Trace Id is missing

Cyberbedreigingen richten zich steeds meer op de grootste evenementenpodia in de wereld

Download
Delen
Een illustratie van een voetbalstadion met veel verschillende pictogrammen.

Cyber Signals-editie 5: Stand van zaken

Bedreigingsactoren volgen de doelwitten en maken gebruik van de mogelijkheden om gerichte of wijdverspreide, opportunistische aanvallen uit te voeren. Dit geldt ook voor belangrijke sportevenementen, vooral als die plaatsvinden in steeds beter verbonden omgevingen, wat cyberrisico's met zich meebrengt voor organisatoren, regionale gastfaciliteiten en toeschouwers. Het Nationaal Cyber Security Centrum van het Verenigd Koninkrijk (NCSC) kwam tot de conclusie dat cyberaanvallen tegen sportorganisaties steeds vaker voorkomen, waarbij 70 procent van de ondervraagden minstens één aanval per jaar meemaakte, aanzienlijk meer dan het gemiddelde voor alle bedrijven in het Verenigd Koninkrijk.

De druk om een soepele, veilige ervaring te leveren op het wereldpodium stelt nieuwe eisen aan lokale organisatoren en faciliteiten. Een enkel verkeerd geconfigureerd apparaat, een blootgesteld wachtwoord of een externe verbinding die over het hoofd wordt gezien, kan leiden tot een datalek of een succesvolle inbraak.

Microsoft leverde cyberbeveiligingsondersteuning aan vitale infrastructuurvoorzieningen tijdens de organisatie van de FIFA World Cup in Qatar in 2022TM. In deze editie bieden we leermomenten uit de eerste hand over hoe bedreigingsactoren deze omgevingen beoordelen en infiltreren in locaties, teams en vitale infrastructuur rond het evenement zelf.

We zijn allemaal beschermers van cyberbeveiliging.

Microsoft heeft tussen 10 november en 20 december 2022 meer dan 634,6 miljoen authenticaties uitgevoerd tijdens het leveren van cyberbeveiliging voor voorzieningen en organisaties in Qatar.

Opportunistische bedreigingsactoren maken gebruik van doelwitrijke omgeving

Cyberbeveiligingsbedreigingen voor sportevenementen en -locaties zijn divers en complex. Ze vereisen constante waakzaamheid en samenwerking tussen belanghebbenden om escalatie te voorkomen en te beperken. Met een wereldwijde sportmarkt die wordt geschat op meer dan 600 miljard dollar, is dit een rijk doel. Sportteams, major league en internationale sportbonden en amusementsgelegenheden bezitten een schat aan waardevolle informatie die zeer gewild is bij cybercriminelen.

Informatie over sportprestaties, concurrentievoordeel en persoonlijke informatie zijn lucratieve doelwitten. Helaas kan deze informatie op schaal kwetsbaar zijn door het aantal aangesloten apparaten en onderling verbonden netwerken in deze omgevingen. Vaak omvat deze kwetsbaarheid meerdere eigenaren, waaronder teams, bedrijfssponsors, gemeentes en externe aannemers. Coaches, atleten en fans kunnen ook kwetsbaar zijn voor gegevensverlies en afpersing.

Bovendien zijn er in locaties en arena's veel bekende en onbekende kwetsbaarheden waardoor bedreigingen zich kunnen richten op vitale point-of-sale-apparaten, zoals betaalautomaten, IT-infrastructuren en apparaten van bezoekers. Geen twee prominente sportevenementen hebben hetzelfde cyberrisicoprofiel, dat varieert afhankelijk van factoren zoals locatie, deelnemers, omvang en samenstelling.

Om tijdens het wereldkampioenschap voetbal in Qatar gericht te kunnen werken, hebben we proactief bedreigingen opgespoord door risico's te beoordelen met behulp van Defender-experts voor opsporing, een beheerde dienst voor bedreigingsjacht die proactief naar bedreigingen zoekt op eindpunten, e-mailsystemen, digitale identiteiten en cloud-apps. In dit geval waren de factoren de motivatie van de bedreigingsactor, profielontwikkeling en een reactiestrategie. We hebben ook gekeken naar informatie over bedreigingen vanuit de hele wereld met betrekking tot actoren en cybercriminelen met geopolitieke motieven.

Een van de grootste zorgen was het risico van cyberverstoring van evenementenservices of lokale voorzieningen. Verstoringen zoals ransomware-aanvallen en pogingen om gegevens te stelen kunnen een negatieve invloed hebben op de beleving van het evenement en de routinewerkzaamheden.

