Pas criminologische methodes toe op cybersecurity. Cybersecurity-professionals worden vaak geconfronteerd met compliance-eisen, regelgeving en allerlei frameworks voor het verzamelen van informatie. Hierdoor vergeten we soms wat we in essentie zijn: bestrijders van cybercriminaliteit.
Als cybersecurity-leiders beschermen wij dagelijks werknemersgegevens, klantgegevens en handelsgeheimen tegen cybercriminelen. Daarom moeten we ons niet alleen richten op onze tegenstanders, maar ook op de mensen, processen en technologie die worden gebruikt om hen te verslaan. Dit aspect van effectieve cybersecurity wordt vaak genegeerd, maar kan enorm helpen om cybersecurity te verbeteren. Hierbij moeten cybersecurity-principes in een risico-gebaseerde aanpak worden afgestemd op de bedrijfsdoelen van de organisatie.
Cybersecurity benaderen vanuit criminologische en strafrechtelijke principes wordt in de cybersecurityindustrie vaak over het hoofd gezien. Dit komt omdat we de neiging hebben om ons alleen te richten op it-basisprincipes. Maar als technologie wordt gebruikt om een misdrijf te plegen of de technologie zelf het doelwit van een misdrijf is, dan gaat het precies om criminaliteit. De integratie van criminologische en strafrechtelijke principes in een cybersecurity-programma zorgt voor een effectieve bescherming tegen cybercrime. Zo worden zowel de activa van een organisatie als de persoonlijke gegevens van medewerkers en consumenten beschermd. Wanneer het over cyberbeveiliging gaat, hebben we het vaak over misdaadbestrijding, en een bewezen techniek in de criminologie is de wetenschap van de victimologie.
Cyber-victimologie
In de criminologie wordt de term victimologie omschreven als het bestuderen van slachtoffers van misdrijven, de emotionele en psychologische gevolgen van het misdrijf en de relaties tussen daders en slachtoffers. Het bestuderen van het slachtoffer geeft de rechercheurs inzicht in wie het misdrijf waarschijnlijk heeft gepleegd, waarom zij het misdrijf hebben gepleegd en de methoden die zij gebruiken. Bij cybercriminaliteit is dat niet anders. Professor Jaishankar van het International Journal of Cybercriminology beschikt over een grote hoeveelheid onderzoek naar dit specifieke onderwerp en is voorstander van een nieuwe cybercriminaliteitstheorie, de Space Transition Theory. Deze theorie stelt dat mensen zich online anders gedragen dan in de fysieke wereld. Cybercrime is niet langer alleen maar hacken en systemen aanvallen – het is een aanval op mensen, hun organisaties en de mensen die deel uitmaken van die organisaties. In Jaishankars boek Cybercrime and Victimization of Women verduidelijkt de hoogleraar de definitie van cybercrime vanuit het perspectief van het slachtoffer. Hoe is dit perspectief relevant voor de cybersecurity van een bedrijfsorganisatie?
Volgens de victimologie beschikken organisaties net als mensen over kenmerken. Zakelijke belangen, politieke campagnes, waakzaamheidsniveau, beschermingsvermogen en cyberrisico-tolerantie zijn slechts enkele kenmerken die bepalen of, door wie, hoe en waarom een organisatie meer kans maakt om aangevallen te worden. Dit kan een cybersecurityleider bruikbare informatie bieden over hoe zij hun organisatie en het management het best kunnen beschermen tegen aanvallen. Bijvoorbeeld, een organisatie die een bepaald type van opgraving of grondstofwinning uitvoert kan een direct doelwit zijn voor ecoterrorisme.
Een ceo van een organisatie waarvan de zakelijke of politieke campagnes leiden tot onvrede bij bepaalde hacktivistische groepen, kan het doelwit zijn van zowel fysieke aanvallen als cyberaanvallen. De victimologie van een organisatie vaststellen kan ciso’s en hun teams helpen om te bepalen wat de juiste bescherming is en welke houding de organisatie moet aannemen ten aanzien van het risico. Dit plaatst het bedrijfsrisico in perspectief voor de raad van bestuur. Victimologie benoemt de waarschijnlijkheid en impact van het risico, zaken die invloed hebben in de directiekamer.
