Wat zou jij, als je onzichtbaar was, allemaal kunnen opzoeken, stukmaken, veranderen, meenemen op jouw werk? Gelukkig zijn er, zover ik weet, geen onzichtbare mensen. Toch worden we zakelijk en privé dagelijks diverse keren ’onzichtbaar’ benadert door mensen die we niet zien. Zij proberen niet fysiek in te breken maar digitaal: de zo genoemde cybercriminelen. De vraag is niet of het ook jouw organisatie treft maar wanneer.
Ben je overtuigd dat jij deze kwaadwillende mensen altijd voor bent, jij niets anders hebt opgeslagen dan waardeloze gegevens of genoeg geld over hebt om losgeld te betalen dan is deze dit artikel niets voor jou.
Indien je er alles aan wil doen je te wapenen tegen cybercriminaliteit, je niet zeker bent of je alles op orde hebt hiervoor dan zou ik wel verder lezen. We bespreken de onderstaande punten en gaan er daarna dieper op in.
Wat moet je verplicht beschermen en wat wil je graag beschermen.
Er zijn bedrijfsgegevens en -processen die je wil beschermen in verband met de bedrijfscontinuïteit, om reputatieschade te voorkomen en om nog meer voor de hand liggende redenen. De overheid verplicht je ook, bijvoorbeeld met de AVG en GDPR, te zorgen voor een adequate beveiliging anders liggen zelfs ook boetes op de loer. Je moet ten alle tijde kunnen aantonen dat je voor deze zaken maatregelen voor hebt genomen. Weet jij wat jouw belangrijkste informatie is binnen het bedrijf? Zijn deze goed beschermd? Heb je voldoende maatregelen genomen of wil/moet je misschien meer doen?
Feiten: voor het geval je nog steeds denkt´Dat zal zo’n vaart toch niet lopen!´.
Kijkende naar de cijfers is de kans dat je bedrijf wordt getroffen door een inbraak 1 op 250, een brand 1 op 8000 en een cyberaanval (phising, malware, ransomware etc.) 1 op 9. Op dit moment is de gemiddelde financiële impact van een cyberaanval 300.000 euro per geval en met deze kosten worden alleen de directe kosten bedoeld. 91% van alle attacks beginnen als gevolg van ´menselijk falen´ bijv. door het openen van een phishing mail. Is jouw beveiligingsbeleid hierop afgestemd? Nog steeds van gedachte dat dit alleen andere ondernemers overkomt?
Waarom alleen preventieve maatregelen niet voldoende zijn.
Vertrouwen is goed controle is beter. Terwijl jij vertrouwt op preventieve maatregelen, controleert de cybercrimineel keer op keer of dat deze werken. Blijkt dit niet het geval dan is het ´kassa´ voor de cybercrimineel. Zij zoeken keer op keer naar zwakke plekken in jouw (beveiligings-) systeem. Zorg voor detectie middelen, zodat je zelf continue de maatregelen kunt controleren. Door wie en hoe wordt er binnen jouw organisatie gecontroleerd of de gekozen maatregelen voldoen?
Hoe kom je erachter waar een zwakke plek zit in de beveiliging?
Er moet een beleid zijn ten aanzien van beveiliging in het algemeen. Anders valt er niks te testen, te evalueren en aan te passen. Met andere woorden als jij niet zorgt voor een beveiligingsstrategie dan is een zwakke plek zo gevonden door een cybercrimineel. Laat jij de cybercrimineel jouw zwakke plekken bloot leggen of doe je het zelf?
Wat is de beste oplossing in de strijd tegen cybercriminaliteit?
De start van de oplossing begint met jezelf bewust zijn van het feit dat cybercriminaliteit niet overgaat maar alleen toeneemt. Dat je er mee aan de slag moet en wil omdat je wel degelijk ziet dat er wat te beschermen valt. Er zijn oplossingen en je hoeft het ook niet allemaal zelf uit te vinden. Er zijn experts zoals Elaborate.
Je hebt wel iets te verbergen en te beschermen!
Burgerservicenummers, identiteitsnummers, wachtwoorden, creditcards, kaartnummers, rijbewijsnummers, btw-nummers, polisnummers, foto’s, video’s, bedrijfsinformatie (SLA’s, prijzen, werkwijzen, contracten, etc), correspondentie, medische dossiers, interesses, koopgedrag, surf gedrag, klant-informatie, en zo kunnen we nog wel even doorgaan. Deze informatie moet je beschermen. Informatiebeveiliging heeft als uitgangspunt om dreigingen -de zaken die de informatievoorziening van je organisatie bedreigen – in kaart te brengen. Wat zijn de “kroonjuwelen”, wat moet je beschermen? Vervolgens bekijk je wat er mogelijk is om de risico’s te beperken en welk risico je kunt accepteren.