Tijdlijn van openbaar gerapporteerde incidenten van 2018-2023

  • In januari 2023 waarschuwt de National Basketball Association (NBA) fans voor een datalek waarbij hun persoonlijke gegevens zijn gelekt via een nieuwsbriefservice van een derde partij.1
  • In november 2022 bevestigde Manchester United dat er sprake was van een cyberaanval op de systemen van de club.2
  • In februari 2022 werden de San Francisco 49ers getroffen door een grote ransomware-aanval op Super Bowl Sunday.3
  • In april 2021 beweert een ransomware-groep 500 gigabyte aan gegevens van Rockets te hebben gestolen, waaronder contracten, geheimhoudingsovereenkomsten en financiële gegevens. Interne beveiligingstools hebben voorkomen dat ransomware werd geïnstalleerd, behalve op een paar systemen.4
  • In oktober 2021 werd een man uit Minnesota beschuldigd van het hacken van computersystemen van de Major League Baseball in een poging de bond af te persen voor USD 150.000.5
  • In 2018 waren er tijdens de Olympische Winterspelen in Pyeongchang veel aanvallen. Russische hackers voerden aanvallen uit op Olympische netwerken voorafgaand aan de openingsceremonie.6

Het bedreigingsopsporingsteam werkte volgens een uitgebreide beveiligingsstrategie om apparaten en netwerken van klanten te inspecteren en te beschermen. Een ander aandachtspunt was het bewaken van het gedrag van identiteiten, aanmeldingen en bestandstoegang. Hieronder vielen verschillende sectoren, waaronder klanten die betrokken zijn bij transport, telecommunicatie, Gezond­heids­zorg en andere essentiële functies.

In totaal betrof het aantal entiteiten en systemen dat vierentwintig jaar lang werd bewaakt met ondersteuning voor het opsporen en reageren op bedreigingen door mensen, meer dan 100.000 eindpunten, 144.000 identiteiten, meer dan 14,6 miljoen e-mailstromen, meer dan 634,6 miljoen authenticaties en miljarden netwerkverbindingen.

Zo werden sommige zorginstellingen aangewezen als spoedeisende hulp voor het evenement, waaronder ziekenhuizen die kritische ondersteuning en gezondheidsdiensten bieden aan fans en spelers. Omdat zorginstellingen medische gegevens bezitten, waren dit hoogwaardige doelwitten. De machine- en mensgestuurde bedreigingsopsporingsactiviteiten van Microsoft maakten gebruik van informatie over bedreigingen om signalen te scannen, geïnfecteerde middelen te isoleren en aanvallen op deze netwerken te verstoren. Met een combinatie van Microsoft Beveiligingstechnologie detecteerde en plaatste het team pre-ransomware-activiteiten die gericht waren op het Gezond­heids­zorgnetwerk in quarantaine. Meerdere mislukte aanmeldingspogingen werden gelogd en verdere activiteiten werden geblokkeerd.

Door de dringende aard van Gezond­heids­zorgdiensten moeten apparaten en systemen topprestaties kunnen blijven leveren. Ziekenhuizen en zorginstellingen hebben de moeilijke taak om een balans te vinden tussen de beschikbaarheid van diensten en het handhaven van een gezonde cyberbeveiligingspositie. Een succesvolle aanval op de korte termijn zou medische faciliteiten kunnen hebben stilgelegd op het gebied van gegevens en IT, waardoor medische zorgverleners gedwongen worden om met pen en papier patiëntengegevens bij te werken en hun vermogen om levensreddende medische zorg te verlenen in een noodsituatie of massale triage wordt verminderd. Op de lange termijn had kwaadaardige code die was geplant om zichtbaarheid te geven aan een netwerk, gebruikt kunnen worden voor een uitgebreider ransomware-evenement gericht op verdere verstoring. Een dergelijke zaak had de deur open kunnen zetten voor gegevensdiefstal en afpersing.

Omdat grote wereldwijde evenementen aantrekkelijke doelwitten blijven voor bedreigingsactoren, zijn er een verscheidenheid aan motivaties van natiestaten die bereid lijken om nevenschade van aanvallen op te vangen als dat bredere geopolitieke belangen dient. Bovendien zullen cybercriminele groepen die gebruik willen maken van de enorme financiële mogelijkheden die bestaan in sport- en evenementgerelateerde IT-omgevingen, deze als gewilde doelwitten blijven zien.