Koppelen
Organisaties beschikken over leiders en iedere leidinggevende heeft kenmerken van victimologie. De organisatie heeft samen met de leidinggevenden ook een eigen, uniek slachtofferschapsprofiel. Dit profiel bestaat uit de kerndoelen, werknemersbetrokkenheid bij cybersecurity, individuele waakzaamheid, organisatiebewustzijn, organisatorische risicobereidheid en algemene effectiviteit van cybersecurity. Deze kenmerken maken de organisatorische cyber-victimologie veel complexer. De belangrijkste taak voor ciso’s is om het slachtofferprofiel van zowel hun organisatie als het management van hun organisatie te begrijpen. De ciso moet deze profielen vervolgens afstemmen op het cybersecurity-programma. Daarbij moeten potentiële aanvallers, veelgebruikte tactieken en de hieruit voortvloeiende beschermingsmaatregelenen in kaart worden gebracht.
Dit is een belangrijke reden waarom ciso’s moeten nadenken over de cyberbescherming van belangrijke leidinggevenden. Vanwege hun victimologie zijn zij en hun families vaak slachtoffers van complexe cybercrime-aanvallen. Ook kunnen leiders de oorzaak zijn van aanvallen tegen hun organisaties of vice versa. Een paar belangrijke overwegingen die bij de cyberbescherming van leidinggevenden worden meegenomen, zijn bijvoorbeeld:
- Analyse van het online gedrag van de leidinggevende;
- De cyber- en cyberfysieke kwetsbaarheid van de leidinggevende;
- Profielen van mensen die een nauwe relatie hebben met de leidinggevende;
- Het risico op een aanval.
Bijvoorbeeld, een ceo van een organisatie die in dierlijke bijproducten handelt kan de aandacht trekken en een doelwit worden van organisaties zoals het Earth Liberation Front of Anonymous. Dit zijn bekende hacktivistische groepen die cyberaanval-campagnes opzetten onder de noemer van de dierenrechten. Deze groepen maken gebruik van specifieke tactieken, technieken en procedures (ttp).
Door victimologische kenmerken in kaart te brengen kunnen zwakke plekken worden herkend die dit soort tegenstanders waarschijnlijk zullen aanvallen. Spearphishing, watering hole-aanvallen en brute forcing zijn slechts enkele voorbeelden van TTP’s die door hackersgroepen worden gebruikt. Dit zorgt voor een roadmap voor de effectiviteit van de cybersecurity van een organisatie en de belangrijkste componenten diet cybersecurity-programma moet bevatten.
Cyberbeveiligingsprogramma afstemmen op risicoprofiel
Dit leidt tot een paar belangrijke aandachtspunten voor de ciso of verantwoordelijken voor de cybersecurity van een organisatie:
- Een ciso moet een uitgebreid victimologieprofiel ontwikkelen van de organisatie, de belangrijkste leiders van de organisatie en de naaste medewerkers van deze leiders.
- Organisaties moeten effectieve dreigingsinformatie inzetten. Een effectieve informatiedienst moet naast technische informatie ook een analyse van criminele inlichtingen bevatten. Dit helpt zowel bij preventieve bescherming als bij de analyse van de dreiging achteraf.
- Richt je niet alleen op technologie en it. Hou ook rekening met criminologische elementen bij het opstellen van uw cybersecurityplan.
- Een goede oplossing voor het grote tekort aan cybersecurity-talenten is het inzetten van strafrechtelijke en criminologische afgestudeerden in plaats van enkel techneuten. Zij zorgen voor dit essentiële (en vaak over het hoofd geziene) element van cyberveiligheid.
Een effectief cybersecurity-programma bevat ook elementen uit de sociale wetenschappen zoals sociologie, criminologie en victimologie. Deze elementen komen met name voor in de criminologie en het strafrecht. Het combineren van victimologieprofielen kan effectieve informatie opleveren voor het opstellen van een effectief cybersecurityplan. Ciso’s moeten ermee stoppen om met oogkleppen naar het onderwerp te kijken. Het omarmen van een holistische aanpak die victimologie, solide informatie over bedreigingen en bescherming van de cybersecurity-leiders omvat, zorgt voor een klaar en effectief cybersecurity-programma.