Elke 14 seconden krijgt ergens ter wereld een bedrijf te maken met een cyberincident. De ernst varieert van een kleine incidentele openbaarmaking van gevoelige informatie, tot een ernstige diefstal van gegevens en andere waardevolle activa. Het is slechts een kwestie van tijd voordat ook jouw organisatie met een cyberincident te maken krijgt. Ben je daarop voorbereid? Of beter nog: hoe zorg je ervoor dat het niet zover komt?
Wat cyberincidenten zo verraderlijk maakt, is de snelheid waar het mee kan gebeuren. Soms kost het een hacker maar enkele minuten tot uren om in te breken, of kan iemand juist maandenlang ongemerkt en vrijuit zijn gang gaan binnen een netwerk. De gevolgen zijn meestal groot. De impact kan weken of maanden tot zelfs jarenlang gevolgen hebben. Niet alleen voor de organisatie zelf, maar ook voor klanten en leveranciers. Historisch gezien hebben zulke incidenten een negatief effect op merken en reputaties.
Het is echt belangrijk dat je voldoende maatregelen treft. Helaas neemt men in Nederland vaak pas maatregelen zodra het kalf al verdronken is. Men wapent zich op voorhand onvoldoende tegen aanvallen en bedreigingen van buitenaf. Na een aanval moeten er dan ineens wel allerlei security maatregelen worden getroffen. Tot op dat moment is het vaak een sluitpost op de begroting.
[bctt tweet=”Het is slechts een kwestie van tijd voordat je organisatie met een cyberincident te maken krijgt. Hoe ga je daar als management mee om en hoe voorkom je het?” username=”Grouve”]
De persoon of organisatie achter de dreiging
Bron: Unsplash
Er bestaat een piramide van verschillende soorten individuen of organisaties die een bedreiging kunnen vormen. De onderste laag van deze piramide bestaat uit primitieve aanvallen, uitgevoerd door zogenaamde ‘Scriptkiddies’. Zij vinden het leuk om een aanval uit te voeren, omdat ze het kunnen of erover op willen scheppen. Toch kunnen scriptkiddies veel merkschade veroorzaken of een risico vormen op verlies of lekken van klantgegevens.
De volgende twee lagen bestaat uit criminele personen of organisaties die uit zijn op winst, vooral door een vorm van chantage (ransomware). Een typische aanval legt een IT-systeem plat, waarna de crimineel ‘losgeld’ wil ontvangen, waarna het systeem of netwerk weer wordt vrijgegeven. Ook het stelen van creditcard- en/of klantgegevens of andere gevoelige gegevens met enige marktwaarde is mogelijk en levert bij verkoop op het dark web veel geld op.
Bron: Unsplash
Ransomware groot risico
In mijn ervaring vormt ransomware op dit moment voor organisaties de grootste bedreiging. De mensen daarachter hebben vaak veel geduld. Ze wachten tot alle back-ups ook geïnfecteerd zijn. Op dat moment worden ze actief en versleutelen ze je hele systeem. Als middelgroot bedrijf ben je dan al snel een paar ton kwijt om de controle over je systeem weer terug te krijgen. Dat is gewoon een vorm van chantage. Dit soort bedragen worden echt betaald, vaak in Bitcoins. Je komt nergens meer bij en je hele bedrijf ligt plat, totdat je betaalt. Betaal je niet? Dan ben je al je gegevens kwijt. Veel bedrijven moeten wel betalen. Zorg daarom dat je alles echt goed beveiligd hebt, want anders ben je echt aan de beurt en kost het je uiteindelijk nog vele malen meer.”
Aan de top van de piramide staan degenen die blijvende en aanzienlijke schade toebrengen. Ze hacken niet alleen om te verstoren of winst te maken, maar om heimelijk inlichtingen te zoeken over activa en infrastructuren die later gebruikt kunnen worden voor fysieke aanvallen of openbaring van gegevens.
Ben je een potentieel doelwit?
Je bent als organisatie voor hackers al snel een potentieel doelwit. Beschik je over interessante of waardevolle gegevens, zoals klantinformatie, persoonlijke gezondheidsinformatie, creditcardgegevens of bankgerelateerde informatie? Dan loop je veel risico. Historisch gezien richten criminelen zich vooral op retailorganisaties om creditcardinformatie van klanten of andere persoonlijke gegevens buit te maken, maar tegenwoordig zijn dreigingen sectoroverschrijdend. Als gevolg hiervan moet elke organisatie rekening houden met een aanval en zich voorbereiden op een inbreuk.
Over het algemeen zie ik desondanks dat veel bedrijven denken dat het ze niet zal overkomen. Een hack? Dat gebeurt toch alleen maar bij de buurman? Bedrijven willen er geen geld aan besteden. Ik denk dat menigeen de digitale beveiliging privé nog beter voor elkaar heeft dan sommige bedrijven. Ik vind dat heel bijzonder.