Aanbevelingen

  • Versterk het SOC-team: Zorg ervoor dat er 24 uur per dag iemand extra is om het evenement in de gaten te houden om proactief bedreigingen te detecteren en meldingen te versturen. Dit helpt om meer gegevens te correleren tijdens de opsporing en om vroege tekenen van inbraak te ontdekken. Het moet ook bedreigingen omvatten die verder gaan dan alleen eindpunten, zoals inbreuk op de identiteit of pivot van apparaat naar cloud.
  • Voer een gerichte cyberrisico-evaluatie uit: Identificeer potentiële bedreigingen specifiek voor het evenement, de locatie of het land waar het evenement plaatsvindt. Bij deze evaluatie moeten leveranciers, IT-professionals van het team en de locatie, sponsors en de belangrijkste belanghebbenden van het evenement worden betrokken.
  • Beschouw toegang met zo min mogelijk privileges als een best practice: Verleen alleen toegang tot systemen en diensten aan degenen die het nodig hebben en train personeel zodat ze toegangslagen goed begrijpen.

Uitgebreide kwetsbaarheid voor aanvallen vereist extra planning en toezicht

Tijdens evenementen zoals de World Cup™, de Olympische Spelen en sportevenementen in het algemeen doen bekende cyberrisico's zich op unieke manieren voor, vaak minder zichtbaar dan in andere bedrijfsomgevingen. Deze evenementen kunnen snel plaatsvinden, waarbij nieuwe partners en leveranciers voor een bepaalde periode toegang krijgen tot bedrijfsnetwerken en gedeelde netwerken. Het tijdelijke karakter van de connectiviteit bij sommige evenementen kan het moeilijk maken om zichtbaarheid en controle te houden over apparaten en gegevensstromen. Het geeft ook een vals gevoel van veiligheid dat "tijdelijke" verbindingen minder risico met zich mee brengen.

Evenementensystemen kunnen bestaan uit de website en sociale media van het team of de locatie, registratie- of ticketplatforms, tijd- en scoresystemen voor wedstrijden, logistiek, beheer van medische zorg en het volgen van patiënten, het volgen van incidenten, systemen voor massa-meldingen en elektronische bewegwijzering.

Sportorganisaties, sponsors, hosts en locaties moeten samenwerken aan deze systemen en slimme cyber-ervaringen voor fans ontwikkelen. Bovendien vergroot de enorme toestroom van bezoekers en medewerkers die gegevens en informatie via hun eigen apparaten meenemen, de kwetsbaarheid voor aanvallen.

Vier cyberrisico's voor grote evenementen

  • Schakel onnodige poorten uit en zorg ervoor dat het netwerk goed wordt gescand op rogue of ad hoc draadloze toegangspunten. Update en patch software en kies voor toepassingen met een versleutelingslaag voor alle gegevens.
  • Moedig deelnemers aan om (1) hun apps en apparaten te beveiligen met de nieuwste updates en patches, (2) geen gevoelige informatie te openen via openbare Wi-Fi, (3) links, bijlagen en QR-codes van onofficiële bronnen te vermijden.
  • Zorg ervoor dat POS-apparaten gepatcht en bijgewerkt zijn en verbonden zijn met een apart netwerk. Bezoekers moeten ook oppassen voor onbekende kiosken en geldautomaten en transacties beperken tot gebieden die officieel zijn goedgekeurd door de organisator van het evenement
  • Ontwikkel logische netwerksegmentaties om onderscheid te maken tussen IT- en OT-systemen en beperk de wederzijdse toegang tot apparaten en gegevens om de gevolgen van een cyberaanval te beperken.

Door beveiligingsteams van tevoren te voorzien van de informatie die ze nodig hebben, inclusief cruciale services die tijdens het evenement operationeel moeten blijven, worden responsplannen beter ondersteund. Dit is essentieel in IT- en OT-omgevingen die de infrastructuur van locaties ondersteunen en om de fysieke veiligheid van bezoekers te garanderen. In het meest ideale geval zouden organisaties en beveiligingsteams hun systemen voorafgaand aan het evenement kunnen configureren om het testen af te ronden, een momentopname van het systeem en de apparaten te maken en ze direct beschikbaar te stellen aan IT-teams zodat ze snel opnieuw inzetbaar zijn wanneer dat nodig is. Hiermee wordt voorkomen dat aanvallers voordeel halen uit slecht geconfigureerde ad-hoc netwerken in de zeer aantrekkelijke, doelwitrijke omgevingen van grote sportevenementen.

Daarnaast zou iemand rekening moeten houden met privacyrisico's en of configuraties nieuwe risico's of kwetsbaarheden toevoegen voor de persoonlijke gegevens van de deelnemers of de eigendomsgegevens van de teams. Deze persoon kan eenvoudige slimme cyberpraktijken voor fans implementeren en ze bijvoorbeeld leren om alleen QR-codes met een officieel logo te scannen, om zich kritisch op te stellen tegenover sms'jes waar ze zich niet voor hebben opgegeven en om het gebruik van gratis openbaar Wi-Fi te vermijden.

