Op de cybercrimecatwalk zien wij vooral vintage

Ik begin deze column graag met een bekentenis: ik ben een beetje hypocriet. In mijn vorige column betoogde ik dat we meer vooruit moesten kijken, maar in deze column ga ik je vertellen dat we juist meer achteruit moeten kijken.

Sinds 2011 ben ik betrokken bij het schrijven van cybersecuritydreigingsbeelden. Deze zijn bedoeld om een strategisch overzicht te geven van dreigingen binnen het cybersecuritylandschap. Destijds was het pionieren, maar inmiddels worden organisaties overspoeld door dreigingsbeelden. Hierdoor is een strijd ontstaan om de aandacht van de lezer. De focus ligt doorgaans op veranderingen in de modus operandi van criminelen en andere kwaadwillenden. In het begin waren ze daarom erg waardevol om een indruk te geven van de soorten dreigingen waar organisaties en burgers mee geconfronteerd werden. De laatste jaren, waarin ik leiding gaf aan het Internet Organised Crime Threat Assessment (IOCTA) bij Europol, had ik het gevoel dat de meerwaarde van de dreigingsbeelden langzaam aan het verdwijnen was. Ik voelde een constante druk om nieuwe dreigingen te ontdekken, maar het beste wat ik kon vinden waren marginale veranderingen. Grote veranderingen, zoals het gebruik van double en triple extortion bij ransomware, waren eerder uitzondering dan regel. Terwijl ik dagelijks vanuit meerdere hoeken hoorde dat het dreigingenlandschap zo snel veranderde dat we het nauwelijks konden bijhouden, zag ik in de praktijk vooral meer van hetzelfde, in ieder geval op strategisch niveau.

Desondanks lijkt er een obsessie te zijn met het vinden van nieuwe dreigingen. We willen nieuwswaardig zijn. We willen niets liever dan vooruitkijken en op zoek gaan naar the next best thing, of beter gezegd: the next worst thing. Toen ik in 2019 ransomware opnieuw de grootste dreiging wilde noemen in het persbericht over de jaarlijkse IOCTA, droop de teleurstelling ervan af bij onze communicatieafdeling. Ransomware was out of fashion en niet geschikt voor de cybercrime catwalk. Voor criminelen is ransomware als een prachtige vintage Gucci jurk: oud, maar nog even stijlvol als altijd, en inmiddels veel meer waard dan tien jaar geleden. Dat is de reden dat we anno 2024 ransomware nog steeds niet onder controle hebben. Dus voordat we enthousiast op zoek gaan naar nieuwe dreigingen, zoals revolutionaire vormen van AI-geleide aanvallen, is het belangrijk dat we stilstaan en reflecteren. Wat hebben we geleerd van de afgelopen jaren?

In 2018 brachten we de vijfde editie van de IOCTA uit. Een uitstekend moment om achteruit te kijken. In plaats van nieuwe dreigingen zagen we in deze flashbacks vooral een doorontwikkeling van bestaande vormen van cybercrime, zoals crime as a service en ransomware. En dat is nog steeds het geval. Criminelen misbruiken GenAI vooral om hun bestaande methoden te verbeteren, te versnellen of op een andere manier te verbreden. Maar ik betwijfel of zij daadwerkelijk iets ‘nieuws’ gaan introduceren.

Laten we dus onze focus leggen op het begrijpen van de geschiedenis en het DNA van bestaande cyberdreigingen. Op die manier zijn we beter voorbereid op de toekomst. Het is tijd voor reflectie.

Dr. Nicole van der Meulen is expert op het gebied van cybersecurity en emerging technologies en werkzaam bij SURF als Cybersecurity Innovation Lead, bereikbaar via ns.vandermeulen@gmail.com

Dit blog verscheen in IB4-2024.