Sommige mensen reageren moedeloos als de term cybercriminaliteit valt. Steeds meer opvallende datalekken halen het nieuws. De algemene indruk is dat cybercriminelen de boventoon voeren en dat bedrijven per definitie achter de feiten aanlopen. Maar is dat eigenlijk wel zo? Zit er niets anders op dan geduldig afwachten totdat de volgende cyberaanval plaatsvindt? Het antwoord is een categorisch nee!
Onze afhankelijkheid van digitale technologie neemt toe. We hebben techniek nodig voor onze communicatie, zakelijke transacties of concurrentievermogen. Veel bedrijven onderscheiden zich tegenwoordig van de concurrentie door hun vermogen om te profiteren van digitale innovaties. Betere tools voor samenwerking, snellere en robuustere netwerken, meer opslagmogelijkheden, meer partners en wereldwijd speelveld: dit alles vraagt om de uitwisseling van steeds meer informatie. En deze bedrijfskritische data is bepalend voor de concurrentiepositie van bedrijven. Deze gegevens vormen hun intellectuele eigendom en zijn cruciaal voor het bedrijfsimago. Als bedrijfsdata de levenslijn van elke onderneming vormt, rest de vraag waarom zoveel organisaties de beveiliging daarvan als een sluitpost zien.
Voorkom nalatigheden
Als er iets duidelijk wordt door ons 2016 Data Breach Investigation Report dan is het dat een ondoordringbaar systeem simpelweg niet bestaat. Met een redelijke beveiliging is het echter mogelijk om cybercriminelen af te schrikken. Zij zullen al snel op zoek gaan naar een makkelijkere prooi.
Veel bedrijven nemen geen basismaatregelen op het gebied van ict-beveiliging of passen ze niet op de juiste wijze toe. Dat is nogal verbazingwekkend gezien alle cybercriminele activiteiten om ons heen. Bij 63 procent van alle bevestigde datalekken was sprake van zwakke, standaard of gestolen wachtwoorden. Voor de meeste aanvallen werd misbruik gemaakt van kwetsbaarheden die nooit waren gepatched, hoewel er al maanden of zelfs jaren een beveiligingsupdate beschikbaar was.
Dit is mogelijk te wijten aan het gebruik van verouderde beleidsregels voor de beveiliging, een gebrekkig inzicht in sectorspecifieke cybercriminaliteit, het feit dat de beveiliging onvoldoende prioriteit heeft of simpelweg een gebrekkige voorlichting aan het personeel.
Criminelen zijn sneller
De realiteit is dat cybercriminelen in staat zijn om binnen een paar minuten bedrijfsnetwerken binnen te dringen en bedrijfsinformatie naar buiten te smokkelen. In 93 procent van alle gevallen van gegevensdiefstal die we onderzochten, bleek dat systemen binnen luttele minuten werden geschonden. In 28 procent van alle gevallen werden er al na een paar minuten gegevens naar buiten gesluisd. Maar zelfs in gevallen waarin dit proces dagen in beslag neemt, hoeven cybercriminelen zich weinig zorgen te maken. Want in 83 procent van alle gevallen kwam de getroffen organisatie er pas na weken of langer achter dat er bij hen was ingebroken.
Hoe langer het duurt om een datalek te detecteren, des te meer tijd cybercriminelen hebben om de waardevolle bedrijfsinformatie te bemachtigen waarnaar zij op zoek zijn en/of bedrijfsprocessen te verstoren. Standaard beveiligingsmechanismen zijn daarom niet toereikend. Bedrijven moeten over effectieve detectie- en herstelsystemen en -processen beschikken om aanvallen af te kunnen slaan en eventuele schade tot een minimum te beperken.
Basismaatregelen en bewustwording
Een paar aanbevelingen ten aanzien van basismaatregelen: verwerf inzicht in de aanvalspatronen die binnen uw branche het meeste voorkomen, maak gebruik van two-factor authenticatie voor de bedrijfssystemen, moedig gebruikers aan om zich op sociale netwerken aan te melden met behulp van two factor-authenticatie, installeer op tijd de laatste patches, verleen alleen toegangsrechten die gebruikers daadwerkelijk nodig hebben, bewaak het inkomende verkeer, versleutel gegevens en licht uw personeel voor om de bewustwording rond de beveiliging te vergroten. En nog het belangrijkste: zorg dat u weet welke data er binnen uw organisatie aanwezig is en bescherm die overeenkomstig het bedrijfskritische niveau.
Bewustwording is de eerste en beste verdedigingslinie tegen cybercriminelen. Een gebrekkige voorlichting werkt het herhaaldelijke succes van cyberaanvallen in de hand. Naar mijn mening is het van cruciaal belang dat brancheorganisaties informatie uitwisselen over sectorspecifieke cybercriminaliteit en aanvalstechnieken. Deze rijkdom aan informatie kan organisaties in alle sectoren de input bieden die nodig is voor het bestrijden van cybercriminaliteit.
Deze bijdrage is geschreven door Alex Schlager (managing director Nederland, Verizon) en verscheen eerder op https://www.computable.nl/artikel/blogs/security/5896458/5260614/basismaatregelen-voor-ict-beveiliging.html.