Deze en andere beleidsmaatregelen kunnen het publiek helpen een beter inzicht te krijgen in het cyberrisico bij met name grote evenementen en in hoeverre ze worden blootgesteld aan gegevensverzameling en -diefstal. Als fans en bezoekers op de hoogte zijn van veilige praktijken, kunnen ze voorkomen dat ze het slachtoffer worden van social engineering-aanvallen, die cybercriminelen kunnen uitvoeren nadat ze toegang hebben gekregen tot geëxploiteerde netwerken van locaties en evenementen.

Naast de onderstaande aanbevelingen biedt het National Center for Spectator Sports Safety and Security deze overwegingen voor verbonden apparaten en geïntegreerde beveiliging voor grote locaties.

Aanbevelingen

  • Prioriteit geven aan de implementatie van een uitgebreid en meerlagig security framework: Dit omvat het inzetten van firewalls, inbraakdetectie- en preventiesystemen en sterke versleutelingsprotocollen om het netwerk te beschermen tegen ongeautoriseerde toegang en inbreuken op gegevens.
  • Bewustwordings- en trainingsprogramma's voor gebruikers: Werknemers en belanghebbenden voorlichten over best practices op het gebied van cyberbeveiliging, zoals het herkennen van phishing e-mails, het gebruik van meervoudige verificatie of wachtwoordloze beveiliging, en het vermijden van verdachte koppelingen of downloads.
  • Samenwerken met gerenommeerde cyberbeveiligingsbedrijven: Monitor continu het netwerkverkeer, detecteer potentiële bedreigingen in realtime en reageer snel op beveiligingsincidenten. Voer regelmatig beveiligingsaudits en kwetsbaarheidsbeoordelingen uit om zwakke plekken in de netwerkinfrastructuur te identificeren en corrigeren.

Meer inzichten over veelvoorkomende beveiligingsuitdagingen krijg je van Principal Group Manager Justin Turner, Microsoft Security Research.

Momentopnamegegevens geven het totale aantal entiteiten en gebeurtenissen weer die vierentwintig uur per week zijn gemonitord tussen 10 november en 20 december 2022. Hieronder vallen organisaties die direct betrokken zijn bij of gelieerd zijn aan de infrastructuur van toernooien. Activiteiten omvatten door mensen geleide proactieve opsporingen van bedreigingen om deze te identificeren en belangrijke campagnes te volgen.

Belangrijkste inzichten:
 

45 beschermde organisaties                                 100.000 beschermde eindpunten

 

144.000 beschermde identiteiten                               14,6 miljoen e-mailstromen

 

634,6 miljoen verificatiepogingen                4,35 miljard netwerkverbindingen

Methodologie: Voor momentopnamegegevens leverden platforms en services van Microsoft, waaronder Microsoft uitgebreide detectie en reactie, Microsoft Defender, Defender-experts voor opsporing en Azure Active Directory, anoniem gemaakte gegevens over bedreigingsactiviteiten, zoals schadelijke e-mailaccounts, phishing e-mails en bewegingen van aanvallers binnen netwerken. Bijkomende inzichten zijn afkomstig uit de 65 biljoen beveiligingsgegevens die Microsoft dagelijks verzamelt, onder andere uit de cloud, eindpunten, de intelligente rand en onze Compromise Security Recovery Practice en Detection and Response Teams. De omslag toont geen echte voetbalwedstrijd, toernooi of individuele sport. Alle sportorganisaties waarnaar wordt verwezen zijn handelsmerken in individueel bezit.

Verwante artikelen

Deskundig advies over de drie grootste uitdagingen op het gebied van cyberbeveiliging

Principal Group Manager Justin Turner van Microsoft Security Research beschrijft de drie blijvende uitdagingen die hij tijdens zijn carrière in cyberbeveiliging heeft gezien: configuratiebeheer, patching en zichtbaarheid van apparaten.
Meer informatie

61% toename van phishing-aanvallen. Ken je moderne kwetsbaarheid voor aanvallen

Organisaties moeten een uitgebreid beveiligingsbeleid ontwikkelen om de steeds complexere kwetsbaarheid voor aanvallen het hoofd te kunnen bieden. Met zes cruciale kwetsbaarheden voor aanvallen laat dit rapport zien hoe de juiste informatie over bedreigingen kan helpen om de bescherming hiertegen te optimaliseren.
Meer informatie

De convergentie van IT en OT

Het toenemende IoT brengt OT in gevaar, met een scala aan potentiële kwetsbaarheden en blootstelling aan bedreigingsactoren. Ontdek hoe je je organisatie kunt beschermen.
Meer informatie

Microsoft volgen