De vraag is niet meer of u gehackt wordt, maar wanneer. Bedrijven moeten voorbereid zijn.
De vraag is niet meer of u gehackt gaat worden, maar wanneer. De dreiging van een cyberaanval is voor ondernemers helaas dagelijkse realiteit geworden. De exponentiële groei en afhankelijkheid van data en het aantal digital-first bedrijven vergroten het werkveld van cybercriminelen. Terwijl cyberboeven een aanval weken of zelfs maanden kunnen voorbereiden heeft u bij een aanval misschien maar minuten om adequaat te reageren. Bedrijven moeten dus voorbereid zijn voor het moment dat de aanval komt.
Het World Economic Forum’s Global Risks Report 2020 noemt cyberaanvallen als tweede risicofactor in de lijst met grootste zorgen voor bedrijven in het komende decennium. De meer geavanceerde en toegankelijke tools van het dark web maken cyberaanvallen steeds complexer. Daarbij wordt geprofiteerd van juridische beperkingen van lokale autoriteiten. Daarnaast zijn er steeds meer gevallen van grootschalig dataverlies en het aantal ransomware-aanvallen neemt immer toe. Alleen al in 2019 vond er elke 14 seconden ergens ter wereld een ransomware-aanval plaats. Business resiliency-planning − waarbij samenwerkende processen worden ingericht voor risico-, incident- en crisismanagement − is de sleutel tot overleven.
Waarom middelgrote bedrijven actie moeten ondernemen
Bedrijven die pas reageren op een cyberaanval op het moment dat deze plaatsvindt, zijn al te laat. Het managen van de risico’s vereist behendigheid, nauwkeurige afstemming binnen het hele bedrijf en het regelmatig uitvoeren van tests om zo bewustwording van cybercriminaliteit te creëren. Bedrijven moeten dus proactief handelen in plaats van reactief. Cyber weerbaarheid (resilience) is belangrijker dan ooit, want een aanval is ook voor middelgrote bedrijven een reëel risico, hetzij door criminelen of als bijkomende schade in een cyberoorlog.
Als een bedrijf dat niet voorbereid is data verliest, dan kan dat het einde van dat bedrijf betekenen. En u kunt denken dat uw data niet interessant genoeg is om gestolen te worden, maar daar gaat het allang niet meer om. Als u niet meer de beschikking heeft over uw eigen data is de schade minstens zo groot als wanneer deze gestolen zou zijn. En er is niet alleen directe schade doordat uw bedrijfsvoering stil ligt, maar ook de indirecte schade: reputatieschade, boetes, claims, klanten die weglopen zal aanzienlijk zijn.
Bedrijfsleiders die hopen niet geraakt te worden door een aanval, zijn op zijn best naïef te noemen, aangezien de tools waarmee zwakke plekken worden gezocht grotendeels automatisch werken en er is dus geen makkelijke manier om onder de radar van cybercriminelen te blijven. Aan het Cybersecurity Threat Report van VMware werkten 251 Nederlandse CIO’s, CTO’s en CISO’s mee. Van hen gaf 100% toe dat hun organisatie in de afgelopen twaalf maanden te maken had met een digitale inbraak. Het ging daarbij om gemiddeld 2 inbraken gedurende deze periode. Bovendien was 90% van mening dat de aanvallen geavanceerder zijn geworden.
Volgens het Veilig Online 2020-onderzoek (op verzoek van het ministerie van Economische Zaken en Klimaat) heeft bijna de helft van de Nederlanders (45%) in de afgelopen twaalf maanden mails ontvangen met poging tot phishing in de privésituatie, 16% ontving dergelijke mails in de werksituatie. Vooral bij kleinere organisaties komen (pogingen tot) phishing en acquisitiefraude veel voor. Verder blijkt dat de behoefte om de eigen online veiligheid te verbeteren bij de groep Nederlanders die vooralsnog minder acties heeft genomen relatief laag is.
En dat terwijl cyberaanvallen bedrijven veel geld kosten. De financiële gevolgen verschillen aanzienlijk per sector, bedrijf en land, maar Nederland staat dit jaar op de vierde plaats in de landenranglijst met een mediaan schadepost van €67.000 (t.o.v. €10.800 vorig jaar).
Maatregelen tegen dataverlies
Het beschermen van een middelgroot bedrijf tegen het slechtst mogelijke scenario, namelijk het verliezen van belangrijke data, vereist kennis over cybersecurity en een holistische aanpak. Daarnaast is het noodzakelijk om bewustzijn te creëren binnen een bedrijf, het is namelijk niet alleen een technisch probleem. Bedrijven kunnen echte weerbaarheid bereiken door synergie te creëren tussen technologie en bedrijfsprocessen. Vertrouwen in cyberexperts met betrekking tot planning en implementatie helpt bedrijven om belangrijke applicaties, recovery-tijd en doelen te identificeren.
Elk onderdeel van het bedrijf moet inzichtelijk krijgen waar de meest gevoelige data en services zich bevinden en wat de risico’s van een cyberaanval zijn. Om de risico’s te begrijpen is een flexibele aanpak nodig, want als het bedrijf of de omgeving verandert veranderen de risico’s ook. Frequente scans en analyses van het interne bedrijfslandschap zijn noodzakelijk om de veranderingen en hun impact beter te begrijpen en de beveiliging waar nodig aan te passen.
Het is niet eenvoudig om een groot portfolio aan middelen te beschermen, zeker niet wanneer dit aan verandering of groei onderhevig is. Maar elk bedrijf moet snappen wat haar DNA is, namelijk de cruciale 10 tot 15% van de data die koste wat kost moet worden beschermd. Als er een cyberaanval plaatsvindt betekent kan dit het verschil betekenen tussen voortbestaan of faillissement van het bedrijf. Het is cruciaal voor om keuzes te maken met een holistische aanpak. Voor sommigen bedrijven kan dit leiden tot ‘analysis paralysis’: de wens om alle data te beschermen en daardoor uiteindelijk niets te beschermen. Maar als jouw huis in brand staat, probeer je ook eerst de meest essentiële bezittingen te redden. Bedrijven moeten op dezelfde manier bepalen welke data het belangrijkste is, zodat deze beschermd kan worden en gebruikt kan worden om het bedrijf te laten herstellen na een aanval.
Het goede nieuws is dat dit proces vereenvoudigd kan worden door data protection- en cybersecurity-diensten. Deze maken het mogelijk voor organisaties om policy-gedreven, geautomatiseerde workflows in te richten om bedrijfskritische data te verplaatsen naar een geïsoleerde omgeving en deze data in enkele eenvoudige stappen vast te zetten, onbereikbaar voor criminelen. Dit heet een cyber-vault, de ultieme bescherming voor het bedrijfs-DNA. Als er een aanval plaatsvindt, helpt deze data om het bedrijf te herstellen. Bij het reageren op cyberincidenten en om kritieke systemen weer online te krijgen, zijn nauwkeurigheid en eenvoud van belang. Een cyber recovery-plan moet dan ook volledig geïntegreerd zijn met de business en de cloudstrategie van het bedrijf voor de komende jaren.
Hoewel steeds meer bedrijven zich bewust zijn van de gevaren van een cyberaanval, is het van belang om te investeren in cyber-weerbaarheid en zo in te spelen op de veranderingen in het bedrijf. Hierin speelt kennis over cybersecurity een belangrijke rol. De klok tikt. Het is niet een kwestie van of, maar wanneer, en bedrijven moeten voorbereid zijn.