Strengere wetgeving en de steeds geavanceerdere cybercriminelen dwingen je om na te denken over maatregelen op organisatorisch en technische vlak.
Organisatorisch, denk daarbij aan het uitwerken en toepassen van een IT-beleid, functiescheidingen en benoemingen, richtlijnen, sancties als deze richtlijnen niet worden opgevolgd etc. Onder organisatorisch vallen ook de mensgerichte maatregelen voor de bewustwording ten aanzien van ‘veilig werken’. Dit kan door awareness trainingen, het inrichten van rechten, etc.
Technische maatregelen betreft firewalls, anti-spam en antivirus, etc. Geavanceerde versies van deze maatregelen kunnen meer detecteren en zijn in staat om mensen te waarschuwen of menselijk falen zelfs te compenseren (blokkeren, corrigeren).
Feit: in de praktijk is 65 tot 80% van de beveiligingsincidenten en datalekken te herleiden tot de medewerkers die (on)bewust cybercriminelen de ruimte geven de organisatie in te komen.
Nog meer feiten.
Niet om je bang te maken maar om je bewust te maken van het feit dat cybercriminaliteit er is, niet weg gaat, en altijd in ontwikkeling zal blijven zolang het veel geld oplevert. Cybercriminaliteit loont beter dan andere misdaad!
Tien miljard euro. Dat is de schade die alle mkb-bedrijven tezamen hebben ten gevolge van digitale criminaliteit. Vrijwel alle vitale processen en diensten zijn volledig afhankelijk van ict. Dit groeit alleen nog maar explosief. Denk daarbij ook aan het ´internet of things´ , steeds meer apparaten communiceren zelf standaard via internet en zijn verbonden met je ict omgeving.
30% van de gebruikers opent e-mailbijlagen van aanvallers en 10% klikt op hun koppelingen.
63% van de gekozen wachtwoorden zijn zwak, standaard of wordt gestolen.
58% van de gebruikers deelt per ongeluk informatie.
Criminelen zoeken naar bedrijven waar ze makkelijk binnen komen. Ze vinden je toevallig als je bijvoorbeeld een website of firewall hebt die niet geüpdatet is. Ze zoeken naar kwetsbaarheden en niet specifiek naar jouw bedrijf of dat van je buurman. Zo proberen het gewoon overal, keer op keer.
Vertrouwen is goed controle is beter.
Sterker nog controle is noodzakelijk. Als we kijken naar traditionele manieren van beveiligen dan komen we uit bij bijvoorbeeld inbraak. We zijn gewend om preventieve maatregelen te nemen om dit te voorkomen, detectie hiervoor te regelen en mocht er zich toch een inbraak voordoen dan weet iedereen wat er moet gebeuren. Zo worden veel pogingen verijdelt en zal de inbreker het opgeven. Dit geldt ook voor een brand. We nemen preventieve maatregelen (trainen bijvoorbeeld personeel), laten apparatuur installeren om te regeren als er brand is of dreigt uit te breken (detectie) en we weten precies wat te doen bij een (mogelijke) brand of iets dergelijks (response). Uit onderzoek blijkt dat er bij bedrijven wel aandacht is voor de technische kant van preventieve maatregelen (preventie) maar aan detectie en response niet of nauwelijks als het gaat om cyberaanvallen. Er dient dus een detectiemaatregel te worden geïmplementeerd waardoor inzicht wordt verschaft in het huidige netwerkverkeer waarbij men geïnformeerd en gealarmeerd wordt als er afwijkingen worden geconstateerd. Mocht er dan bijvoorbeeld een (ernstige) besmetting worden geconstateerd, dan kan men door snel te handelen of zelf of een externe partij het probleem laten verhelpen. Je moet weten hoe je moet reageren (response) als jouw systeem lijkt te falen of moet worden aangepast.
Wij maken zichtbaar wat nu nog ´onzichtbaar´ is!
Samen met jullie ict verantwoordelijke en beleidsbepalers realiseren we een pakket maatregelen die ervoor zorgen dat dreigingen tot een acceptabel minimum worden beperkt op het gebied van informatiebeveiliging en cybercriminaliteit.
Geef een reactie