanvallen kunnen worden gelanceerd.
Bovendien worden de veranderingen vaak op
gebrekkige en trage wijze uitgevoerd, met als
gevolg dat we langer kwetsbaar blijven".
De meeste managers en externe waarnemers zijn
van mening dat de netwerken die de elektriciteits­
systemen beheren onvoldoende beschermd zijn,
met name tegen door overheden gesteunde
aanvallen. Eén manager zei geringschattend:
"Hoe dom kun je zijn om de stroomlevering van alle
huishoudens afhankelijk te maken van internet en
dat ook nog slim te noemen!"
We moeten ons zeker afvragen hoe veilig de
nieuwe systemen nu eigenlijk zijn. Meer dan de
helft (56 procent) van de managers van bedrijven
die van plan zijn systemen voor nieuwe slimme
elektriciteitsnetten in gebruik te nemen, zijn ook
van plan via internet verbinding met de consument
te maken. De meesten beseffen dat de nieuwe
systemen grote kwetsbaarheden toevoegen aan
een reeds bedreigd elektriciteitsnet, maar slechts
twee derde heeft speciale veiligheidsmaatregelen
voor het beheer van slimme elektriciteitsnetten
geïmplementeerd. Jim Woolsey, voormalig CIAdirecteur in de Verenigde Staten, zegt hierover het
volgende: "Negentig tot vijfennegentig procent
van de mensen die werken aan het slimme
elektriciteitsnet maakt zich geen zorgen over
kwetsbaarheden en ziet beveiliging slechts als laatste
horde die nog even moet worden genomen".
In het duister: cruciale sectoren doelwit van cyberaanvallen
11
Stapsgewijze reacties
op cyberdreigingen
Het goede nieuws is dat het aantal
beveiligingsmaatregelen nog steeds
toeneemt. Het slechte nieuws is
dat de implementatie van nieuwe
beveiligingsmaatregelen - in
tegenstelling tot nieuwe dreigingen en
kwetsbaarheden - zeer traag verloopt.
De dreigingen en kwetsbaarheden nemen toe, maar hoe zit het met
de beveiligingsmaatregelen? Uit ons onderzoek blijkt dat investeringen
in beveiliging op z'n best zeer traag op gang komen.
We vroegen managers uit de sector welke beveiligingsmaatregelen ze
nemen tegen de door velen erkende kwetsbaarheden en dreigingen.
Het goede nieuws is dat het aantal beveiligingsmaatregelen nog steeds
toeneemt. Het slechte nieuws is dat de implementatie van nieuwe
beveiligingsmaatregelen - in tegenstelling tot nieuwe dreigingen en
kwetsbaarheden - zeer traag verloopt.
Onze conclusie over het beveiligingsniveau is niet gebaseerd op het
subjectieve oordeel van managers. Het is bekend dat subjectieve
oordelen in deze context niet betrouwbaar zijn. Voor een objectiever
oordeel hebben we IT-managers gedetailleerde vragen gesteld over
29 verschillende beveiligingsmaatregelen waarmee bedrijven hun
netwerken kunnen beschermen. Deze vragen waren gelijk aan de
vragen die we in het vorige rapport hebben gesteld, maar dit jaar
waren er ook vragen bij over beveiligingsproblemen die het gevolg
zijn van nieuwe technologieën, zoals toegang tot mobiele telefoons
en IP-verbindingen.
In het duister: cruciale sectoren doelwit van cyberaanvallen
13
De beveiligingsmaatregelen waarover vragen
werden gesteld omvatten onder andere beveiligings­
technologieën, beveiligings­beleidsregels, encryptie­
technieken, verificatie­technieken en netwerk­
connectiviteit. Aangezien de lijst met mogelijke
beveiligings­maatregelen van dit jaar de lijst van vorig
jaar grotendeels overlapte, konden we een globaal
beeld schetsen van de voortgang die bedrijven
hebben geboekt met het verbeteren van hun
beveiliging. Het hierop gebaseerde "implementatie­
percentage voor beveiligings­maatregelen" geeft
slechts een globale indruk omdat netwerk­beveiliging
niet kan worden afgelezen aan een opeenstapeling
van beveiligings­technologieën en omdat niet
alle technologieën even effectief zijn. Niettemin
kan uit dit percentage worden afgeleid of de
sector inderdaad nieuwe beveiligings­maatregelen
toevoegt als reactie op nieuwe dreigingen
en kwetsbaarheden.14
Betere implementatiepercentages voor beveiligingsmaatregelen
60%
2009
2010
45%
30%
15%
Water/afvalwater
Olie/gas
En dat is zeker wat de sector doet, hoewel in
een zeer langzaam tempo. De managers van alle
onderzochte sectoren gaven aan dat er dit jaar meer
beveiligings­technologieën dan vorig jaar waren
geïmplementeerd. In de water- en afval­water­
sector, die in 2009 een veel lager dan gemiddelde
hoeveelheid beveiligings­maatregelen had, bleek de
situatie duidelijk te zijn verbeterd; het implementatie­
percentage steeg van 38 naar 46 procent. In de olieen gassector bleek 48 procent van de beschikbare
technologieën te zijn geïmplementeerd. Een jaar
eerder was dit nog 45 procent. De elektriciteits­
bedrijven, die vorig jaar de meeste beveiligings­
maatregelen hadden geïmplementeerd, hebben
dit jaar voornamelijk op hun lauweren gerust.
