Nederlandse bedrijven en overheidsinstellingen zijn slecht voorbereid op aanvallen van cybercriminelen. De organisaties besteden niet alleen weinig aandacht aan de preventie van cybercrime, ook maatregelen om aanvallen van buitenaf te detecteren worden nauwelijks genomen. Bovendien schiet bij veel organisaties een adequate reactie op een succesvolle aanval van cybercriminelen tekort.
Uit onderzoek van adviesbureau KPMG onder bijna tweehonderd bestuurders van bedrijven en overheidsinstellingen blijkt dat slechts één op de vijf organisaties zichzelf in staat acht om met succes een aanval af te slaan. Qua preventie voert slechts 29 procent periodiek een cybercrime respons test uit, die duidelijk maakt in hoeverre de organisatie in staat is een aanval te signaleren.
Ongeveer 60 procent heeft de verantwoordelijkheid voor cybercrime in de organisatie belegd en traint de medewerkers ook op het gebied van beveiligingsbewustzijn. Daarnaast blijkt niet meer dan 25 procent van de organisaties zich adequaat via een cybercrime response plan te hebben beveiligd en zet slechts 30 procent forensische expertise in na een beveiligingsincident.
Phishing
Uit het onderzoek van KPMG blijkt dat bijna de helft van de onderzochte bedrijven het afgelopen jaar slachtoffer is geweest van enige vorm van cybercrime. Van deze bedrijven geeft 90 procent aan dat zij de afgelopen twaalf maanden één tot vijf keer met succes zijn aangevallen. Ruim 60 procent van de onderzochte bedrijven geeft aan dat de schade zich jaarlijks beperkt tot een bedrag van honderdduizend euro. Bij ruim 10 procent van de onderzochte bedrijven overstijgt de schade als gevolg van cybercrime een bedrag van 1,5 miljoen euro. Phishing blijkt de belangrijkste vorm van cybercrime. Bijna 30 procent van de onderzochte organisaties geeft aan met phishing te maken te hebben gehad, gevolgd door besmetting met malware en social engineering.
Cybercriminelen blijken er vooral op uit te zijn om bedrijfs- en productieprocessen te verstoren. Ongeveer 30 procent van de aanvallen blijkt hierop gericht te zijn. Het verkrijgen van toegang tot geld en informatie over intellectuele eigendommen blijken in mindere mate de aanleiding voor een aanval. Ondanks het feit dat bedrijven in de financiële sector zich bewuster zijn van cybercrime dan andere organisaties, wordt ongeveer 75 procent van de aanvallen in deze sector gepleegd. Daarbij gaat het voor een organisatie om een gemiddeld schadebedrag van ongeveer 1,5 miljoen euro.
Niet van tijdelijke aard
‘De werkelijke omvang van cybercrime is moeilijk te achterhalen omdat de detectieprocedures mogelijk niet alles in kaart brengen', zegt John Hermans, partner bij KPMG Risk Consulting. ‘Om je als organisatie te kunnen verdedigen tegen cybercrime zijn beveiligingsbewustzijn en inzicht in de risico's van essentieel belang. Duidelijk is in ieder geval dat cybercrime niet van tijdelijke aard is en niet langer meer het domein is van amateurs. Deze ‘script kiddies' vormen in wezen niet meer dan een vervelende dreiging en zijn er vooral op uit om geld te stelen en veel minder op het raken van de vitale functies van de organisatie.'
Serieuze aanvallen komen volgens Hermans nu vooral van de georganiseerde misdaad die er bewust op uit is de organisatie te ontregelen, te spioneren en vertrouwelijke informatie te krijgen. ‘Vooral de overheid en grote organisaties vormen hierbij het doelwit. De complexe it-omgeving maakt het echter vrijwel onmogelijk om dit soort incidenten volledig uit te bannen. Het doel is dan ook vooral te voorkomen dat een aanval uit de hand loopt. De focus moet dus vooral liggen op het beschermen van de belangrijkste bezittingen en het zeker stellen dat er mechanismen zijn waarmee organisaties goed en snel op incidenten kunnen reageren.'
