Beheer

Security
Safe Cost of security

Beter beveiligen loont

Een beter 'slot op de deur dan de buren' helpt hackers buiten de deur te houden.

Wat brengt hacken op? © Pixabay CCO Public Domain
20 juli 2016

Computercriminaliteit heeft wereldwijd jaarlijks miljarden dollars aan schade tot gevolg. Toch verdient een criminele hacker, uitzonderingen daargelaten, geen tonnen per jaar. De gemiddelde verdiensten van een hacker bedragen 28.744 dollar. Dat blijkt uit het onderzoek Flipping the Economics of Attacks van het Amerikaanse onderzoeksbureau Ponemon.

Ponemon ondervroeg in opdracht van Palo Alto Networks ruim 300 ­mensen in Duitsland, Groot-Brittannië en de VS die zichzelf beschrijven als ‘betrokken bij de groepen die aanvallen doen’. Daarbij gaat het om hackers, maar ook om pentesters, consultants en beveiligingsexperts bij overheidsorganisaties. Ruim twee derde van de hackers in die groep hackt om geld verdienen. 31 procent heeft niet-financiële redenen, zoals een politieke motivatie of de behoefte zijn naam te vestigen.

Voor die 28.744 dollar is een hacker jaarlijks gemiddeld 705 uur in de weer, wat neer komt op een uurloon van rond de 40 dollar. Het gemiddelde uurloon van een IT-beveiligingsexpert is volgens de onderzoekers 60 dollar per uur. Bovendien komen die aan veel meer betaalde uren dan een hacker: ruim 1900 per jaar.

Een succesvolle aanval levert gemiddeld 14.711 dollar op. Hackers doen gemiddeld 8,2 aanvallen per jaar, maar een groot deel daarvan is niet ­succesvol – slechts in 42 procent van de gevallen komt de hacker binnen. Bovendien levert 58 procent van de aanvallen die wel succesvol zijn, niets van waarde op. Als daar dan nog eens de kosten van de tooling bij komen, blijft er een jaaropbrengst van 28.744 dollar over, zo heeft Ponemon ­berekend.

Het aantal aanvallen is de afgelopen jaren toegenomen. Dit komt, zo ­zeggen de hackers, doordat er nu meer tools voorhanden zijn waarmee geautomatiseerd gehackt kan worden. Die zorgen ervoor dat ze aan het hacken zelf minder tijd hoeven te besteden. De tools worden ook nog eens steeds goedkoper; de hackers geven er gemiddeld 1367 dollar aan uit. Daarmee worden de kosten die ze moeten maken voor een succesvolle aanval steeds lager, volgens ruim de helft van de hackers.

Daarnaast zijn de hackers in doorsnee minder tijd aan aanvallen kwijt. 53 procent zegt minder tijd kwijt te zijn per aanval, 15 procent ervaart dat een hack meer tijd kost. Hackers boeken forse tijdwinst doordat het ­aantal bekende lekken en exploits flink is toegenomen en veel gebruikers patches niet doorvoeren.

 

Tegenhouden vaak voldoende

Een aanval kost 70 uur bij een IT-infrastructuur met een gangbaar ­beveiligingsniveau, terwijl een aanval bij een excellent beveiligde IT-infrastructuur 147 uur werk is. Slechts 20 procent van de aangevallen IT-infrastructuren is te bestempelen als van een ‘excellent’ beveiligingsniveau.

Het loont om de IT-beveiliging te versterken, want de gemiddelde cybercrimineel maakt dezelfde afweging als een gewone inbreker. Hij geeft de voorkeur aan doelwitten waarvan de beveiliging slechter is dan die van de buren; duurt een aanval te lang, dan gaat hij een virtuele deur verder. 40 Uur is voor velen het maximum. Duurt een hack langer, dan stopt 60 ­procent van de ondervraagde hackers ermee. 13 Procent stopt er zelfs al na 5 uur mee. Als een hacker in 9 dagen geen succes weet te boeken, zoekt hij een ander doelwit.

Een beveiliging is excellent wanneer het systeem is ontworpen met grondige kennis van wat en wie het netwerk gebruikt. Ook moet het systeem aangesloten zijn op een wereldwijd ecosysteem waarmee constant en bijna in real time met andere organisaties informatie gedeeld kan worden over aanvallen. Daarbij moet de beveiliging van hetzelfde niveau zijn voor alle plekken waar data worden opgeslagen die van belang zijn; of dat nu on premise, op het netwerk zelf is, in de cloud of in een netwerk van een derde partij.

De noodzaak om geavanceerde technologische beveiligingsoplossingen te gebruiken blijkt ook uit de antwoorden van de respondenten. De helft van de hackers is ervan overtuigd dat ze niet kunnen worden tegengehouden zonder geavanceerde beschermende technologie, zo betogen zij. Gezond verstand volstaat echt niet meer.

Eerder verschenen op www.automatiseringgids.nl (29 februari 2016)

 

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!