De implementatie van beveiligings­maatregelen
is slechts met één procentpunt gestegen,
van 50 procent naar 51 procent.
Ondanks deze hogere percentages, blijkt toch
dat de meeste bedrijven een groot deel van de
beschikbare beveiligings­maatregelen niet hebben
geïmplementeerd. Dit betekent dat de beveiliging bij
veel bedrijven nog steeds als "minimaal" kan worden
beschouwd. Zo gaf 44 procent van de ondervraagde
bedrijven aan de lokale toegang tot het netwerk
alleen met gebruikersnamen en wachtwoorden
("gedeeld geheim") te beschermen. Niet meer dan
één op de vijf ondervraagde bedrijven gebruikt alleen
tokens, terwijl slechts drie procent op biometrische
verificatie vertrouwt. En minder dan één op de tien
gaf aan alle drie methoden te gebruiken voor lokale
toegang tot het netwerk.
Elektriciteit
Meegerekende beveiligingsmaatregelen:
•
Softwareonderhouds- en beveiligingspatches
•
Beheerprogramma's voor beveiligingsgegevens
•
Standaard desktopconfiguratie
•
Programma's voor de preventie van gegevensverlies
•
Informatiedeling met sector-/overheidspartners
•
•
Abonnement op service voor dreigingsdetectie
Detectie van onregelmatigheden in rollen
en activiteiten
•
Blokkeringen of beperkingen voor USB-apparaten
of andere verwisselbare media
•
Lijsten met goedgekeurde toepassingen
•
Programma's voor het controleren
van netwerkactiviteiten
•
Gebruik van encryptie (voor online overdracht,
opgeslagen gegevens in het netwerk, vaste
schijven van laptops, databases, e-mails en
draagbare apparaten)
•
Regels voor mobiele apparaten (antivirussoftware,
her-flashen, niet verbonden met het netwerk)
•
Bewaking van nieuwe IT-netwerkverbindingen
via controles of analyseprogramma's
voor netwerkgedrag
•
IT-netwerkverificatie met gedeelde geheimen,
tokens of biometrische identificatie
•
Externe IT-netwerkverificatie met gedeelde
geheimen, tokens of biometrische identificatie
•
Firewalls voor openbare netwerken
•
Maatregelen voor netwerktoegangsbeheer
•
Databasespecifieke beveiligings- en
toegangscontroles
•
Inbraakpreventiesystemen
•
Inbraakdetectiesystemen
•
Firewalls tussen bedrijfssystemen
14 In het duister: cruciale sectoren doelwit van cyberaanvallen
Implementatiepercentage voor beveiligingsmaatregelen per land
60%
45%
30%
15%
Brazilië
Frankrijk
Mexico
De externe toegang tot het netwerk was nauwelijks
beter beschermd: 26 procent van de ondervraagde
bedrijven gaf aan alleen wachtwoorden te gebruiken,
circa een vijfde meldde alleen tokens te gebruiken en
slechts drie procent bleek op biometrische verificatie
te vertrouwen. Slechts één op de tien respondenten
gaf aan dat externe toegang tot het netwerk geheel
verboden was.
Bij een minderheid van de ondervraagde bedrijven
zijn geavanceerdere beveiligingsmaatregelen
ingevoerd, zoals programma's die de netwerk­
activiteit controleren of onregelmatigheden in rollen
detecteren (bij respectievelijk 25 en 36 procent van
de respondenten). Toch blijken deze geavanceerde
maatregelen zeer effectief en onmisbaar voor de
netwerkbeveiliging te zijn, bevestigde een expert op
het gebied van cyberbeveiliging. "De focus ligt nu op
controles, het bijhouden van normale activiteiten en
India
Rusland
Australië Verenigde
Staten
Spanje
Duitsland
VAE/
Dubai
het ontwikkelen van componenten die slimmer en
veerkrachtiger zijn", aldus de expert. Objectief gezien
zijn sommige landen duidelijk meer beveiligings­
bewust dan andere. China had vorig jaar zeer veel
beveiligingsmaatregelen geïmplementeerd en stak op
dat gebied met kop en schouders boven alle andere
landen uit. De cijfers van dit jaar laten in grote lijnen
hetzelfde beeld zien. China behield met 59 procent
zijn positie als land met het hoogste implementatie­
percentage voor beveiligings­maatregelen, gevolgd
door Italië en Japan met respectievelijk 55 en
54 procent. Brazilië, Frankrijk en Mexico hadden
het laagste implementatie­percentage, bijna de
helft van het percentage van de leidinggevende
landen. De resterende landen zaten allemaal rond
de gemiddelde score van 43 procent.