Beveiling in al zijn facetten wordt ongetwijfeld de komende jaren een steeds belangrijker issue. Bewustzijn van de problematiek, actie van de industrie, en verhoging van het kennisniveau van IT-ers is dan ook absoluut noodzakelijk.
De Open Universiteit start dan ook met een opleidingsprogramma Certified Professional Programme ‘IT Security Engineer’ om haar steentje aan de bestrijding van de problematiek bij te dragen.
http://portal.ou.nl/web/informatica/cpp-it-security-engineer
Recent is er een lezing geweest van Brenno de Winter wat hier mooi op aansluit : http://www.youtube.com/watch?v=jE6S6dZlNnY
Het promoten en realiseren van netwerken, connectiviteit en communicatietoepassingen is zou inmiddels synoniem moeten zijn met integratie van beveiliging in de netwerk-infrastructuur en vervolgens ook in de ‘bovenliggende’ communicatietoepassingen, inclusief de actualisatie en monitoring ervan. Soms wordt er nog gedacht dat ICT niet te doorgronden is en dat juist dat voldoende beveiliging is. Niets is minder waar.
Daar komt nog bovenop, dat steeds meer bedrijfsprocessen omgezet worden naar de digitale communicatie wereld en maakt het daardoor interessanter omdat er dieper op ingegrepen kan (gaat…..) worden.
Binnen de cybercrime vind ik dat monitoren waar je data blijft (vdss.nl) misschien wel beter is dan alles “dicht” te timmeren… kiertjes blijven er toch en mensen moeten hun werk kunnen blijven doen. Zo kunnen organisaties toch adequaat reageren op succesvolle aanvallen van cybercriminelen op hun bedrijfsgegevens.
Als je ook eens kijkt hoeveel softwarefabrikanten gewoon eisen dat je simpele beveiligingsmaatregelen als UAC, gebruikersrechten (‘mijn software draait alleen als je Admin bent’) file system rechten en noem maar op, simpelweg uit laten zetten, dan begrijp ik wel dat er steeds meer issues komen.
Blijkbaar vinden een groot aantal software makers het limiteren van development kosten belangrijker dan de veiligheid van hun klanten.
Ik lees hier met interesse de reacties maar het antwoord is eigenlijk in het artikel al gegeven.
“De complexe it-omgeving maakt het echter vrijwel onmogelijk om dit soort incidenten volledig uit te bannen.”
En dat statement is nu juist heel tekenend voor wie het onderzoek heeft uitgevoerd. De reden dat ik dit aanhaal is omdat de schrijver van het artikel, en de respondenten hier, klaarblijkelijk niet zo heel goed begrijpen wat de materie IT is, het zich beweegt of hoe het benaderd en gebruikt moet worden. Dan krijg je dus dit soort weergaven wat dan juist weer zo jammer is.
Voelt u zich, mijn beste lezer, niet al te zeer persoonlijk aangesproken want 75% van de IT’ers weten dat niet en meer dan 95% van Non IT’ers weet dit niet.
De IT als materie kent gewoon wetmatigheden die men al lang heeft losgelaten omdat ….. vult u maar in. Men is telkens weer nieuwe dingen gaan verzinnen en weet dat gewoon heel aardig verkopen wat dan vervolgens met zich mee brengt dat zaken dermate complex worden dat men er zelf vrijwel niet meer uit komt.
En nu juist dit laatste is dus wat er momenteel aan het gebeuren is. Men denkt het zo complex te hebben gemaakt dat er vrijwel geen ruimte meer tussen de oren is voor ‘common sense’ en enige visie want welk artikel je ook open slaat, overal is het nieuw nieuw nieuw wat de klok slaat, maar niemand vraagt zich klaarblijkelijk af of al dat ‘nieuwe’ wel beter en besparender is als ‘proven concepts’.
Wel mijn beste lezer, ik kan u met een gerust geweten vertellen dat dit niet zo is en zolang de organisatie de eigen IT ziet als sluitstuk van de begroting in tijden van recessie, is het duidelijk dat men ook daar de nodige kennis en ervaring mist zaken goed en solide op te zetten.
Misschien dat er nu mensen een beetje wakker aan het worden zijn in de idiotie en waan van de wereld der hypes, nieuwe werken, clouds en allerlei virtual realities en verkoopbombardementen. IT is een prachtige materie maar als je daar niet op gepaste wijze mee om gaat dan kost het je geld meer dan dat het de beoogde besparing opleveren zal.
