Hoe pijnlijk is het als een securitybedrijf zelf slachtoffer wordt van een hack? Het overkwam Fox-IT nog niet zo lang geleden. En zij waren niet de enige. Ook mijn werkgever Kaspersky Lab, Symantec en verschillende andere securitybedrijven is dit voorheen overkomen. Als zelfs securityspecialisten hackers niet buiten de deur weten te houden, wordt opnieuw bevestigd dat het niet een kwestie is òf, maar wanneer men gehackt wordt.
Critici, of beter gezegd, cynici onder ons zeggen dat cybersecuritybedrijven angst voor virussen en aanvallen van hackers aanwakkeren met eigen onderzoeksrapporten. Maar wie nog denkt dat het allemaal zo’n vaart niet loopt, wil de keiharde feiten niet onder ogen zien. In een verdergaande digitale samenleving moeten we ons voortdurend aanpassen om ons te wapenen tegen digitale inbraken. De hacker wordt steeds slimmer en wet- en regelgeving wordt met ingang van mei 2018 nog scherper.
Deze uitdagingen vragen om meer transparantie, intensieve grensoverschrijdende samenwerking en het zogenaamde ‘Darwinisme’; het vermogen om ons digitale veiligheidsbeleid voortdurend aan te passen aan veranderende omstandigheden. Alleen met deze drie mondiale wapens zijn we in staat cybercriminaliteit te overwinnen.
Praktijk is anders
Het klinkt alsof men pleit voor wereldvrede. Niemand zou tegen transparantie, samenwerking en aanpassingsvermogen moeten zijn. Toch is de praktijk anders. Landen, bedrijven en burgers trekken steeds meer eigen digitale muren op om cybercrime tegen te gaan. Zo gooien China, Rusland en de VS hun deuren dicht voor een vals gevoel van veiligheid. De Chinese staat is berucht om zijn Great Firewall; een technische variant van de eeuwenoude fysieke muur waarmee het Midden Koninkrijk dreigingen van buitenaf wilde weren. Dat werkt averechts. Cybersecurity-experts roepen al langer dat het oude beveiligingsmodel van kastelen bouwen onhoudbaar en achterhaald is in een digitale wereld.
Gelukkig pleit eurocommisaris Anrus Ansip voor grensoverschrijdende samenwerking tussen securityleveranciers en opsporingsautoriteiten. Ook leden van onze Tweede Kamer, zoals Kees Verhoeven, zijn ervan overtuigd, dat we cybercriminaliteit samen te lijf moeten gaan. In Nederland hebben we inmiddels aangetoond wat samenwerking tussen politie, Europol en onder andere Kaspersky Lab oplevert. Het in ons land geboren initiatief ‘No More Ransom’ heeft wereldwijd al meer dan honderd partners en biedt ruim 85 decryptietools voor slachtoffers om van ransomware af te komen. Zo worden miljoenen dollars teruggepakt van cybercriminelen. Kortom, intensieve samenwerking werpt zijn vruchten af.
Elke aanval is een les
Onafhankelijk onderzoek leert ons dat een mkb-bedrijf gemiddeld 73,8 duizend euro betaalt per beveiligingsincident. Die kosten lopen voor grote organisaties flink op. Zij krijgen per incident een rekening van gemiddeld 788 duizend euro gepresenteerd. Je wapenen tegen cyberdreigingen loont dus.
Tegelijkertijd moeten we constateren dat waterdichte beveiliging technisch niet bestaat. Zakelijk gezien is dat wel te benaderen door cybercrime onrendabel te maken. Maar hoe doe je dat? Door bijvoorbeeld zoveel mogelijk van elkaar te leren. Elke cyberaanval is een les. We moeten bereid zijn deze lessen actief met elkaar te delen. Ongeacht of men elkaars collega of concurrent is. Tot nu toe houden veel organisaties hun kwetsbaarheden achter gesloten deuren. Overheidsinstanties als Autoriteit Persoonsgegevens zouden een voortrekkersrol in kunnen nemen. Uiteraard vereist dat lef. Maar zonder lef vaart niemand wel.
Wellicht het allerbelangrijkste is te onderkennen dat cybersecurity een reis is zonder eindbestemming. Tijdens deze reis komt men voortdurend verrassingen tegen waarop men moet anticiperen en reageren. Hoe tegenstrijdig dat lijkt te zijn, het securitybeleid moet niet gericht zijn op stabiliteit, maar op flexibiliteit. Darwinisme dus. Dat betekent voor veel it-organisaties een andere manier van denken en handelen.
Alleen met transparantie, samenwerking en flexibiliteit overwinnen we de strijd tegen cybercriminaliteit.
Meest belangrijke is dat een ieder goed gaat nadenken over hun eigen beveiliging. En vooral tijd & moeite neemt dat te (laten) onderzoeken.
Maar net zo belangrijk is het informeren en educatie van gebruikers, dat men weet hoe bepaalde dreigingen te herkennen en vooral, te voorkomen zijn. Hoe om te gaan met websites, applicaties, emails, fora, (a)sociale media, (al dan niet mobiele) apparaten, zorg dat de gebruikers weten dat dreigingen uit elke hoek kunnen komen.
En zorg dat het niet technisch maar juist informatief & educatief gepresenteerd wordt, geen platte presentatie.
Bijvoorbeeld door praktijk-zaken te presenteren en hoe dit voorkonen had kunnen worden, wat is er van te leren?
Dat een bedrijfscultuur, blokkade/verbod van niet-productie zaken eventueel helpen kan de gebruikers te beschermen.
Het is een serieus onderwerp waar we nog jarenlang werk aan hebben, maar met een lach & knipoog kan je wel de gebruikers omzetten in geïnformeerde gebruikers.
De zwakste schakel is vaak het brein achter het toetsenbord.
“..Bij twijfel niet inhalen!..”