Verenigd
Koninkrijk
Japan
Italië
China
Van de ondervraagde
bedrijven heeft
32 procent geen speciale
beveiligingsmaatregelen
voor het beheer van
slimme elektriciteitsnetten
geïmplementeerd.
Tegenstellingen in de BRIC-landen
Ondanks dat Brazilië en China als opkomende
wereldleiders worden beschouwd, vertoont het
cyberbeveiligingsbeleid van de beide landen enorme
verschillen. In Brazilië is sprake van een opvallende
reeks tegenstrijdigheden tussen de perceptie
van en de reactie op dreigingen. Het land heeft
voortdurend het laagste implementatie­percentage
voor beveiligings­maatregelen, maar de perceptie van
kwetsbaarheden is het hoogst van alle ondervraagde
landen. De Braziliaanse autoriteiten genieten
het minste vertrouwen van alle ondervraagde
landen. Toch is in Brazilië (een land met meerdere
gedocumenteerde cyberafpersingszaken) de
aanvalsanticipatie het laagst; niet meer dan een
derde van de respondenten gaf aan bang te zijn voor
een groot cyberincident in de komende 12 maanden.
China scoort daarentegen het hoogst in het
implementeren van beveiligingsmaatregelen en ook
het vertrouwen in het vermogen van de Chinese
regering om cyberaanvallen te voorkomen en af
te weren blijft onveranderd hoog. De overheid
speelt een actieve rol in de cyberbeveiligingscrisis,
waardoor China de andere ontwikkelingslanden
qua netwerkbeveiliging is voorbijgestreefd en de
kloof met de beveiligingsleiders in de ontwikkelde
wereld steeds kleiner wordt. Deze ontwikkelingen
wijzen erop dat China - ondanks bepaalde
tekortkomingen - planmatig te werk lijkt te gaan
op het gebied van cyberbeveiliging.
In het duister: cruciale sectoren doelwit van cyberaanvallen
15
Reactie van
de overheid
De overheid kan de beveiliging
bevorderen door samen te werken
met de sector, en door wetgeving in
te voeren die betere beveiliging vereist
dan in de markt gebruikelijk is.
Er zijn veel redenen aan te wijzen voor de uiteenlopende beveiligings­
niveaus van de ondervraagde landen. Een van deze redenen is
ongetwijfeld de rol die de overheid speelt. De overheid kan de
beveiliging bevorderen door samen te werken met de sector en door
wetgeving in te voeren die betere beveiliging eist dan in de markt
gebruikelijk is. Sommige overheden werpen zich vol enthousiasme
op deze taken, terwijl andere terughoudender reageren. Uiteindelijk
bleek toch dat de landen met de meest actieve overheden het meeste
respect en vertrouwen in de particuliere sector genieten.
In het duister: cruciale sectoren doelwit van cyberaanvallen
17
De rol van de overheid
Voor het beoordelen van de publiek-private relatie
vroegen we IT-managers naar hun interactie met
de overheid. Hierbij kregen de managers een groot
aantal alternatieven voorgelegd, zoals "helemaal
geen interactie", "informele informatiedeling" en
"wettelijk toezicht".
De Chinese managers scoorden het hoogst:
zij meldden dat ze vaak formeel en informeel contact
met hun overheidvertegenwoordigers hadden over
beveiligingsonderwerpen.15 Slechts een handvol
Chinese managers (ongeveer één op de twintig)
gaf aan geen contact met overheidsinstellingen
te hebben met betrekking tot netwerkbeveiliging
(een van de laagste percentages van alle landen).
Het andere land met een hoge publiek-private
interactie was Japan. In dit land lijkt het toezicht op
cyberbeveiliging het afgelopen jaar aanzienlijk te zijn
gestegen. Bijna de helft (44 procent) van de Japanse
respondenten gaf aan dat hun overheidsinstellingen
op zeer uitgebreide en gedetailleerde wijze toezicht
uitoefenen op hun netwerkbeveiligingsmaatregelen.
Het wettelijk toezicht in Japan overtrof zelfs dat
van China, waar 28 procent van de respondenten
aangaf tot in details te worden gereguleerd. Net zo
opvallend is dat ongeveer negen op de tien Japanse
respondenten aangaven met de overheid samen
te werken of te overleggen via een publiek-privaat
samenwerkingsverband; dit aantal is veel hoger dan
in enig ander land. Een Japanse beveiligingsexpert
schreef dit hoge niveau van samenwerking toe
Percentage dat aangeeft geen contact te hebben met hun overheid
over cyberbeveiliging en netwerkbescherming
50%
40%
30%
20%
10%
0%
0%
Japan
VAE/
Dubai
China
Rusland
18 In het duister: cruciale sectoren doelwit van cyberaanvallen
Frankrijk
Spanje
Verenigde
Staten
Verenigd
Koninkrijk
Overheidscontroles
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
Verenigd
Koninkrijk
Spanje
Verenigde
Staten
Italië
Australië
Rusland
Brazilië
Frankrijk Duitsland
Mexico
India
VAE/
Dubai
China
Japan
Percentage respondenten dat wordt gecontroleerd
aan de unieke aard van de Japanse publiek-private
samenwerking op het gebied van cyberbeveiliging:
"Het belangrijkste kenmerk van onze publiek-private
samenwerking is dat de overheid de autonomie van
eigenaren en beheerders van cruciale infrastructuren
bevordert [en] zelfmotiverende activiteiten
ondersteunt in plaats van reguleert."
