Cybersecurity hard noodzakelijk
Met de digitalisering van de kantooromgeving kreeg de wereld te maken met een nieuwe vorm van misdaad: cybercrime,
het ongeoorloofd binnendringen in ICT van bedrijven, overheden, instellingen en particulieren. Cybersecurity, ofwel de beveiliging van de ICT-voorzieningen, is een hot item voor zowel ondernemingen als particulieren.
Regelmatig melden de media dat er weer een grotere organisatie is gehackt. Onlangs nog werd gewaarschuwd voor de stelselmatige popgingen van landen als China, de Sovjet Unie en Noord-Korea om in te breken in westerse computersystemen. Maar ook de huis-en-tuin hacker kan enorme schade aanrichten; informatie vergaren, gegevens en ideeën stelen, chantage plegen, je netwerk gebruiken voor het verspreiden van spam, het is soms kinderlijk eenvoudig. De aanvallen worden niet alleen uitgevoerd op de grote jongens, ook kleinere ondernemingen moeten op hun hoede zijn voor een digitale inbraak op hun systemen en netwerken. De inbraken bij de grote bedrijven halen de voorpagina’s van de kranten wel, maar met name kleinere bedrijven vormen een makkelijker prooi voor die hackers. Die vallen namelijk in de zogenoemde ‘sweet spot’ van die internetcriminelen: ze hebben vaak meer digitale waarde-elementen dan particulieren, maar minder beveiligingsmaatregelen dan een grotere organisatie.
VANGNET
MKB-bedrijven zijn ook aantrekkelijke doelen zijn, omdat hackers weten zij wat soepeler omgaan met beveiliging. Uit een recent onderzoek door het Amerikaanse Towergate Insurance bleek dat vorig jaar maar liefst 97 procent van de ondervraagde kleinere ondernemingen in hun groeistrategie geen grote prioriteit geven aan de beveiliging van hun online activiteiten. Zij bleken de risico’s ernstig te onderschatten: 82% van de MKB- eigenaars beweerden dat ze zich geen doelwit voelden voor een cyberaanval, omdat ‘er toch niet veel de moeite van het stelen waard was’. Uit een ander onderzoek door een andere verzekeringsmaatschappij kwam naar voren dat slechts 23% van de MKB’ers zich ‘ernstig zorgen maakt’ over cyberrisico’s en digitale inbraak. Het is waarschijnlijk wel zo dat hackers zich niet specifiek zullen richten op een bepaalde MKB-organisatie, maar ze maken vaak gebruik van een breed vangnet. Aanvallen worden gewoonlijk uitgevoerd middels software die over een heel breed gebied wordt uitgegooid. Een visser kan tonijnen in zijn net krijgen, maar ook spierinkjes, om die vergelijking maar even te maken. En wat die hacker met zo’n spierinkje doet, varieert. Hij kan het teruggooien, of verder misbruiken om met veel spierinkjes bijvoorbeeld een botnet te creëren. De website is dan een server die kan worden overgenomen voor het verbreiden van spam.
MKB BEVEILIGING
Een grotere organisatie met een ruimer budget kan snel en efficiënt handelen in geval van een digitale inbraak. Kleinere organisaties daarentegen hebben vaak het geld en de mankracht niet om zich adequaat voor te bereiden op een cyberaanval. Dat is geen excuus voor het negeren van die risico’s: als je nu nog niet bent aangevallen, zal dat ooit wél gebeuren. Tegenwoordig is er veel meer data online en zijn er ook veel meer hackers die proberen die data of systemen te kraken. Bovendien worden computers steeds sneller en hebben meer procescapaciteiten, dus kunnen hackers vergeleken met enkele jaren geleden exponentieel meer hack-aanvallen uitvoeren. Het is daarom ook makkelijker om wachtwoorden te kraken.
FOUTJE BEDANKT
Het is ook niet eenvoudig om je ICT goede te beschermen. Je kunt wel simpele dingen doen om het hackers moeilijker te maken. Houd er om te beginnen gewoon rekening mee dat het ook jouw bedrijf kan gebeuren. Volgens het Towergat Insurance onderzoek heeft 31% van de MKB- ondernemingen geen plan van actie om maatregelen te nemen tegen een cyberaanval. 22% zegt dat ze niet weten hoe ze zich kunnen wapenen tegen een aanval. De kans op een cyberaanval op elk formaat onderneming blijft groeien dankzij de ontwikkeling van de technologie en dus ook de hacking-technieken. Zonder een degelijk responsplan loop je dus een groot risico. Want de vraag is niet óf, maar wannéér zo’n aanval plaatsvindt. Ga er dus ook niet vanuit dat je bent beschermd. Er bestaan bij MKB-ondernemingen twee grote misvattingen over fraude-bescherming. De ene is dat je bank je verlies wel zal dekken als de zakenrekening wordt geplunderd door een hacker. De andere is dat je verzekering die schade dekt. Beide zijn dus fout: banken dekken alleen privérekeningen en verzekeringen dekken geen verliezen ontstaan door derde-partij service providers.
