Dat blijkt tenminste uit een onderzoek van het Britse Digital Shadows. Het bedrijf monitort een heel aantal websites op het darkweb en vond er recent 12,5 miljoen onbeschermde zakelijke mailboxen waarvan 53.262 in ons land. Op het wat? Inderdaad, op het darkweb.
Het internet dat we via onze browsers kunnen bezoeken – het zogenaamde clearweb – is maar een deel van het eigenlijke internet, namelijk het deel dat geïndexeerd wordt door zoekmachines. Daarnaast heb je het deel dat niet geïndexeerd wordt: het zogenaamde deepweb. Denk daarbij aan websites die je enkel kunt bereiken door in je browser hun URL in te typen.
Ten slotte is er ook het darkweb, waarvoor je bepaalde software nodig hebt om erop te geraken. In tegenstelling tot wat de naam doet vermoeden is het darkweb niet illegaal, je vindt er grotendeels dezelfde content als op het clearweb, al is het besloten karakter ervan wel aantrekkelijk voor cybercriminelen.
12,5 miljoen onbeschermde zakelijke mailboxen zijn blootgesteld door onbeschermde diensten voor het delen van bestanden
‘Je vindt op het darkweb allerhande gehackte data die anoniem verkocht worden, bijvoorbeeld van gehackte e-mail- en socialmedia-accounts, maar ook vervalste identiteitskaarten, rijbewijzen etc.’, getuigt Rafael Amado, Research & Strategy Analyst bij Digital Shadows. ‘Daarnaast zijn er heel wat hackers die anoniem hun diensten aanbieden: hacking as a service, malware as a service.’
De verontrustende cijfers uit het onderzoek van Digital Shadows, doen ons vermoeden dat er iets fout is met de beveiliging van onze zakelijke mailboxen. ‘Het is vooral de manier waarop organisaties e-mails archiveren en bestanden delen, die hen kwetsbaar maakt. En ze zijn zich daar niet voldoende van bewust. We moeten uitkijken wanneer we toegang tot onze systemen en data delen met freelancers, externen, consultants’, zegt Amado. Die ‘buitenlijn’ maakt je systeem dikwijls toegankelijk voor hackers.
‘Internet of Things biedt ongezien gebruiksgemak, maar niemand heeft iets aan een smart toaster. We moeten ons afvragen of werkelijk elk toestel met het internet moet verbonden zijn, wanneer recent nog maar eens bleek nog dat hackers toegang kregen tot bedrijfsnetwerken via printers’, waarschuwt Amado. ‘Veel mensen passen bijvoorbeeld het default paswoord waarmee een toestel geleverd wordt, niet aan. Dat terwijl fabrikanten voor elk toestel hetzelfde paswoord gebruiken. Wie één paswoord kraakt, heeft toestel tot een hele reeks apparaten.’
Cybercrime neemt toe, maar dat is vooral omdat we met steeds meer mensen en steeds meer toestellen steeds vaker online zijn. Amado: ‘De surface area voor hackers wordt veel groter en cybercrime wordt veel actiever gerapporteerd en bestreden. Politie en overheden maken altijd meer middelen vrij voor het bestrijden van cybercrime.’
‘Desondanks zijn er risico’s waarmee we rekening moeten houden en die we moeten aanvaarden. Als je een service gaat gebruiken moet je uitkijken welke data ze van jou als gebruiker willen en of die echt nodig is voor de dienst die ze aanbieden. Als dat niet zo is, gebruik je de dienst beter niet. GDPR is een goede stap om mensen bewust te maken en organisaties verantwoordelijk te maken.’
We kunnen artificial intelligence gaan gebruik om onze data beter te beschermen, maar we moeten beseffen dat AI ook met kwade bedoelingen kan gebruikt worden. ‘Cybercriminelen zijn overheden en organisaties altijd een paar stappen voor. Hun methodes veranderen snel en ze gaan nieuwe technologieën, ook volledig legale, snel gebruiken omdat ze hun business natuurlijk veilig willen stellen’, zegt Amado.
‘Organisaties moeten in de eerste plaats goed weten welke data ze hebben, waar ze die bewaren en hoe ze die beschermen. Een organisatie moet als een hacker naar haar eigen systeem kijken: wat zou een hacker kunnen doen met onze data, hoe zou hij binnen geraken? Dat is exact wat wij voor bedrijven doen: zo zijn we binnengeraakt en die data kunnen we compromitteren.’
‘In tweede instantie moet je medewerkers trainen, zodat ze weten wat phishing is, hoe ransomware werkt etc. En tot slot moet je weten hoe je als organisaties gaat reageren op een cyberattack. Mature organisaties moeten toch een draaiboek opstellen voor het geval dat.’ Met de gepaste bescherming, getrainde medewerkers en een actieplan kom je volgens Amado al heel ver in de bescherming tegen cybercrime.