Aan het andere eind van het spectrum bevonden
zich landen als Spanje, de Verenigde Staten en
het Verenigd Koninkrijk, waar meer dan een
derde van alle respondenten aangaf geen contact
met de overheid te hebben met betrekking tot
cyberbeveiliging. De resterende landen gaven bijna
allemaal aan alleen informeel contact over dit
onderwerp te hebben.
Sommige landen lijken hun beveiligingscontroles
aanzienlijk te hebben uitgebreid in vergelijking
met het jaar ervoor, terwijl andere landen juist
minder controles lijken uit te voeren. In 2009
bedroeg het verschil tussen het land met de meeste
overheidscontroles en het land met de minste
controles 50 procentpunten. Dat is een bijzonder
grote marge. Maar in 2010 is deze marge gestegen
naar vierennegentig punten, het verschil tussen
de 100 procent in Japan en de zes procent in het
Verenigd Koninkrijk.
Uit deze cijfers blijkt dat Europa en de Verenigde
Staten niet met Azië kunnen wedijveren als het
gaat om bescherming van civiele infrastructuren
tegen cyberaanvallen.
Een bijna identiek patroon werd zichtbaar toen we
IT-managers vroegen of hun beveiligingsplannen
werden gecontroleerd door de overheid. Alle Japanse
respondenten meldden dat dergelijke controles
bij hun bedrijf plaatsvonden. Dit is een forse
stijging voor Japan ten opzichte van het vorige
jaar, toen China de leidinggevende positie had op
het gebied van beveiligingscontroles. Dit jaar staat
China in dat opzicht op de tweede plaats; zeven
op de tien respondenten gaven aan dat dergelijke
controles bij hun bedrijf plaatsvonden. De laagste
controlepercentages werden genoteerd voor het
Verenigd Koninkrijk, Spanje en de Verenigde Staten,
die alle onder de 20 procent bleven.
Vijfentwintig procent van de cruciale infrastructuur­
bedrijven heeft geen contact met de overheid over
cyberbeveiliging en netwerkbescherming.
In het duister: cruciale sectoren doelwit van cyberaanvallen
19
Perceptie van de incapabiliteit van de overheid
om cyberaanvallen te voorkomen of af te weren
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
Rusland
Spanje
India
Mexico
Percentage respondenten dat hun regering
enigszins capabel of helemaal niet capabel noemt
Algemeen vertrouwen in autoriteiten
We vroegen de IT-managers tevens hoeveel
vertrouwen ze hadden in het vermogen van
de autoriteiten om potentiële cyber­aanvallen
te voorkomen en af te weren. De antwoorden
zijn vrijwel onveranderd ten opzichte van 2009.
Dit jaar zag 54 procent van de respondenten de
autoriteiten als "meestal capabel", "capabel" of
"volledig capabel" in het voorkomen of afweren
van aanvallen; vergelijkbaar met de 55 procent
die in 2009 hetzelfde oordeel velde.
Net als voorheen werden de capaciteiten van de
landen heel verschillend beoordeeld. Nu Japan meer
aandacht besteedt aan regelgeving en controles
zijn de capaciteiten van de overheid mogelijk in
een gunstiger daglicht komen te staan. Dit jaar
had 83 procent van de Japanse respondenten
vertrouwen in de autoriteiten, terwijl dit in 2009
slechts 56 procent was.
Het aantal keer dat "geen vertrouwen" werd
aangevinkt, was het hoogst in Brazilië, Mexico
en India. In deze landen is het vertrouwen in de
overheid gedaald ten opzichte van 2009. Dit gebrek
aan vertrouwen kan mogelijk gedeeltelijk worden
toegeschreven aan te weinig controles door de
overheid. Volgens één expert worden er in India
slechts sporadisch beveiligings­controles uitgevoerd,
wat in veel gevallen leidt tot een vals gevoel van
veiligheid. "Dit is zo'n dynamische sector dat controles
die zes of acht maanden geleden zijn uitgevoerd, niet
veel waarde meer hebben. Het zou beter zijn om drie­
maandelijkse controles [cyclus] en verrassings­controles
uit te voeren" aldus een expert uit India.