Dat geld echt niet alleen voor het concept en discipline veiligheid, maar ook voor zaken zoals opzet en onderhoud van IT, KA en infrastructuur zonder acht te slaan op de wetmatigheden van de materie IT. Heb je geen idee van de materie IT, doe dan eerst die kennis op VOOR je iets gaat bouwen met IT. Dan komen de eenvoudige oplossingen vanzelf naar voren toe of, je moet iets willen verkopen en een goed verkoopverhaal hebben natuurlijk.
Maar voor de geinteresseerde lezer, manager en IT’er, automatiseren begint bij het willen begrijpen en aannemen hoe de materie IT zich beweegt. Doe je dit niet? Prima. Dan blijf je dit soort artikelen houden. Jammer genoeg want IT is een pracht vak waar steeds minder mensen kaas van blijken te hebben gegeten. Ook al weten ze dat nog zo mooi te vertellen.
Steek uw licht hier maar mee op en wie weet gaat u het voor u zelf zien. Tenslotte hoef ik de rekeningen van de schade niet te betalen.
Naar aanleiding van de ontwikkelingen in de wereld en ook steeds vaker in Nederland zal het eens tijd worden dat er in Nederland door de overheid maar ook door de top 500 bedrijven, adequate maatregelen worden genomen teneinde Cybercrime op alle mogelijke manieren aan te pakken.
Zoals menige reactie al doet vermoeden is het elke keer te laat en gaan we brandjes blussen en wachten we weer tot iedereen het is vergeten, echter vandaag de dag gebeurt het wekelijks zoniet dagelijks dat het volgende security probleem weer wordt gemeld.
Echter zolang we ons kunnen beroepen op allerlei excuses zal het wel weer vergeten worden en ligt de kern en de oorzaak van het probleem elders en worden de security problemen weer met veel tamtam opgelost en zien de Cybercrime dat er geen adequate maatregelen worden genomen en is de waarschuwing voor niets geweest en is het wachten op de volgende attack!
Het is dan ook echt nodig dat dit serieus aangepakt gaat worden en dat er verder zal worden gekeken dan alleen maar het beveiligingsprobleem op te lossen. Want het allerbelangrijkste schijnen we steeds te vergeten, zonder de overheid en commerciele bedrijven hier te noemen en in de verlegenheid te brengen die in sommige gevallen zelfs hebben geleid tot faillissement, weten we nu eigenlijk wie, wat, waar en hoe ?! oftewel welke gegevens danwel informatie is er weggelekt of welke informatie is er wellicht gemodificeerd of verwijderd. Dit kan zoals u wellicht weet veel grote consequenties hebben.
Ook voor deze vraagstukken zijn al meer dan 15 jaar oplossingen en worden internationaal ingezet teneinde de Cybercrime te bestrijden maar wanneer je in Nederland met deze vraagstukken komt om Fraude te voorkomen danwel op te sporen dan heeft men hier geen oren naar of is hier geen geld voor of spelen bezuinigingen een rol, maar deze investeringen zijn noodzakelijk.
Indien deze genoemde zaken ook worden meegenomen in een eventueel te vormen CyberTeam met echte specialisten en werkende intelligente software (zie http://www.ITurnITy.com) dan houd ik mij zeker aanbevolen om hieraan deel te nemen en de mogelijkheden hiervan toe te lichten teneinde te weten welke informatie is verdwenen en/of aangepast of verwijderd. Want een ding staat als een paal boven water Cybercrime zal altijd blijven bestaan en zeg niet dat gebeurt mij niet maar vraag jezelf af wanneer zijn wij aan de beurt!!!
Ik weet niet of een onderzoek onder 200 bedrijven representatief is maar als maar 20% in staat is om een aanval af te slaan dan hebben we een probleem. 80% is blijkbaar niet in staat om de continuiteit van dienstverlening of onweerlegbaarheid en bescherming van informatie te garanderen. Het Diginotar incident, waarbij Donner ons in een nachtelijke persconferentie gerust stelde lijkt dan nog maar het topje van de ijsberg.