Brede groep organisaties doelwit
Wie heeft er ooit gehoord van een roofoverval op een universiteit? Mannen met bivakmutsen die vanuit een bestelbusje proberen de kluis binnen te komen? Er bestaan bij mijn weten geen films van, maar ik ken ook geen voorbeelden uit het echte leven. Dergelijke overvallen vinden plaats bij banken, juweliers of kunstmusea. Dat zijn de ‘crimescenes’ die wij kennen van films en spannende boeken.
Andere sectoren
Logisch dus dat de bestuurder van een universiteit zich minder snel bezighoudt met het voorkomen van een overval dan de CEO van een bank. Lang gold dit ook voor cybercrime: vooral banken en financiële instellingen werden geassocieerd met phishingmails, nepwebsites en andere vormen van online fraude. Bestuurders in andere sectoren en kleinere organisaties waren er tot voor kort veel minder mee bezig.
Geen goud, valuta of dure kunst
Helaas voor mensen als de universiteitsbestuurder hebben cybercriminelen hun werkveld enkele jaren geleden verbreed. Ze hanteren daarbij volledig andere criteria dan traditionele criminelen: organisaties hoeven geen goud, valuta of dure kunst te bezitten om een aantrekkelijk doelwit te zijn. Dit bewees het recente nieuws over pogingen van Iraanse hackers om Nederlands wetenschappelijk onderzoek te bemachtigen. Branches die voor fysieke criminaliteit nauwelijks interessant zijn, bieden cybercriminelen juist volop kansen.
Onderwijs meest aantrekkelijk doelwit
Die branches worden zich hier vaak pas van bewust als er een incident in hun specifieke bedrijfstak plaatsvindt. In het geval van de eerder genoemde universiteitsbestuurder is de recente aanval met ransomware op de Maastricht University een belangrijke waarschuwing geweest. Hoewel dit zeker niet het eerste geval was: al in 2016 kreeg de universiteit van Calgary in Canada te maken met een vergelijkbaar incident. Sterker nog: in datzelfde jaar wezen diverse onderzoeken het onderwijs aan als meest aantrekkelijke doelwit voor verspreiders van ransomware.
Optimism bias hindert cybersecurity
Dat veel universiteiten alsnog geschrokken zijn van het gebeuren in Maastricht heeft onder meer te maken met de zogenaamde ‘optimism bias’, een term uit de psychologie die aangeeft dat mensen geneigd zijn ervan uit gaan dat een negatieve gebeurtenis hen niet zal overkomen. Pas als het risico heel dichtbij komt verandert deze optimism bias in een gevoel van urgentie: het probleem moet aangepakt worden en wel nu. Dit verschijnsel is een van de grootste belemmeringen in de strijd tegen cybercriminaliteit.
Domeinnamen opsporen
Bij SIDN zien wij dit met enige regelmaat terug als cybercriminelen domeinnamen misbruiken om een organisatie aan te vallen. Heel snel daarna nemen branchegenoten van die organisatie contact op om te achterhalen hoe zij vergelijkbare domeinnamen snel kunnen opsporen. Een opsporing die mogelijk is via de Domeinnaambewakingsservice (DBS). Dit herhaalt zich iedere keer als er in een specifieke bedrijfstak een spraakmakend incident plaats vindt.
Kijk verder dan je directe omgeving
Mijn voornaamste advies voor securityspecialisten, CISO’s en bestuurders is daarom: kijk verder dan je directe omgeving. Ga vaker in gesprek met vakgenoten búíten je eigen bedrijfstak en gebruik een Google Alert om op de hoogte te blijven van relevante incidenten in het buitenland (bijvoorbeeld een search op ‘cybercrime education’). Voor bestuurders geldt daarnaast: maak duidelijk dat het onderwerp ook bij jullie op de agenda staat en voorkom dat cybersecurity ondergesneeuwd raakt in de dagelijkse operatie.
Bron: https://www.sidn.nl/nieuws-en-blogs/bestuurders-te-optimistisch-over-cybercrime