20 In het duister: cruciale sectoren doelwit van cyberaanvallen
Een vergelijkbaar patroon werd zichtbaar toen we
de respondenten vroegen of de huidige wetten
toereikend waren om aanvallen te voorkomen
of af te weren. Het hoogste vertrouwensniveau
werd gemeten in Japan (78 procent), de Verenigde
Arabische Emiraten (67 procent) en China
(56 procent). Brazilië had het laagste vertrouwens­
niveau; minder dan één op de vijf respondenten gaf
aan vertrouwen in de autoriteiten te hebben. Italië,
Mexico en Australië bleken ook weinig vertrouwen
te hebben in de wetten en regels die cyberincidenten
moeten tegengaan. India zorgde voor een verrassing;
de respondenten verklaarden een groot vertrouwen
(90 procent) te hebben in de wetten tegen
cyberaanvallen, ondanks de lage verwachting van
overheidsinstellingen die in dit land gebruikelijk is.
Overheid als aanvaller
Regeringen spelen ook een andere, minder positieve
rol op het gebied van cyberbeveiliging. Inlichtingen­
diensten en militaire diensten infiltreren in en bereiden
aanvallen voor op netwerken van andere landen.
De cyberdreigingen die het vaakst werden genoemd
tijdens de interviews voor dit rapport waren sabotageen spionageaanvallen van overheden.
Brazilië
De cyberdreigingen die het vaakst
werden genoemd tijdens de interviews
voor dit rapport waren sabotageen spionageaanvallen van overheden.
Perceptie van de capabiliteit van de overheid
om cyberaanvallen te voorkomen of af te weren
100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
Duitsland
Verenigde
Staten
Verenigd
Koninkrijk
VAE/
Dubai
Japan
Percentage respondenten dat hun regering
meestal capabel of volledig capabel noemt
"Momenteel ligt de focus op het herstellings­
vermogen van systemen, maar hoe zit het eigenlijk
met spionage?" vroeg een hooggeplaatste
stafmedewerker van de Amerikaanse senaat zich af.
"Dit is een belangrijk punt dat dringend aandacht
nodig heeft; DoS-aanvallen zijn niet het grootste
probleem." Veel cyberbeveiligingsexperts maken zich
zorgen over verkenningen die andere natiestaten op
het Amerikaanse elektriciteitsnet uitvoeren. In een
vertrouwelijk rapport van de Defense Science Board
uit 2008 wordt ook gewezen op de kwetsbaarheid
van het Amerikaanse elektriciteitsnet voor cyber­
aanvallen. Hooggeplaatste militairen hebben in het
openbaar verklaard dat potentiële tegenstanders
cyberverkenningen van cruciale Amerikaanse
elektriciteits­bedrijven hebben uitgevoerd met als
doel het beramen van aanvalsplannen.
We hebben IT-managers in cruciale infrastructuur­
sectoren twee achtereenvolgende jaren gevraagd of
ze dachten infiltraties of aanvallen van regeringen
te hebben ervaren, en zo ja, over welke landen
ze zich in dat opzicht de meeste zorgen maakten.
Het aantal aanvallen dat aan natiestaten wordt
toegeschreven, is in deze twee jaar stabiel en hoog
gebleven. Bijna drie vijfde van de managers zegt dat
buitenlandse regeringen betrokken zijn geweest bij
netwerkaanvallen tegen cruciale infrastructuren.
In het duister: cruciale sectoren doelwit van cyberaanvallen
21
Er is echter een verandering geconstateerd met
betrekking tot de landen die de meeste aandacht en
bezorgdheid wekken. In 2009 werden de Verenigde
Staten het vaakst genoemd, op de voet gevolgd
door China. Ongeveer een derde van de managers
die vermoedde dat hun sector werd aangevallen,
maakte zich zorgen over deze twee landen.
De zorgen over de Verenigde Staten zijn echter fors
gedaald; van 36 procent naar 12 procent. Ondertussen
zijn Rusland (16 procent), Noord‑Korea (11 procent)
en India (4 procent) op een relatief hoge plaats
terechtgekomen, mogelijk omdat IT-managers
in de sector beginnen te beseffen hoe breed de
cyberaanvalstechnologie zich heeft verspreid.
De verschillen in de verwachte oorsprong van
dreigingen volgden een regionaal concentratie­
patroon in alle onderzochte geografische gebieden.
De respondenten in de regio Azië-Pacific zagen
(uiteraard) Rusland, Noord-Korea en de Verenigde
Staten als grootste dreigingsbronnen. Binnen deze
groep wees ten minste twee derde van de Japanse
respondenten Noord-Korea als voornaamste bron
van cyberdreigingen aan.
Welk land baart het meeste zorgen als het gaat
om netwerkaanvallen op uw land of sector?
40%
30%
20%
10%
India
Anders
Andere landen
in Midden-Oosten
Noord-Korea
Percentage respondenten
22 In het duister: cruciale sectoren doelwit van cyberaanvallen
Verenigde
Staten
Rusland
China
De verschillen in de verwachte oorsprong
van dreigingen volgden een regionaal
concentratiepatroon in alle onderzochte
geografische gebieden.
In Australië maakte 40 procent van de respondenten
zich het meeste zorgen over Rusland. Het enige
land dat brak met deze op de regio gebaseerde
perceptie was China, waar drie kwart van de
ondervraagden de Verenigde Staten als grootste
dreigingsbron beschouwde.
