Organisaties zijn ‘cybermoe’
De GGD, Facebook, Allekabels.nl: de datalekken van grote hoeveelheden persoonlijke- en bedrijfsgegevens vliegen ons om de oren. Iedere dag is er weer nieuws over grootschalige cyberaanvallen, ransomware, datadiefstal en spionage. De overweldigende hoeveelheid meldingen en nieuwsberichten is om moedeloos van te worden. Toch nemen de investeringen bij organisaties - ondanks al deze alarmerende nieuwsberichten - in cyber security niet toe. Zijn bedrijven ‘cybermoe’ geworden?
Openheid als beste verdediging
De oplossing, cyberveiligheid, begint bij erkenning en besef. Een lastige stap, aangezien veel organisaties het zoveel mogelijk stil houden wanneer ze met een dreiging te maken krijgen. Vaak uit schaamte of angst voor reputatieschade. Terwijl deze schaamte nergens voor nodig is, ook bedrijven die wel hebben geïnvesteerd in beveiliging kunnen gehackt worden. Het moet dus anders. We kunnen daarin een voorbeeld nemen aan de Universiteit Maastricht. De universiteit gaf openheid van zaken nadat ze gehackt waren, zodat andere organisaties van hun ervaring kunnen leren.
Ook denkt twee derde van de Nederlandse bedrijven nog altijd dat zij geen slachtoffer worden van een aanval. Heel veel ondernemers denken dat zij niet zo belangrijk en interessant zijn voor hackers en maken zich daarom niet veel zorgen over hun digitale veiligheid. Dat is onterecht. Hackers zoeken geen specifieke bedrijven uit, maar ze kijken eerst naar de mogelijkheden om binnen te komen. Pas als dat blijkt te kunnen, en dat kan echt bij ieder bedrijf, kijken ze wat er te halen valt. Inbrekers kijken immers niet naar wat jij in huis hebt staan voor ze inbreken, maar naar hoe gemakkelijk ze binnen kunnen komen. Eenmaal binnen, kijken ze wat waardevol is.
Kaas-hack
Door de coronacrisis zijn we het afgelopen jaar allemaal meer thuis geweest. Hierdoor zijn de inbraakcijfers omlaaggegaan, maar die van cybercriminaliteit niet. Die zijn explosief gestegen, mede door de overgang naar het thuiswerken. Bedrijven moeten niet onderschatten wat voor gevolgen het heeft om gehackt te worden. Onlangs werd een transportbedrijf gehackt, dat betekende dat ze niet alleen geld moesten betalen aan de hackers (en dat ze geen idee hadden hoeveel gestolen data ze terug zouden krijgen), maar ook dat de werkzaamheden dagenlang stillagen. De vrachtwagens konden de weg niet op, want niemand wist welke producten waar naartoe vervoerd moesten worden. Hiermee werd niet alleen het transportbedrijf de dupe van de hack, maar ook de consument, want de kaas schappen bleven leeg.
Securityvermoeidheid
Bedreigingen van binnenuit vormen ook nog steeds een enorme uitdaging bij organisaties. Menselijke fouten zijn vaak de oorzaak van een datalek. Een slechte dag kan dramatische gevolgen hebben voor een bedrijf. Medewerkers hebben er meestal een hekel aan als ze worden verplicht om hun wachtwoord regelmatig te veranderen. Ze kiezen, als ze voor de zoveelste keer hun wachtwoord moeten aanpassen, bijvoorbeeld voor een woord dat ze een jaar terug ook al eens hadden gebruikt. Dat zit nog een beetje in het geheugen en is daardoor beter te onthouden. Vergeten wordt wel, dat hackers mogelijk een oude lijst met wachtwoorden hebben gestolen en deze nogmaals proberen om binnen te komen.
Roger Sels, Vice President bij BlackBerry, zegt dat de oorzaak van deze houding mogelijk ligt bij securityvermoeidheid die wordt veroorzaakt door het veelvuldig informeren over securityregels en tegelijkertijd weinig technische ondersteuning. “Werknemers worden overspoeld met securityberichten door zowel hun eigen organisatie als de media. Waarschuwingen en extra procedures hebben overduidelijk niet het gewenste effect. Als werknemers op de hoogte zijn van de risico’s, maar er desondanks niets mee doen, is het geen oplossing om nog meer trainingen aan te bieden. Een goed alternatief is het introduceren van technologie die werknemers de ondersteuning en bescherming biedt die ze nodig hebben om hun werk te kunnen doen.”
Cybercrime houdt ondernemers wakker
In de beveiligingswereld wordt soms wrang gezegd dat er eerst een groot ongeluk voor nodig is om door te laten dringen dat goede beveiliging nodig is. Stel je voor dat je als bedrijf iedere dag te maken hebt met tientallen nieuwe incidenten, terwijl het missen van één incident al voldoende is om geïnfecteerd te raken. Daarom moet er meer aandacht komen voor preventie, en de focus moet niet liggen op detectie.
Iedereen wist bijvoorbeeld voor de Covid-pandemie al dat het hygiënisch is om regelmatig je handen te wassen. Niemand was immuun tegen het coronavirus. Net als dat geen enkel bedrijf, groot of klein, immuun is tegen cyberaanvallen. Het verbeteren van de bescherming tegen cyberaanvallen is een topprioriteit en bedrijven moeten hier ook meer eigen verantwoordelijkheid voor nemen. Hackers raken niet vermoeid, dus is het noodzakelijk dat bedrijven voortdurend alert blijven. Tijd om wakker te worden!