“Toen security nog jong was, waren pukkelige jongens de tegenstanders. Die fase zijn we voor een groot deel wel ontstegen. Nu gaat het om servicegerichte dark economy.” Harde woorden van Gartner-analist Wam Voster over de huidige, slechte staat van security. En wat daaraan te doen valt.

“Ik vergelijk het met asymmetrische oorlogsvoering; een guerillastrijd.” Voster heeft het niet alleen over de capaciteit die hacktegenstanders als de NSA, China of Rusland te berde kunnen brengen. Ook cybercriminele ondernemers hebben de beschikking over forse middelen. IT’ers die hun organisaties willen beschermen strijden tegen een overmacht. “Ook op technisch gebied.”

Middelen en markt

Zie als Nederlands voorbeeld maar de grote DDoS-aanval op ABN AMRO begin 2018. Daar bleek een 18-jarige jongen achter te zitten, maar ABN-CEO Kees van Dijkhuizen meende eerst dat de massale verstoring de dader miljoenen heeft gekost. Krachtige middelen zijn breed toegankelijk en gemakkelijk in te zetten. Voor thuiszittende pubers maar ook voor ondernemende cybercriminelen.

En van laatstgenoemde zijn er ook veel, die bovendien in een gelaagde service-economie opereren. Malwaremakers zijn allang niet meer de daadwerkelijke inbrekers die ook niet per sé de uiteindelijke datadieven of afpersers hoeven te zijn. Malware wordt verkocht, of verhuurd. Toegang tot gecompromitteerde systemen wordt doorverkocht, of geleased. Beschikbare IT-capaciteit wordt als dienst aangeboden. Data wordt geheeld, verrijkt en weer benut.

Voster weet te vertellen dat leveranciers in de cybercriminele wereld niet alleen servicegericht zijn, maar zelfs zo ver geprofessionaliseerd zijn dat ze garantie bieden. Dus een afnemer van een hackproduct of -dienst kan bij ‘niet goed’ aankloppen voor geld terug. De senior director bij Gartner volgt IT-security al vele jaren en heeft daarbij ook oog voor de discipline van risk management.