De belangrijkst ICT security trends voor 2015

Na een jaar gevuld met allerlei Big Data inbreuken bij bijvoorbeeld Sony of wat lokaler, datalekken bij de politie of onze banken, en bedreigingen op grote schaal in onze shared software zoals Heartbleed en Shellshock, is cyber security voor 2015 een absoluut hot topic.

Ons nieuwe Security Threat Trends 2015 report bekijkt wat de grootste security bedreigingen zijn die het komende jaar op de loer liggen en legt daarnaast uit wat de impact zal zijn van bestaande en groeiende bedreigingen voor organisaties en consumenten.

Dit zijn 10 punten die volgens ons in 2015 een serieuze impact zullen hebben op onze security:

1. Exploit-maatregelen verkleinen het aantal kwetsbaarheden

   Microsoft Windows is jarenlang een speeltuin geweest voor cybercriminelen. Gelukkig heeft Microsoft flink geïnvesteerd in maatregelen om exploits te verhinderen Daardoor is het een stuk moeilijker geworden om aanvalscodes te schrijven. We zien wel dat aanvallers, nu het lastiger is geworden om computers over te nemen via exploits, terugvallen op social engineering. We zien bovendien een toename van aanvallen op niet-Microsoft-platforms.

2. Cyberaanvallen op Internet of Things zijn geen incidenten meer; het worden ‘normale’ risico’s

   Dit jaar hebben we moeten constateren dat fabrikanten van Internet of Things-apparaten verzuimen om de standaard beveiligingsnormen te hanteren. Aanvallen op dat soort apparaten en systemen zullen naar verwachting een negatieve invloed hebben op de ‘echte wereld’. Hier ligt een belangrijke taak voor de ICT-beveiligingsindustrie.

3. Encryptie is de standaard, maar niet iedereen is daar blij mee

   Encryptie wordt steeds belangrijker nu er veel meer aandacht is voor dataveiligheid en privacy dankzij onthullingen over de afluisterpraktijken van veiligheidsdiensten en de grote datahacks die in het nieuws komen. Toch is niet iedereen blij met de opkomst van encryptie. Zo zijn opsporingsorganisaties en inlichtingendiensten bang dat professionele encryptie een gevaar vormt voor de (nationale) veiligheid.

4. Grote fouten in veelgebruikte software zijn de laatste 15 jaar onopgemerkt gebleven

   Er zijn grote hoeveelheden onveilige code gebruikt voor de computersystemen van vandaag. Dat hebben bugs als Heartbleed en Shellshock dit jaar wel aangetoond. De ontwikkelingen in 2014 hebben ervoor gezorgd dat cybercriminelen hernieuwde aandacht kregen voor software en systemen die ze van oudsher links lieten liggen. Bedrijven zullen zich dus moeten voorbereiden op een antwoord daarop.

5. Regelgeving dwingt met name in Europa tot meer openheid en leidt tot grotere claimgevoeligheid

   De wet- en regelgeving ontwikkelt zich langzamer dan de technologie en securityoplossingen. Maar nu staan we aan de vooravond van een stortvloed aan nieuwe richtlijnen die al een tijdje in de maak zijn. Het ligt voor de hand dat deze ontwikkelingen zullen leiden tot verstrekkende datawetgeving op andere rechtsgebieden.

6. Aanvallers richten hun aandacht op mobiele betaalsystemen, maar blijven voorlopig ook actief in traditionele betalingsfraude

   Toen Apple Pay werd geïntroduceerd, waren mobiele betaalsystemen helemaal hot. Cybercriminelen zullen uiteraard op zoek gaan naar kwetsbare punten in Apple Pay, maar vooralsnog zien de beveiligingsmaatregelen er goed uit. Daarom valt het te verwachten dat cybercriminelen voorlopig nog wel een tijdje bezig blijven met creditcardfraude en andere traditionele vormen van internetoplichting; dat  blijven vooralsnog de makkelijke doelwitten.

7. Wereldwijde groei kenniskloof; behoefte aan adequate incidentrespons en opleiding is groot

   Technologie raakt steeds meer verweven met ons dagelijkse leven. Het is bovendien een belangrijke pijler onder de wereldwijde economie. Daarom is het gebrek aan vaardigheden en kennis op het gebied van cybersecurity echt zorgwekkend. Overheden en de industrie zien dat gevaar ook. De kloof in kennis en vaardigheden groeit bovendien. Gezien het huidige tekort aan gekwalificeerde IT-veiligheidsexperts is de verwachting van een aantal landen dat die kloof tot 2030 nog verder gaat toenemen.

8. De opkomst van criminele diensten en exploit-kits voor mobiele (en andere) platforms

   In de afgelopen jaren is er in de cybercriminele wereld een opkomst te zien van kant-en-klare producten en diensten die het bij wijze van spreken mogelijk maken om met een druk op de knop sites te hacken en over te nemen. Wij verwachten dat met de immense populariteit van mobiele platforms (en de bijzonder interessante data die op mobieltjes te vinden is) er veel meer criminele producten en instrumenten beschikbaar zullen komen, specifiek voor deze apparaten. Bovendien valt deze trend ook te verwachten bij de platforms op het gebied van de Internet of Things (IoT) die we steeds meer om ons heen zien.

9. De kloof tussen industriële procesbeveiliging en fysieke beveiliging wordt groter

   Industrial Control Systems (ICS – industriële procescontrolesystemen) lopen in het algemeen tien of meer jaar achter op de alledaagse beveiliging. We voorzien dat in de komende jaren meer kwetsbaarheden daarin aan het licht komen. Dat levert een risico op voor aanvallen van vijandige landen of van financieel geïnspireerde aanvallen. Het is kortom een gebied met een hoog risico.

10. Oude rootkit- en botmogelijkheden kunnen leiden tot nieuwe aanvalskansen

    De technologiebranche is momenteel bezig om de belangrijkste platforms en protocollen waar we al tijden mee werken, aan te passen. Deze aanpassingen op een dieperliggend niveau kunnen interessante zwaktes aan het licht brengen waar cybercriminelen gebruik van kunnen maken. Deze grote stroom van belangrijke wijzigingen in de oude standaarden voor beveiligingstechnologie kunnen ertoe leiden dat vroegere kwetsbaarheden opnieuw opduiken en dat er nieuwe beveiligingszwaktes ontstaan.