Bron: Unsplash
Wat motiveert aanvallers eigenlijk?
Er bestaan vier hoofdmotieven voor cybercriminaliteit en eigenlijk ook crimineel gedrag in het algemeen:
- Geld
- Ideologie
- Bedreiging
- Ego
Zo bereid je je voor op een cyberaanval
Elke organisatie zal ooit te maken krijgen met cybercriminaliteit, bewust of onbewust. Dat durf ik wel te stellen. Als organisatie kun je je daarop goed voorbereiden:
- Zorg voor een een actuele lijst en kritische beoordeling van de belangrijkste gegevens.
- Bekijk vanuit het perspectief van de aanvaller welke gegevens waardevol zijn of andere belangen deze kan hebben.
- Houd voortdurend in de gaten welke bedreigingen er zijn en monitor deze actief.
- Breng de risico’s duidelijk in kaart, bepaal de mogelijke impact en weet wat te doen als het toch fout gaat.
- Bepaal de strategische waarde en de organisatorische en juridische impact van inbreuk of diefstal van data.
- Zorg voor een actuele lijst met gegevens van interne en externe contacten (zoals verkopers, leveranciers, wetshandhaving).
- Wie informeer je binnen (en buiten) de organisatie als het toch fout is gegaan?
[bctt tweet=”Elke organisatie zal ooit te maken krijgen met cybercriminaliteit, bewust of onbewust. Dat durf ik wel te stellen. Als organisatie kun je je daarop goed voorbereiden.” username=”Grouve”]
Wat moet een leiderschapsteam doen op het moment dat een cyberbreuk is ontdekt? Beantwoord de volgende vragen:
Is het een gebeurtenis of een incident?
Het verschil tussen een gebeurtenis of een incident lijkt misschien klein, maar is wel belangrijk. Een evenement is een onderbreking: zoals een crash, een systeemfout of zelfs een gebruiker die zijn wachtwoord verliest of vergeet. Evenementen komen vaak voor en afgezien van ongemak, zijn ze meestal onbelangrijk. Een incident is een tastbare aantasting van de organisatie.
Hoe ernstig is het incident?
Incidenten variëren in ernst van ongeautoriseerde netwerktoegang zonder gegevensverlies tot enorme gegevensdiefstal.
Conclusie
De dreigingen veranderen continu en het risico op een cyberaanval neemt exponentieel toe. Dit vereist waakzaamheid en een begrip van deze altijd veranderende dreigingen. Doet zich een incident voor? Betrek dan ook het management, waarna zij op organisatorisch niveau maatregelen kunnen nemen. Leg deze acties vast in een draaiboek en maak vooraf een risicoanalyse.
Het is erg belangrijk om je zaken op voorhand goed te regelen. Maar voorkomen is hier absoluut beter dan genezen. Zorg daarom dat je steeds de nieuwste apparatuur en software hebt, ook al is dat een kostbaar verhaal. Denk goed na over hoe je je organisatie maximaal beveiligt.
Om de risico’s te verkleinen raad ik altijd meerdere firewalls als ‘line of defence’ aan. Zet er twee achter elkaar, dat is vaak al een zeer goede beveiliging. Maak ook een uitgebreide risicoanalyse met een risicoprofiel en leg beheersmaatregelen duidelijk vast. Als er dan toch wat gebeurt, dan weet je hoe je er als organisatie en management mee om moet gaan. Je hebt dan een stappenplan en weet wat de impact van een bepaalde inbreuk is.
[bctt tweet=”Om de risico’s te verkleinen raad ik altijd meerdere firewalls als ‘line of defence’ aan. Zet er twee achter elkaar, dat is vaak al een zeer goede beveiliging.” username=”Grouve”]
Wellicht ook interessant voor je:
Innovatie is meer dan een goed idee: Het is de adem van onze cultuur
Door: Gerard Grouve Stel je eens voor: een werkplek waar elk idee telt. Waar "falen" niet het einde is, maar een stap dichterbij succes. Waar de ruimte om te experimenteren en risico's te nemen niet alleen wordt toegestaan, maar actief wordt aangemoedigd. Dit is geen...
Vier de Successen met je Team: Waarom Erkenning en Waardering van Cruciaal Belang Zijn
Door: Gerard Grouve In onze steeds digitaler wordende professionele wereld is het belangrijker dan ooit om de prestaties van je team op een betekenisvolle manier te vieren. Of het nu gaat om grote zakelijke deals of kleinere, dagelijkse overwinningen, het erkennen van...
Leiderschap is meer dan een titel: De onzichtbare kracht van leiderschapscultuur
Door: Gerard Grouve Leiderschap is veel meer dan een titel of een positie. Het gaat om de cultuur die je creëert binnen je organisatie, een cultuur die zowel zichtbaar als onzichtbaar is. Terwijl veel mensen leiderschap associëren met duidelijke gezagsstructuren,...