De resultaten van andere regio's vertoonden
ook dreigings­percepties die gebaseerd waren
op geografische regio's. Twee derde van de
ondervraagden in de Verenigde Arabische Emiraten
maakte zich het meeste zorgen over andere landen
in het Midden-Oosten. Europese respondenten waren
het meest bezorgd over China, Rusland, Noord-Korea
en de Verenigde Staten, terwijl Indiase respondenten
zich het meeste zorgen maakten over Rusland.
Verrassend genoemd maakte slechts 14 procent van
de Indiase ondervraagden zich zorgen over China,
terwijl bijna een derde het Verenigd Koninkrijk als
grootste dreigingsbron zag.
aan. Deze perceptie correspondeerde met een van
de hoogste percentages gerapporteerde netwerk­
infiltraties. Uiteindelijk kwamen Mexico en Brazilië
als twee van de kwetsbaarste landen uit de bus.
Er heerst grote twijfel of deze landen opgewassen
zijn tegen allerlei soorten cyberincidenten, met name
heimelijke infiltratie en DDoS-aanvallen.
Op het westelijk halfrond maakten de Verenigde
Staten zich het meeste zorgen over China. Hoewel
de respondenten in Latijns-Amerika veel verschillende
landen als grootste dreigings­bron zagen, wees drie
kwart van de Braziliaanse ondervraagden en meer
dan de helft van de Mexicaanse ondervraagden China
of Rusland als belangrijkste bron van cyber­dreigingen
In het duister: cruciale sectoren doelwit van cyberaanvallen
23
Aanbevelingen
De opkomst van Stuxnet toont aan dat het van essentieel belang is dat cruciale
infrastructuurbedrijven de veranderingen in het cyberdreigingslandschap erkennen
en zich niet alleen op DoS-aanvallen, maar ook op geavanceerdere dreigingen
richten, zoals heimelijke infiltratie door daders of cyberafpersers die door overheden
worden gesteund. Uit ons onderzoek blijkt dat de cruciale infrastructuursector
zich niet snel genoeg aan de veranderende omstandigheden aanpast. Cruciale
infrastructuren moeten op deze veranderende situatie inspelen met een gedegen
beveiligingsbeleid en actuele dreigingsreacties die gericht zijn op:
•
Betere verificatiemaatregelen, waarbij wachtwoorden gaandeweg worden
vervangen door tokens en biometrische identificatiemiddelen.
•
Betere hygiëne van netwerksystemen door meer gebruik te maken van encryptie­
technologieën en controles van netwerkactiviteiten om onregelmatigheden in
rollen en activiteiten te detecteren.
•
Beter toezicht op de toegang tot industriële beheersystemen (met inbegrip van de
wijze waarop deze systemen toegang tot internet krijgen) via inspecties en actief
beheer van internetverbindingen, mobiele apparaten en verwisselbare media.
•
Effectieve samenwerking met overheden. Deze samenwerking kan per land
verschillend zijn en variëren van ondersteuning tot verplichte maatregelen. De nieuwe
dreigingen voor de nutssector vereisen echter bemoeienis van de overheid.
Conclusie
Over het algemeen kunnen we weinig goed nieuws melden over de cyberbeveiliging
van elektriciteitsnetten en andere cruciale diensten die afhankelijk zijn van informatie­
technologie en industriële regelsystemen. De verbeteringen op het gebied van
beveiliging zijn minimaal en bieden onvoldoende bescherming. Cruciale sectoren
worden vaak getroffen door een Distributed Denial-of-Service-aanval, maar misschien
is het onzichtbare gevaar in de vorm van een "Distributed Denial-of-Attack" nog wel
veel groter. Slechts zeer weinig bedrijven zijn goed beschermd tegen infiltraties en
potentiële aanvallen die door de staat worden gesteund. Dit geldt met name voor
het westelijk halfrond, India en Europa. In Oost-Azië lijken de autoriteiten beter met
bedrijven samen te werken om de beveiliging naar een veel hoger niveau te tillen.
Ontkenning is een onrealistische langetermijnstrategie. Of controles in combinatie
met regels beter werken valt nog te bezien, maar we kunnen niet langer denken dat
we alles bij het oude kunnen laten op het gebied van cyberbeveiliging.
Andere waarnemers zijn van mening dat er nog meer maatregelen moeten worden
genomen. "Wettelijke handhaving van bestaande mogelijkheden is waarschijnlijk niet
de oplossing [van het probleem]", zegt Jim Woolsey. "We moeten het antwoord zoeken
in nieuwe technologieën en gedistribueerde opwekking van energie. Elke ontwikkeling
op dit gebied is een stap in de goede richting, ongeacht het achterliggende motief."
Heeft Woolsey gelijk en kunnen nieuwe technologieën dit probleem oplossen?
