Organisaties zijn ‘cybermoe

Redactie WINMAG Pro
De GGD, Facebook, Allekabels.nl: de datalekken van grote hoeveelheden persoonlijke- en bedrijfsgegevens vliegen ons om de oren. Iedere dag is er weer nieuws over grootschalige cyberaanvallen, ransomware, datadiefstal en spionage. De overweldigende hoeveelheid meldingen en nieuwsberichten is om moedeloos van te worden. Toch nemen de investeringen bij organisaties - ondanks al deze alarmerende nieuwsberichten - in cybersecurity niet toe. Zijn bedrijven ‘cybermoe’ geworden?

Openheid als beste verdediging


De oplossing, cyberveiligheid, begint bij erkenning en besef. Een lastige stap, aangezien veel
organisaties het zoveel mogelijk stil houden wanneer ze met een dreiging te maken krijgen. Vaak
uit schaamte of angst voor reputatieschade. Terwijl deze schaamte nergens voor nodig is, ook
bedrijven die wel hebben geïnvesteerd in beveiliging kunnen gehackt worden. Het moet dus
anders. We kunnen daarin een voorbeeld nemen aan de Universiteit Maastricht. De universiteit gaf
openheid van zaken nadat ze gehackt waren, zodat andere organisaties van hun ervaring kunnen
leren.
Ook denkt twee derde van de Nederlandse bedrijven nog altijd dat zij geen slachtoffer worden van
een aanval (bron: onderzoeksrapport MWM2 en ABN Amro, 2021). Heel veel ondernemers denken
dat zij niet zo belangrijk en interessant zijn voor hackers en maken zich daarom niet veel zorgen
over hun digitale veiligheid. Dat is onterecht. Hackers zoeken geen specifieke bedrijven uit, maar
ze kijken eerst naar de mogelijkheden om binnen te komen. Pas als dat blijkt te kunnen, en dat kan
echt bij ieder bedrijf, kijken ze wat er te halen valt. Inbrekers kijken immers niet naar wat jij in huis
hebt staan voor ze inbreken, maar naar hoe gemakkelijk ze binnen kunnen komen. Eenmaal
binnen, kijken ze wat waardevol is.


Kaas-hack

Door de coronacrisis zijn we het afgelopen jaar allemaal meer thuis geweest. Hierdoor zijn de
inbraakcijfers omlaaggegaan, maar die van cybercriminaliteit niet. Die zijn explosief gestegen,
mede door de overgang naar het thuiswerken. Bedrijven moeten niet onderschatten wat voor
gevolgen het heeft om gehackt te worden. Onlangs werd een transportbedrijf gehackt, dat
betekende dat ze niet alleen geld moesten betalen aan de hackers (en dat ze geen idee hadden
hoeveel gestolen data ze terug zouden krijgen), maar ook dat de werkzaamheden dagenlang
stillagen. De vrachtwagens konden de weg niet op, want niemand wist welke producten waar
naartoe vervoerd moesten worden. Hiermee werd niet alleen het transportbedrijf de dupe van de
hack, maar ook de consument, want de kaasschappen bleven leeg.


Securityvermoeidheid


Bedreigingen van binnenuit vormen ook nog steeds een enorme uitdaging bij organisaties.
Menselijke fouten zijn vaak de oorzaak van een datalek. Een slechte dag kan dramatische
gevolgen hebben voor een bedrijf. Medewerkers hebben er meestal een hekel aan als ze worden
verplicht om hun wachtwoord regelmatig te veranderen. Ze kiezen, als ze voor de zoveelste keer
hun wachtwoord moeten aanpassen, bijvoorbeeld voor een woord dat ze een jaar terug ook al
eens hadden gebruikt. Dat zit nog een beetje in het geheugen en is daardoor beter te onthouden.
Vergeten wordt wel, dat hackers mogelijk een oude lijst met wachtwoorden hebben gestolen en
deze nogmaals proberen om binnen te komen.
Roger Sels, Vice President bij BlackBerry, zegt dat de oorzaak van deze houding mogelijk ligt bij
securityvermoeidheid die wordt veroorzaakt door het veelvuldig informeren over securityregels en
tegelijkertijd weinig technische ondersteuning. “Werknemers worden overspoeld met
securityberichten door zowel hun eigen organisatie als de media. Waarschuwingen en extra
procedures hebben overduidelijk niet het gewenste effect. Als werknemers op de hoogte zijn van
de risico’s, maar er desondanks niets mee doen, is het geen oplossing om nog meer trainingen

aan te bieden. Een goed alternatief is het introduceren van technologie die werknemers de
ondersteuning en bescherming biedt die ze nodig hebben om hun werk te kunnen doen.”


Cybercrime houdt ondernemers wakker


In de beveiligingswereld wordt soms wrang gezegd dat er eerst een groot ongeluk voor nodig is
om door te laten dringen dat goede beveiliging nodig is. Stel je voor dat je als bedrijf iedere dag te
maken hebt met tientallen nieuwe incidenten, terwijl het missen van één incident al voldoende is
om geïnfecteerd te raken. Daarom moet er meer aandacht komen voor preventie, en de focus
moet niet liggen op detectie.
Iedereen wist bijvoorbeeld vóór de COVID-pandemie al dat het hygiënisch is om regelmatig je
handen te wassen. Niemand was immuun tegen het coronavirus. Net als dat geen enkel bedrijf,
groot of klein, immuun is tegen cyberaanvallen. Het verbeteren van de bescherming tegen
cyberaanvallen is een topprioriteit en bedrijven moeten hier ook meer eigen verantwoordelijkheid
voor nemen. Hackers raken niet vermoeid, dus is het noodzakelijk dat bedrijven voortdurend alert
blijven. Tijd om wakker te worden.

afbeelding van Redactie WINMAG Pro

RedactieWINMAG Pro | Redacteur

Bekijk alle artikelen vanRedactie