Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over de modekreet ‘cyberaanval’, die vaak dient als excuus voor ict-falen.
De grootschalige ict-storing die de Poolse luchtvaartmaatschappij Lot laatst lamlegde, zou een enorme cyberaanval zijn. Een hackaanval waar geen enkele vliegmaatschappij veilig voor is, aldus de ceo van Lot. Alleen lijkt het er sterk op dat er niet alleen – of niet alleen zozeer – extern wat aan de hand was.
Mogelijk heeft een interne fout, gemaakt door een mens, de flinke storing in het vluchtplansysteem veroorzaakt. De zaak wordt nog onderzocht door de autoriteiten. Ongeacht de uitkomst wordt het fenomeen van een cyberaanval maar al te vaak misbruikt als excuus voor ict-falen. Toegegeven, soms leidt falen tot succesvolle aanvallen, zoals de maandenlange inbraak bij de Amerikaanse overheidspersoneelsorganisatie OPM (Office of Personnel Management). ‘Cyberaanval’ dekt lang niet altijd de lading. Wat vind jij?
Beide zijn waar. Cyberaanvallen gebeuren. Gewoon een feit en lees de hoeveelheid artikelen maar na. Aan de andere kant weten we ook maar al te goed dat bedrijven kwetsbaar zijn. Juist de combinatie van die 2 vergen een organisatie die bereid is op beide fronten de handen uit de mouwen te steken. Dit vraagt om verregaand commitment van de leiding waarbij als eerste de vraag gesteld dient te worden: “wat dienen we tegen wie te beschermen”, en dat is lang niet altijd even eenvoudig. Mijn mening is dat in het geval van LOT die vraag onvoldoende is gesteld en als dat al het geval was, de organisatie onvoldoende in staat is gebleken er op te reageren. Resultaat is in ieder geval wel dat hun bewustwording, helaas via een hard les, op dit vlak is verbeterd. En hier komt de belende kreet: ‘Als het kalf…’. Vult u zelf de rest maar in.
Elke systeembeheerder komt het wel eens tegen dat er ‘stoute plaatjes’ worden gevonden op computers van bedrijven waarbij het soms ook nog eens knap is hoe diverse beveiligingen zijn omzeilt. En subgroep zal dan ook wel eens het excuus dat de computer gehacked zou zijn gehoord hebben.
En in zekere zin klopt het ook wel want de verantwoordelijke persoon heeft ‘hackgedrag’ uitgevoerd door zich niet te houden aan afgesproken richtlijnen, technische beperkingen en ook wettelijke beperkingen.
Bij de Sony hack werd ook meteen geroepen dat het een hackaanval was en dat men een goede indicatie had wie het gedaan zou hebben. Maar achteraf bleek dat die indicatie dusdanig gemankeerd was dat het nooit een realistische indicatie zou kunnen zijn geweest. En het was ook een voorbeeld van hoe diverse belangen van het ‘slachtoffer’ en andere partijen van invloed zijn op het onderzoek en de berichtgeving. In dat opzicht is het ook verstandig om initieel een slag om de arm te houden en met een kritische blik de ontwikkelingen te volgen en evalueren naar mogelijke waarde.
Zonder inhoudelijke kennis kun je niet beoordelen of een Cyberaanval de veroorzaker is van storingen.
Zonder details kan er niet geoordeeld worden wat er precies aan de hand is bij LOT. Algemeen kun je wel stellen dat het bij bedrijven steeds duidelijker wordt dat het verlagen van het risico op cybercriminaliteit niet alleen kan gebeuren door middel van technische maatregelen, maar dat het gedrag van de mens en de organisatie / processen minstens zo belangrijk zijn. Bewust personeel maakt de organisatie weerbaar en verlaagt het aantal security incidenten. Security awareness training en een goede nulmeting op de bedrijfsprocessen, het informatiebeveiligingsbeleid en het privacy beleid is daarom van groot belang. Pas dan kun je een juiste risico-analyse maken en de juiste maatregelen nemen om het risico op cybercriminaliteit te verlagen.