Of biedt strengere regelgeving meer kans op een betere beveiliging? Hoe het ook zij,
dit onderzoek toont aan dat er nog veel stappen moeten worden genomen. Mogelijk
gebeurt dit pas nadat een onvoorbereide bevolking het slachtoffer is geworden van
een cyberaanval op elektriciteits-, olie-, gas-, water- of afvalwaterinstallaties.
24 In het duister: cruciale sectoren doelwit van cyberaanvallen
Woord van dank
Het onderzoek is in november 2010 uitgevoerd door Vanson Bourne.
De respondenten kwamen uit 14 landen: Australië, Brazilië, China, Duitsland,
Frankrijk, India, Italië, Japan, Mexico, Rusland, Spanje, de Verenigde Arabische
Emiraten/Dubai, het Verenigd Koninkrijk en de Verenigde Staten.
De makers willen iedereen bedanken die een bijdrage heeft geleverd en zijn of
haar ervaringen en inzichten met de schrijvers van dit rapport heeft gedeeld.
Eindnoten
1 Dit zijn de systemen die verantwoordelijk zijn voor het beheer
van elektriciteitsnetten, raffinaderijen, water-, afvalwater- en
andere industriële processen.
2 Duclos, Susan. "Cyber Attacks Black Out Cities Outside
the U.S.— Cyber Terrorism" (Cyberaanvallen verduisteren
steden buiten de VS— Cyberterrorisme), Digital Journal,
19 januari 2008. http://www.digitaljournal.com/
article/249107?tp=1
3 Cyber War: Sabotaging the System (Cyberoorlog: het systeem
saboteren). Prod. Graham Messick. CBS: 60 Minutes, 2009.
8 november 2009. Web. 3 januari 2011.
http://www.cbsnews.com/stories/2009/11/06/60minutes/
main5555565.shtml. Harris, Shane. "Brazil to '60 Minutes':
It Wasn’t A Hacker" (Brazilië aan '60 Minutes': het was
geen hacker). The Atlantic. 10 november 2009. Web.
3 januari 2011. http://www.theatlantic.com/politics/
archive/2009/11/brazil-to-60-minutes-it-wasnt-ahacker/29934/
4 SANS NewsBites, Volume X, Nummer 5, 18 januari 2008.
http://www.sans.org/newsletters/newsbites/newsbites.
php?vol=10&issue=5&rss=Y
5 William J. Broad, John Markoff en David E. Sanger.
"Israeli Test on Worm Called Crucial in Iran Nuclear
Delay" (Israël test worm die cruciaal wordt genoemd
voor nucleaire vertraging in Iran), The New York Times,
15 januari 2011. http://www.nytimes.com/2011/01/16/world/
middleeast/16stuxnet.html
6 Kaplan, Stan Mark. Electric Power Transmission: Background
and Policy Issues (Elektriciteitstransmissie: achtergrond en
beleidsproblemen). Congressional Research Service (CRS)
Reports and Issue Briefs (Rapporten en probleemoverzichten)
Washington, D.C.: Congressional Research Service, 2009.
7 Michael Giberson, Lynne Kiesling. "Analyzing the Blackout
Report’s Recommendations: Alternatives for a Flexible,
Dynamic Grid" (Analyse van de aanbevelingen van het
stroomuitvalrapport: alternatieven voor een flexibel, dynamisch
elektriciteitsnet), Electricity Journal 17 juni (2004): 51–59.
8 U.S.-Canada Power System Outage Task Force, "Context and
Preconditions for the Blackout: The Northeastern Power Grid
Before the Blackout Began", (Context en omstandigheden
bij de stroomuitval: het noordoostelijk elektriciteitsnet
vóór de stroomuitval), August 14th Blackout: Causes
and Recommendations (Stroomuitval van 14 augustus:
oorzaken en aanbevelingen), p. 53.
https://reports.energy.gov/B-F-Web-Part2.pdf
9 Australië en Italië deelden de vijfde plaats met 40 procent
van de respondenten die melding van Stuxnet-incidenten
maakten. Ter vergelijking: Stuxnet-infiltraties werden gemeld
door 100 procent van de Indiase respondenten, 59 procent
van de Duitse en Franse respondenten, 45 procent in Spanje
en 44 procent in China.
10Mylrea, Michael. "Brazil’s Next Battlefield: Cyberspace"
(Het nieuwe strijdtoneel van Brazilië: cyberspace),
The Fletcher School, 15 november 2009.
http://fletcher.tufts.edu/news/2009/11/opeds/Mylrea-Nov15.shtml
11ABI Research: http://www.abiresearch.com/research/1005219.
Hier aangehaald: http://www.businesswire.com/portal/site/
home/permalink/?ndmViewId=news_view&newsId=2010070
8005824&newsLang=en
12Peeples, Doug. "Anti-Meter Fever Strikes Australia Too"
(Antimeter-koorts ook in Australië), Smart Grid News.com,
24 februari 2010. http://www.smartgridnews.com/artman/
publish/Technologies_Metering_News/Anti-Meter-FeverStrikes-Australia-Too-1926.html
13ABC Radio National, "Electric shocks" (Elektrische
schokken), 5 november 2006. http://www.abc.net.au/rn/
backgroundbriefing/stories/2006/1777438.htm
14We hebben afzonderlijk vragen gesteld over de
implementatie van beveiligingsmaatregelen voor cruciale
IT-netwerken en voor SCADA/ICS-systemen, maar de
resulterende patronen waren dermate vergelijkbaar dat
we hier alleen de beveiligingsmaatregelen voor cruciale
netwerken bespreken.
