Dat er ransomware wordt verstuurd is niet nieuw en ook niet vreemd. Dat nog altijd veel bedrijven te weinig 'basismaatregelen' nemen om zich daartegen te wapenen, is dat wel. Want met bewustzijn en waakzaamheid is veel leed te voorkomen.
Deze week is groot in het nieuws: tientallen Nederlandse bedrijven zijn slachtoffer geworden van ransomware. Hun computers of bestanden daarop waren ‘gegijzeld’ en om de gijzeling op te heffen moest losgeld worden betaald. Aanvallers hadden het deze keer volgens de NOS vooral gemunt op grote bedrijven, zoals in de automobielindustrie en hun toeleveranciers. In het vertrouwelijke rapport adviseert het Nationaal Cyber Security Centrum om basale maatregelen te nemen: updates te draaien, backups te maken en te zorgen dat je een plan hebt als het toch mis gaat. Ook het belang van alertheid onder medewerkers wordt genoemd.
De mens
Heel goed dat het NCSC er op wijst dat de mens de zwakste schakel is. In 90 procent van de gevallen komen aanvallers binnen bij bedrijven via een mens: een handeling van een medewerker. Eén klik op een verkeerde link, het openen van een besmet bestand of bijlage, of het werken met verouderde software. Het probleem is niet nieuw, maar dit is wel het moment voor bedrijven om er wat aan te doen.
Het goede nieuws is: alertheid is aan te leren. Bij KnowBe4 meten we hoe kwetsbaar medewerkers zijn voor cybersecurity gerelateerde gevaren, vóór, direct na, en ook geruimere tijd na een training. Ik zie in deze onderzoeken dat de grotere alertheid leidt tot een enorme daling in kwetsbaarheid. Niet langer in 90 procent, maar slechts in minder dan 5 procent van de gevallen bereikt de aanvaller zijn doel.
Ik snap dat ondernemingen investeren in technologische hulpmiddelen: een goed software- en hardwaresysteem zijn belangrijke elementen in een veilige werkwijze. Het baart me zorgen dat er zo weinig wordt gedaan aan de waakzaamheid van medewerkers. Dit is zeker zo belangrijk.
One click you’re out (en zij zijn binnen)
Iedere organisatie heeft een eigen cybersecurity behoefte, en dus ook een maatwerk cybersecurity aanpak nodig. Maar veel bedrijven hebben daar onvoldoende over nagedacht, laat staan dat alle medewerkers erbij zijn betrokken. Grote bedreigingen via de medewerkers zijn:
- Geen zin, tijd of geld (of andere redenen) om een update te draaien van de software. Deze updates lossen problemen op die in eerdere versies van de software voorkwamen. Die problemen zijn vaak online gedocumenteerd, dus potentieel bij hackers bekend, en dus kunnen zij relatief eenvoudig binnenkomen in computers die niet snel worden bijgewerkt. Wij komen bijna geen bedrijven tegen waar álle updates van álle programma’s correct zijn bijgewerkt. In veel gevallen staan de patch-deuren jaren lang wagenwijd open voor indringers.
- Onoplettendheid van gebruikers, die onnadenkend op een verkeerde link of download klikken. Als je via een verkeerde link op een geïnfecteerde site komt, kan er al een fout stukje software op je bedrijfscomputers worden geplaatst. Vanaf dat moment is de kwaadwillende hacker ‘binnen’ en kan hij zijn aanval inzetten wanneer hij wil.
- Medewerkers raken om de haverklap usb-sticks, externe harde schijven, laptops kwijt. Valt zo’n drager in verkeerde handen, dan kan dat leiden tot dramatische gevolgen.
- Onoplettenheid bij it-afdelingen. Een aanval kan gepaard gaan met ongebruikelijk data-verkeer dat door een it-afdeling of security operations center gemonitord kan worden. Gaat er ineens ongebruikelijk veel data naar een server waar je geen zakenrelaties hebt? Opletten!
- De wil om (ook vreemden) te helpen. Veel professionals zijn kwetsbaar voor social engineering of phishing. Via een telefoontje of een onschuldig ogend webformuliertje laten ze zich informatie ontfutselen waarmee de indringer zijn slag kan slaan. Of – en ook dat gebeurt vaker dan je denk -: ze voeren zonder dubbelcheck een betaalopdracht uit die van de baas lijkt te komen maar dat niet is, de zogenaamde ceo-fraude.
- De wens om goedkoop uit te zijn. Medewerkers zijn ook maar mensen, ze willen graag geloven dat ze een voordeeltje behalen. Daarom trappen ze in betaalverzoeken van Nigeriaanse prinsen, shoppen ze in nagemaakte webwinkels en vallen ze voor phishing trucs zoals namaak-tikkies op Marktplaats. In deze maanden wordt er meer online gekocht, en dat is ook voor de oplichters een gouden tijd.
Schade is groot
De schade van een geslaagde aanval is groot. In directe zin, omdat je kosten maakt om de impact te beperken of de schade op te ruimen, maar ook in indirecte zin. Denk aan reputatieschade en onrust onder medewerkers.
Dus wat te doen? Ga vandaag nog na wat er in jouw bedrijf gedaan moet worden om de zwakste schakel in je cyberveiligheid – je medewerkers – te versterken. Bewustzijn is goed, dit is het moment om stappen te zetten.
Het is voor aanvallers vaak eenvoudig om via het dark web ransomware of andere aanvalsmethoden aan te schaffen of om gebruikers te bestoken met foute mails. Ze schieten dan ook in de meeste gevallen met hagel, in de hoop dat er iemand in hun val loopt. Zorg ervoor dat jouw bedrijf niet ten prooi valt aan deze criminaliteit. Vergroot de waakzaamheid van je medewerkers. Zo zorg je als bedrijf het beste voor je klanten en je medewerkers.
