Actueel

Cyberveiligheid

25 augustus 2022

Data-exfiltratie: wat is het en hoe kun je jouw organisatie beschermen?

Cyberaanvallen gericht op data-exfiltratie, het ongeautoriseerd verkrijgen van gegevens door kwaadwillenden, nemen toe. Volgens The Hacker News is het inmiddels zelfs een groter risico dan ransomware. In deze blog vertellen we je daarom meer over de risico’s van data exfiltration, waarom het zo’n serieuze dreiging is, en wat je kunt doen om jouw organisatie te beschermen.

Data staat centraal – altijd

Data staat centraal in alle cyberaanvallen. Het doel van iedere variant van cybercrime kan verschillend zijn, maar uiteindelijk is de kwaadwillende partij altijd uit op data. Denk bijvoorbeeld aan gevoelige bedrijfsgegevens om een concurrentievoordeel te behalen, persoonsgegevens voor financieel gewin, of het versleutelen van informatie om vervolgens losgeld te eisen (ransomware).

Een handeling waarbij een kwaadwillende een apparaat, systeem of compleet netwerk binnendringt, is daarom op zichzelf nog geen succesvolle cyberaanval. Dat doel wordt pas bereikt als er data onttrokken kan worden. Data-exfiltratie is dan ook niets anders dan een moeilijk woord voor het verwijderen – of beter nog: buitmaken – van gegevens.

Data-exfiltratie

Data-exfiltratie betekent dat er onbedoeld en/of ongeautoriseerd data uit het netwerk lekt. Dat kan zijn wanneer software (malware) of een kwaadwillende actor een gegevensoverdracht vanaf een computer uitvoert, maar ook het verlies van een usb-stick of het achterlaten van gevoelige documenten in het openbaar vervoer zijn voorbeelden.

Heb je wel eens gegevens gekopieerd naar een onveilige opslag of een persoonlijke laptop? Ingelogd op openbare Wi-Fi? Iedere keer wanneer je beveiligingsmaatregelen omzeilt – vanuit gemak, haast of onvoldoende besef van de waarde van die gegevens – nodig je een fraudeur uit om die informatie te stelen. Niet bewust uiteraard, maar zo werkt het helaas wel.

Een onvoorzichtige medewerker kan onbedoeld meer schade veroorzaken dan een goed voorbereide cybercrimineel, simpelweg door een (bedrijfs)telefoon, USB-stick of laptop kwijt te raken of te verliezen. Hetzelfde geldt voor het bezoeken van foute websites of het installeren van ongeautoriseerde software op een bedrijfscomputer. Het zijn veelvoorkomende manieren waarop malware of ransomware in een netwerk wordt geïntroduceerd, waardoor gevoelige gegevens mogelijk worden overgedragen aan kwaadwillenden. Niet voor niets is security awareness onder het personeel zo’n belangrijk onderdeel van informatieveiligheid.

Extortionware

Terug naar data-exfiltratie. Dat heeft eigenlijk betrekking op alle vormen van cyberaanvallen. Immers, geen exfiltratie van gegevens betekent geen gegevensverlies, geen datalek en geen losgeld voor die gegevens. Daarom dat The Hacker News in het eerder aangehaalde artikel kan schrijven dat data-exfiltratie voor sommige organisaties een groter risico is dan ransomware, want het omvat eigenlijk alle varianten van cyberaanvallen gericht op het verkrijgen van data.

De interessante – of eigenlijk: verontrustende – ontwikkeling zoals beschreven in het artikel zit in het feit dat cybercriminelen in toenemende mate gebruik maken van afpersing wanneer zij de gegevens bemachtigd hebben. Ze versleutelen in dat geval geen gegevens omdat ze uit zijn op een losgeldsom (zoals bij ransomware), maar gaan over op afpersing vanuit de dreiging te gevoelige gegevens openbaar te maken en/of aan derden te verkopen. Dat heet extortionware, waarbij de buitgemaakte informatie expliciet gebruikt wordt voor afpersing.

In tegenstelling tot ransomware, waarbij een organisatie gedwongen wordt te betalen om toegang tot de eigen gegevens terug te krijgen, dreigen afpersers bij extortionware om de verzamelde informatie publiekelijk vrij te geven. Dat zet extra druk op het bedrijf. Een goed backup management doet namelijk veel om de gevaren van ransomware te omzeilen (de bedrijfscontinuïteit komt immers niet of minder in het geding), maar dat helpt niet als fraudeurs dreigen om gevoelige bedrijfsgegevens te publiceren of verkopen. Dat maakt de kans groter dat je als organisatie met de eisen zal instemmen.

Wat kun je doen?

In alle gevallen – en dit is een hele belangrijke toevoeging – is er nog een tweede overeenkomst tussen cyberaanvallen: het feit dat er voor succesvolle data-exfiltratie meer nodig is dan een kwaadwillende die er met gevoelige gegevens vandoor wil gaan. Er is namelijk ook een interne kwetsbaarheid voor nodig. En dat betekent dat je als organisatie maatregelen kunt nemen om de kans aanzienlijk te verkleinen dat je slachtoffer wordt.

Dezelfde cybersecuritymaatregelen die je organisatie moeten beschermen tegen de risico’s van phishing, social engineering, ransomware en alle andere vormen van (potentieel) dataverlies gelden ook voor data-exfiltratie en extortionware, de variant van ransomware waarbij kwaadwillenden dreigen met openbaar maken en/of doorverkopen van de verkregen informatie.

In de eerste plaats geldt daarom: blijf alert. Houd software up to date, installeer patches en let op phishing e-mails. Phishing blijft bijvoorbeeld een populaire strategie voor cybercriminelen, en daarmee een grote factor in data-exfiltratie.

Dataverlies via e-mail gebeurt ook onopzettelijk – bijvoorbeeld omdat een medewerker de verkeerde personen op CC zet, of de verkeerde bijlage toevoegt naar een niet-gemachtigde ontvanger. De meeste gevallen van exfiltratie van (e-mail)gegevens zijn echter kwaadwillig. Phishing berichten doen zich voor als e-mails van een gerenommeerde instelling om ontvangers te verleiden gevoelige informatie te verstrekken. Het is daarom van groot belang om medewerkers doorlopend op het risico van phishing voor te bereiden.

De volgende stap: Awareways

Awareways houdt je organisatie een spiegel voor. Onze security awareness programma’s leggen kwetsbaarheden bloot, bieden oplossingen en belonen veiliger gedrag. Met experts in psychologie, storytelling, gamification en informatiebeveiliging komen we tot de kern van de zaak om meetbare resultaten te bereiken.

Culturele verandering binnen organisaties en de samenleving als geheel – en meer specifiek gedragsverandering van iedereen die daar onderdeel van is – is ons hoofddoel. Door jouw medewerkers te benaderen als de sterkste schakel in het informatiebeveiligingsproces, in plaats van de zwakste.

De Awareways Cultuurscan laat het huidige niveau van informatiebewustzijn binnen elke organisatie zien. Tegelijkertijd daagt het medewerkers uit om na te denken over hun persoonlijke kennis en gedrag. Deelname is dus een interventie op zich.

Bovendien biedt het niet alleen concrete resultaten, maar ook praktische aandachtspunten voor een gericht vervolgprogramma. Welkom bij de security awareness movement.

Wil je meer weten over onze visie of aanpak,
of benieuwd naar andere informatie?
Neem dan vrijblijvend contact op
!