15De categorieën omvatten: "door deelname aan
informatiedelende samenwerkingsverbanden in de sector";
"door publiekelijk commentaar te leveren op veranderingen
in wet- en regelgeving"; "door via groepen in de sector actief
te lobbyen voor wet- en regelgeving"; en "door advies in te
winnen bij publiek-private partnerorganisaties."
In het duister: cruciale sectoren doelwit van cyberaanvallen
25
Over de auteurs
McAfee
Stewart Baker is een Distinguished Visiting Fellow bij
het Center for Strategic and International Studies en
partner van het advocaten­kantoor Steptoe & Johnson
in Washington. Van 2005 tot 2009 was hij secretarisgeneraal voor beleidszaken op het Amerikaanse
ministerie van Binnenlandse Veiligheid. Daarvóór
werkte hij als algemeen raadsman voor de SilvermanRobb Commission, waarbij hij onderzoek uitvoerde
naar de nalatigheden van de Amerikaanse inlichtingen­
dienst inzake de massa­vernietigings­wapens in Irak.
Van 1992 tot 1994 was hij algemeen raadsman van
de National Security Agency.
McAfee, een volledige dochteronderneming
van Intel Corporation (NASDAQ: INTC), is het
grootste bedrijf ter wereld dat gespecialiseerd is in
beveiligingstechnologie. McAfee biedt proactieve
en bewezen oplossingen en services die systemen,
netwerken en mobiele apparaten over de hele
wereld helpen beveiligen, zodat gebruikers veiliger
op internet kunnen surfen en winkelen. McAfee
kan dankzij haar ongeëvenaarde Global Threat
Intelligence vernieuwende producten ontwikkelen
die thuisgebruikers, bedrijven, de overheid en
serviceproviders de mogelijkheid bieden om
regelnaleving te bewijzen, gegevens te beveiligen,
onderbrekingen te voorkomen, kwetsbaarheden
te identificeren en hun beveiliging voortdurend
te controleren en te verbeteren. McAfee zoekt
onophoudelijk naar nieuwe manieren om haar
klanten te beschermen.
Natalia Filipiak is programmabeheerder en
onderzoeks­partner in het Technology and Public
Policy Program bij het Center for Strategic and
International Studies. Ze heeft een master in
internationale betrekkingen van de Johns Hopkins
University School of Advanced International Studies.
Katrina Timlin is onderzoeksassistent in het Technology
and Public Policy Program bij het Center for Strategic
and International Studies. Ze is Phi Beta Kappa
afgestudeerd aan de George Washington University
met een BA in internationale aangelegenheden.
Ga voor meer informatie naar: www.mcafee.com/nl.
De Center for Strategic and International Studies
(CSIS) biedt strategische inzichten en beleids­
oplossingen voor besluitvormers bij de overheid,
internationale instellingen, de particuliere sector
en de burgermaatschappij. CSIS, een tweeledige,
non-profitorganisatie met het hoofdkantoor in
Washington D.C., voert onderzoeken en analyses uit
en ontwikkelt beleidsinitiatieven die gericht zijn op
de toekomst en die anticiperen op veranderingen.
Ga voor meer informatie over CSIS naar:
www.csis.org.
McAfee International BV
Gatwickstraat 25, Postbus 58326
1043 GL Amsterdam
The Netherlands
+ 31 (0)20 5863800
www.mcafee.com/nl
De informatie in dit document is alleen bedoeld voor educatieve doeleinden en als service voor de klanten van McAfee. Wij doen al het
mogelijk om de informatie in het McAfee-rapport "In the Crossfire" correct weer te geven. De informatie in dit document kan echter als
gevolg van de voortdurende veranderingen op het gebied van cyberbeveiliging zonder voorafgaande kennisgeving worden gewijzigd en
wordt geleverd "zoals deze is", zonder garanties met betrekking tot de nauwkeurigheid of toepasbaarheid van de informatie op een
specifieke situatie of omstandigheid.
McAfee en het McAfee-logo zijn gedeponeerde handelsmerken of handelsmerken van McAfee Inc. of haar dochterondernemingen in de VS
en andere landen. Andere namen en merken kunnen eigendom van anderen zijn. De productplannen, specificaties en beschrijvingen in dit
document zijn alleen bedoeld ter informatie. De aangeboden informatie kan zonder voorafgaande kennisgeving worden gewijzigd en wordt
zonder enige vorm van uitdrukkelijke of stilzwijgende garantie verstrekt. Copyright © 2011 McAfee, Inc.
21900rpt_cip_0311