INSIDERS
Hou ‘insiders’ in de gaten. In een zakelijke omgeving verwacht je eigenlijk niet dat de medewerkers of zakenpartners je organisatie zullen benadelen. De realiteit is anders, fraude van binnenuit gebeurt echt en vaker dan je denkt. Volgens de Amerikaanse Association of Certified Fraud Examiners was insider fraude in 2014 verantwoordelijk voor een schadepost van in totaal $3,7 miljard wereldwijd. Insider fraude is heel moeilijk te herkennen, maar het goed in de gaten houden van het gedrag van je medewerkers – en dan gaat het om ongewone dingen, afwijkend van het normale gedragspatroon van die persoon – kan een aanwijzing zijn. Bijvoorbeeld als iemand vaker dan normaal informatie uit systemen oproept, regelmatig brede zoekopdrachten in toepassingen uitvoert, of toegang zoekt tot systemen en vervolgens de transactie op een ongewone manier afsluit.
Beveiliging is ook een kwestie van geld, maar het is altijd een zinvolle investering. De grootste fout die een organisatie kan maken is om zich niet te beveiligen. Voor elke moderne onderneming is een robuuste beveiligingsoplossing een absolute must-have, met name bedrijven die veel of al hun transacties online uitvoeren. Dit geldt zeker wanneer kleinere organisaties voor al hun zakelijke operaties hetzelfde systeem gebruiken. Als je point- of-sale systeem draait op dezelfde computer waarmee je de bedrijfs e-mail bijhoudt en een medewerker klikt op een foute link, of opent een foute bijlage op die computer, dan geeft die persoon daarmee een hacker toegang tot alle klanteninformatie. Er zijn gevallen bekend dat medewerkers de back office computer gebruikten als videogame console en een game hadden gedownload dat malware bevatte. Met de nodige rampzalige gevolgen. Veel kleinere ondernemingen voeren geen veiligheidsscans op hun netwerken, applicaties en databases uit en degene die dat wel doen, doen dat gewoonlijk maar één keer per jaar. Regelmatig scannen op malware kan ervoor zorgen dat deze gedetecteerd wordt en onschadelijk kan worden gemaakt voordat criminelen er misbruik van kunnen maken.
DO’S
Er zijn verschillende types beveiligingssoftware op de markt, die verschillende gradaties van bescherming bieden. Antivirus software is de meest gebruikte en die zal beschermen tegen de meeste soorten malware. Firewalls, die geïmplementeerd kunnen worden met hardware of software, bieden een extra beveiligingslaag, doordat ze verhinderen dat een niet-geautoriseerde gebruiker toegang krijgt tot een computer of netwerk. Sommige computer operating systems, zoals Microsoft Windows, hebben ingebouwde firewalls, maar deze beschermingen kunnen ook apart worden toegevoegd aan routers en servers. Ondernemingen zouden ook moeten investeren in een data backup oplossing, waarmee alle gecompromitteerde of verloren informatie kan worden teruggehaald vanuit een alternatieve locatie. Encryptie software beschermt gevoelige gegevens zoals medewerkersdossiers, klantengegevens en financiële bestanden. Tweetraps authenticatie of wachtwoord software voor interne programma’s vermindert de kans op wachtwoord-kraken.
Belangrijk om te weten is dat er geen one-size- fits-all beveiligingsoplossing is. Je kunt het best een scan laten uitvoeren door een externe partij die daarin gespecialiseerd is. Sommige grotere organisaties huren zelfs professionele – maar bona de, zogeheten white hat-hackers in om hun eventuele interne en externe datalekken te detecteren.
TEN SLOTTE
Het lijken open deuren, maar veel organisaties hebben onderstaande basisprincipes niet op orde om hun organisatie en gegevens goed te beschermen. Houd je software up-to-date. Wanneer je antivirus software of andere beveiligingsapplicatie meldt dat deze verloopt, of dat er een patch nodig is, laat die update dan niet wachten. Hackers scannen continu naar veiligheidslekken. Hoe langer je wacht met updaten, hoe groter de kans op inbraak.Instrueer je medewerkers. Als medewerkers zich realiseren welke gevaren er op de digitale loer liggen, zijn ze daar ook op bedacht. Instrueer je mensen hoe ze een potentiële inbraak kunnen herkennen: laat ze zien hoe criminelen je systemen kunnen in filtreren. Implementeer een formeel beveiligingsbeleid. Als een organisatie in alle lagen een strak beleid heeft ingevoerd voor de beveiliging van de systemen, is de kans op een inbraak veel kleiner. Denk aan sterke wachtwoorden (combinaties van kleine en hoofdletters en cijfers en symbolen) die elke 60 of 90 dagen worden vervangen. Stel je medewerkers verantwoordelijk voor de cybersecurity en benadruk dat dit geldt voor zowel de devices die de organisatie beschikbaar stelt, als de eigen apparatuur (BYOD) die voor het werk wordt gebruikt. Test je incidentresponsplan. Er van uitgaande dat je een responsplan hebt dat in werking treedt als zich een hack- of malware incident heeft voorgedaan, moet je dat ook uittesten met je medewerkers, zodat ze weten hoe te handelen. Zorg dat iedereen zich bewust is van de mogelijke gevaren. Uiteindelijk Een muisklik is zo gebeurd, de gevolgen kunnen dramatisch zijn, voor grote, maar misschien nog wel meer voor kleinere ondernemingen.