Volgens een recent rapport van accountantskantoor Deloitte zijn vooral banken, nutsvoorzieningen, technologische bedrijven en de publieke sector kwetsbaar voor hacking. Want hoewel beveiliging door de bank genomen beter wordt, ontwikkelen cybercriminelen steeds verfijndere aanvalstactieken.
Het liefst richten ze zich op het ‘laaghangend fruit’, zoals kleine bedrijven die weinig geld en expertise hebben om goede maatregelen te treffen. Ook is het voor het midden- en kleinbedrijf (mkb) naar verhouding twee keer zo duur om op hetzelfde beveiligingsniveau te komen als grote bedrijven.
MKB als risico
Riskant, zo stelt Deloitte, aangezien het mkb vaak levert aan grotere ondernemingen. Medio 2017 kon het virus Petya via boekhoudsoftware van een klein Oekraïens bedrijf doordringen tot de systemen van onder meer pakketbezorger TNT, medicijnfabrikant MSD en APM Terminals in Rotterdam. De bedrijven hadden meer dan een week nodig om hun systemen te herstellen en de schade liep in de honderden miljoenen.
Een maand eerder was het ook al raak toen ransomware Wannacry meer dan 230.000 computers van particulieren, bedrijven en zelfs ziekenhuizen lamlegde. De gijzelsoftware maakte gebruik van een bekend lek in Windows.
Zwakke schakel
Volgens security-onderzoeker Loran Kloeze zijn veel incidenten te voorkomen door preventie en het creëren van awareness. ‘Hoe clichématig ook, in de praktijk blijft de mens de zwakste schakel. Je kunt een mens niet programmeren en hij blijft onvoorspelbaar.’
Bovendien zijn er anno 2018 nog genoeg mensen gevoelig voor phishing-mails. ‘Vroeger doorzag je zo’n mail door de vele spelfouten of loze beloftes, maar tegenwoordig zijn ze nauwelijks van echt te onderscheiden.’
‘De kans is daarmee veel groter dat een gebruiker toch een malafide bijlage opent of op een link klikt, waarna zijn bestanden vergrendeld worden of inloggegevens worden gestolen. Bewustwording is essentieel om mensen in te laten zien hoe zij een zwakke schakel zijn, en een sterkere schakel kunnen worden.’
Kloeze werkte daarom mee aan Laat Je Niet Hack Maken, een initiatief van techjournalist Daniël Verlaan dat op een begrijpelijke manier laat zien hoe particulieren (en bedrijven) zich kunnen beschermen tegen hackers.
Reputatieschade
Kloeze ziet dat cybercriminelen vooral geïnteresseerd zijn in inloggegevens. ‘Want daarmee krijg je toegang tot bijvoorbeeld e-maildiensten, back-ends van websites, de financiële administratie en online portals om bijvoorbeeld salarisstroken en dossiers in te zien. Een crimineel die een boekhoudpakket kraakt, kan betaallijsten en bankrekeningnummers wijzigen en bedrijven onbedoeld geld laten overmaken.’
Hackers zijn volgens Kloeze meestal niet uit op reputatieschade, maar dat kan wel een vervelend neveneffect zijn. ‘Als gegevens van klanten worden gestolen, is de kans groot dat dit moeten worden gemeld bij de klanten en bij de Autoriteit Persoonsgegevens. En dat levert dan weer boze klanten op.’
Onder controle
Kunnen bedrijven die de basis op orde hebben, zoals antivirussoftware en een goed wachtwoordbeleid, achterover leunen? Absoluut niet, vindt Kloeze. ‘Wie controleert bijvoorbeeld of software up-to-date is en dat patches tijdig worden doorgevoerd?’ En dan niet alleen op de computers, maar ook op de smartphones waarmee werknemers bedrijfsdata inzien en bewerken. ‘En wie zorgt ervoor dat mensen die ergens niet meer werken, ook geen toegang meer hebben tot bedrijfsgegevens?’
‘Heb je dat állemaal onder controle, dan zijn er nog steeds kwetsbaarheden die niet bekend zijn bij de fabrikant en wel misbruikt kunnen worden. Daar kun je, afhankelijk van de kwetsbaarheid, weinig aan doen.’
Dat klinkt weinig hoopgevend, maar volgens de security-onderzoeker kun je genoeg stappen nemen om je bedrijf minder aantrekkelijk voor hackers te maken. ‘In veel gevallen ben je dat zelfs verplicht. Helaas zijn er nog steeds bedrijven die niet weten dát ze moeten voldoen aan de verplichtingen die bijvoorbeeld voortvloeien uit de nieuwe Europese privacywetgeving.’
‘Mijn advies is om een consultant te zoeken die wordt aanbevolen door mensen uit je netwerk. Kijk met hem of haar wat voor data je hebt en verwerkt. Vervolgens kun je samen beoordelen of er maatregelen getroffen moeten worden. Belangrijk is dat de consultant de wet- en regelgeving kan plaatsen binnen het Nederlandse en Europese recht, zodat je niet te weinig of onnodige maatregelen neemt.’
Excuses maken
Kloeze vindt het belangrijk dat bedrijven niet een security-beleid opstellen vanwege scherpere wet- en regelgeving, maar omdat ze inzien dat het noodzakelijk is. ‘Als je beschikt over gegevens van andere personen, hoop ik oprecht dat je beseft dat security een hoge prioriteit moet hebben.’
‘Persoonlijk zou ik het veel erger vinden om als gegevensverwerker excuses te maken aan klanten van wie data op straat ligt, dan dat een toezichthouder of rechter achter me aankomt.’
Verantwoordelijkheid
Elk bedrijf heeft volgens de onderzoeker de plicht beveiligingsmaatregelen te nemen om lekken te voorkomen. ‘Beschik je over veel persoonsgegevens dan moet je uit (laten) zoeken hoe je algemene security in elkaar steekt.’
‘Diefstal van gegevens over je eigen bedrijf heeft voornamelijk gevolgen voor je bedrijf. Maar zo gauw je gegevens van medewerkers, klanten, leveranciers en andere relaties verwerkt, neem je automatisch de verantwoordelijkheid op je om goed te zorgen voor de gegevens van al die relaties. Dat vereist goede security.’
Niet gehackt worden
Voor bedrijven die vrezen slachtoffer van hacking te worden, heeft Kloeze nog een vijftal tips:
- Als iets te mooi is om waar te zijn, dan is het dat ook.
- Phishing-mails zijn helaas nog altijd erg effectief. Bel zelfs bij de kleinste twijfel de afzender op via een bekend telefoonnummer (dat niet in de mail staat) en vraag of hij/zij die mail ook echt heeft gestuurd.
- Laat eens een security-expert op kantoor langskomen voor een training, zodat ze kennis en vaardigheden opdoen om zich tegen cybercrime te wapenen.
- Zie digitale security niet als een IT-aangelegenheid maar als bedrijfsaangelegenheid en benader het ook op die manier.
- Stop geen usb-sticks, externe harde schijven of andere hardware in je computer zonder dat je het daadwerkelijk in handen hebt ontvangen van een betrouwbare afzender.
Dit artikel is onderdeel van het dossier ‘Mobile Security’ op mt.nl. Dit dossier wordt mede mogelijk gemaakt door Samsung.
Lees ook:
- Houd hier rekening mee bij het inrichten van flexwerken
- AVG voor dummies: 11 zaken die je moet weten
- Waarom elk bedrijf aan de slag moet met VPN
- Zo voorkom je datalekken en het verdwijnen van data