Als we auteur Marc Goodman van het boek 'Cybercrime en cyberwar. De toekomst van de misdaad in een wereld die altijd online is' moeten geloven, staan we nog maar aan het begin van een ware hausse aan een lange periode van cybercrime. Maar is dat wel zo? Of maakt hij ons alleen maar bang?
Dagelijks worden we opgeschrikt door berichten dat er weer ergens een DDoS aanval is geweest, een internetaanval waardoor een website onbereikbaar wordt. Of dat netwerken worden overstelpt met phising-berichten, een vorm van oplichting op het internet waar slachtoffers vaak met een email naar een valse website van bijvoorbeeld een bank worden gelokt. Volgens Marc Goodman is dat echter een waarschuwing voor wat ons nog allemaal te wachten staat. Als we hem moeten geloven, kunnen we beter stoppen met de informatie technologie, want vechten tegen cybercrime is dweilen met de kraan open. Heeft hij gelijk of kunnen we het gevaar een halt toeroepen?
Cybercrime is echt en we zijn er absoluut niet klaar voor.
Het goede nieuws is dat we steeds meer middelen hebben om ons te verdedigen. Helaas is techniek maar een deel van deze verdediging, we moeten ook de mensen opleiden. Veel bedrijven zien het als een kostenpost en realiseren zich niet dat een ernstig incident het einde kan betekenen van je bedrijf.
Basiskennis over cyber security awareness is niet duur. Alleen met standaard e-learning kom je er niet.
Laat je medewerkers eens gephisht worden, dan weet je hoe je ervoor staat…
Inderdaad, awareness is key.
Oftewel zorg dat alle(!) medewerkers, net als bij een rijbewijs, niet alleen de theorie kennen maar ook leren “rijden”.
Want 80 to 90% van alle cyber-incidenten heeft de factor mens, oftewel gedrag, oplettendheid, risico-meiden als grondslag.
Techniek is slechts een deel van de oplossing, zorgen dat kennis en kunde aanwezig is, is ook heel belangrijk.
Niet dat iedereen gelijk een cyber-expert moet zijn, maar de basis-vaardigheden van digitale veiligheid is vaak schrikbarend afwezig;
Dat je niet “zomaar” bijlages aanklikt, een email-bericht niet “zomaar” op reageert. websites bezoekt die niets met je werk te maken hebben, dat die gedownloade “screensaver” mogelijk kwaadwillende onderdelen bevat, dat je privé thuis moet doen maar niet op de zaak, et cetera. (om maar eens paar voorbeelden te noemen)
Heel belangrijk is dat je de gebruikers educatie geeft met een grote glimlach, maak er een spel van, bijvoorbeeld dat er “prijzen” te winnen zijn, maak het fun.
En je gebruikers laten phishen is helemaal niet moeilijk, bijvoorbeeld via “https://phishinsight.trendmicro.com/en/”, dat kan een basis zijn om er verder mee aan de slag te gaan, met een serieuze toon & benadering.
Bijna alles is internet-verbonden en dat zal alleen maar nog meer worden, en beveiliging-tools zijn ruimschoots beschikbaar in ontelbare smaken & mogelijkheden om de cyberveiligheid naar een hoger plan te brengen.
Maar de gebruikers, medewerkers tot en met de hoogste baas, ze kunnen wel een wakeup-call gebruiken dat zij daarin ook een hele belangrijke schakel zijn.
Zaak is ook dat organisaties hun architectuur goed hebben doordacht en de middelen inzetten op basis van ‘fool’ proof. Software kan tegenwoordig heel veel en dus ook attachments scannen, verdachte sites blokkeren enz enz maar helaas zijn veel organisaties vaak niet bij met de laatste stand van de techniek. Huur iemand in die een Audit goed uitvoert dan heb je een aardig beeld hoe je er als organisatie voor staat en kun je een actieplan maken. Feiten en cijfers geven namelijk aan dat veel organisaties als gevolg van een forse cyber-aanval het niet redden om overeind te blijven en helaas hun deuren moeten sluiten.