De persoonsgegevens van veertig miljoen creditcardgebruikers zijn gestolen. Onder de slachtoffers bevinden zich waarschijnlijk ook 520 Nederlandse kaarthouders.
Via een computervirus wist een infiltrant de vertrouwelijke gegevens uit de database van Cardsystems te onttrekken. De FBI stort zich nu op de zaak. Dr.ir. Semir Daskapan, die onlangs aan de faculteit TBM promoveerde op een nieuwe beveiligingsmethode tegen hacken, reageert geschokt op het nieuws. “Dat is echt een schande.”
Volgens hem geeft de diefstal aan dat het gevaar van computervirussen, en de schade die ze kunnen aanrichten, wordt onderschat. Daskapan: “In virus-detectiesystemen bestaan verschillende klassen. De meest geavanceerde antivirusprogramma’s vormen een soort netwerk met andere gebruikers”, legt hij uit. “Wanneer een gebruiker een nieuw virus ontdekt, worden de virusdefinities van alle andere gebruikers op het netwerk automatisch bijgewerkt.” Maar om kosten te besparen kiezen bedrijven volgens hem te vaak voor ‘Mickey Mouse-middelen’.
Daskapan verwacht dat een bedrijf als Cardsystems de meest geavanceerde beveiligingsmethoden gebruikt. “Maar software is zo geavanceerd als de mens die het gebruikt”, benadrukt hij. “Met alleen een goed programma installeren ben je er nog niet, je moet het veiligheidsniveau ook aan de bedrijfsvoering aanpassen.” Daarbij speelt het dilemma dat een bedrijf de deur niet helemaal kan sluiten, omdat gegevens nog wel moeten kunnen binnenkomen. “De vraag is dus: Hoe ver sluit je de deur?”
De zwakste schakel in de computerbeveiliging zijn volgens Daskapan de gebruikers. Een bedrijf moet zijn medewerkers goed instrueren om zich te beschermen tegen social engineering. Dat is een minder technische manier van computerkraken die gebruik maakt van medewerkers. Een bekend voorbeeld zijn de e-mails met executables in de bijlage. Wanneer een medewerker de bijlage opent, installeert hij daarmee een programma dat de deur van binnenuit openzet.
Een andere veel voorkomende vorm van social engineering is persoonlijk contact leggen met medewerkers. “Als je na een paar telefoontjes de namen van hun kinderen weet, kun je vaak eenvoudig hun wachtwoord achterhalen”, aldus Daskapan. En er bestaan ook nog steeds mensen die hun wachtwoorden met een briefje op hun computer plakken. “In principe zou de schoonmaker in de avonduren best een professionele hacker kunnen zijn.”
Ook ir. Wouter de Jong, docent informatiebeveiliging aan de faculteit EWI, noemt de diefstal schandalig. Maar De Jong is vooral verbaasd dat het nog zo lang goed ging. “Creditcardbetalingen via het internet zijn niet beveiligd met een handtekening of pincode, dan vraag je gewoon om ellende.” De Jong: “Er bestaan veilige methodes, zoals het gebruik van speciale codes bij internetbankieren, maar dat kost de consument extra werk en dat kost daarom omzet. De markt neemt daarom bewust risico’s.” Volgens hem was het dan ook niet de vraag of het ooit mis zou gaan, maar wanneer en op welke schaal. (IdB)
Via een computervirus wist een infiltrant de vertrouwelijke gegevens uit de database van Cardsystems te onttrekken. De FBI stort zich nu op de zaak. Dr.ir. Semir Daskapan, die onlangs aan de faculteit TBM promoveerde op een nieuwe beveiligingsmethode tegen hacken, reageert geschokt op het nieuws. “Dat is echt een schande.”
Volgens hem geeft de diefstal aan dat het gevaar van computervirussen, en de schade die ze kunnen aanrichten, wordt onderschat. Daskapan: “In virus-detectiesystemen bestaan verschillende klassen. De meest geavanceerde antivirusprogramma’s vormen een soort netwerk met andere gebruikers”, legt hij uit. “Wanneer een gebruiker een nieuw virus ontdekt, worden de virusdefinities van alle andere gebruikers op het netwerk automatisch bijgewerkt.” Maar om kosten te besparen kiezen bedrijven volgens hem te vaak voor ‘Mickey Mouse-middelen’.
Daskapan verwacht dat een bedrijf als Cardsystems de meest geavanceerde beveiligingsmethoden gebruikt. “Maar software is zo geavanceerd als de mens die het gebruikt”, benadrukt hij. “Met alleen een goed programma installeren ben je er nog niet, je moet het veiligheidsniveau ook aan de bedrijfsvoering aanpassen.” Daarbij speelt het dilemma dat een bedrijf de deur niet helemaal kan sluiten, omdat gegevens nog wel moeten kunnen binnenkomen. “De vraag is dus: Hoe ver sluit je de deur?”
De zwakste schakel in de computerbeveiliging zijn volgens Daskapan de gebruikers. Een bedrijf moet zijn medewerkers goed instrueren om zich te beschermen tegen social engineering. Dat is een minder technische manier van computerkraken die gebruik maakt van medewerkers. Een bekend voorbeeld zijn de e-mails met executables in de bijlage. Wanneer een medewerker de bijlage opent, installeert hij daarmee een programma dat de deur van binnenuit openzet.
Een andere veel voorkomende vorm van social engineering is persoonlijk contact leggen met medewerkers. “Als je na een paar telefoontjes de namen van hun kinderen weet, kun je vaak eenvoudig hun wachtwoord achterhalen”, aldus Daskapan. En er bestaan ook nog steeds mensen die hun wachtwoorden met een briefje op hun computer plakken. “In principe zou de schoonmaker in de avonduren best een professionele hacker kunnen zijn.”
Ook ir. Wouter de Jong, docent informatiebeveiliging aan de faculteit EWI, noemt de diefstal schandalig. Maar De Jong is vooral verbaasd dat het nog zo lang goed ging. “Creditcardbetalingen via het internet zijn niet beveiligd met een handtekening of pincode, dan vraag je gewoon om ellende.” De Jong: “Er bestaan veilige methodes, zoals het gebruik van speciale codes bij internetbankieren, maar dat kost de consument extra werk en dat kost daarom omzet. De markt neemt daarom bewust risico’s.” Volgens hem was het dan ook niet de vraag of het ooit mis zou gaan, maar wanneer en op welke schaal. (IdB)
Comments are closed.