De weerbaarheid van Nederland tegen cyberaanvallen is onvoldoende, is de conclusie van het meest recente Cybersecuritybeeld Nederland van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). Dat verbaast me niet.
Ik maak geregeld mee dat bedrijven cyberveiligheid de rug toekeren onder het mom van ‘mijn data zijn toch niet interessant’. Was dit al nooit een goed argument, er is een steeds groter wordende speler op het cybercriminele toneel die dit in z’n geheel teniet doet: e-crime, oftewel cybercriminaliteit met uitsluitend financieel motief. Elk soort data is hierdoor interessant en daarmee een potentieel doelwit. In deze blog leg ik uit hoe dit zit en wat je kunt doen om voorbereid te zijn.
Darkweb
Een ontwikkeling die we zien dit jaar is dat wachtwoorden en identiteiten binnen organisaties steeds aantrekkelijker worden voor cybercriminelen. Waar ze voorheen hun slag sloegen met malware om toegang te krijgen via endpoints of zwakke plekken, slaan ze nu stappen over door simpelweg in te loggen in systemen met gestolen inloggegevens. Daar komt geen malware meer aan te pas. Deze hands-on-attacks maakten in 2021 bijna twee derde van alle cyberaanvallen uit, laat het ‘2022 Global Threat Report‘ zien. Het voornaamste motief? Geld.
E-crime was het motief achter de helft van alle geobserveerde activiteiten in 2021. Criminelen loggen in, versleutelen je data en vragen losgeld om dit terug te krijgen. Soms komen ze daarna zelfs terug met een nieuwe eis om te betalen, ditmaal met de dreiging om je data op het darkweb te plaatsen. Om nog maar niet te spreken over eventuele schadevergoedingen die je klanten moet betalen. Elk soort data, van elk soort bedrijf is voor e-crime dus interessant. Niet omdat die data per se relevant is voor hen, maar wel omdat het waarde heeft voor jou en je daarom bereid bent om ervoor te betalen.
Kop-in-het-zand-houding
Dit is een verontrustende trend, zeker in het licht van de kop-in-het-zand-houding die veel bedrijven nog hanteren. Zo stelt het Cybersecuritybeeld Nederland dat investeringen in cybersecurity voor veel bedrijven nog steeds een kostenpost zijn en daarom soms reactief in het leven worden geroepen, na een incident of dreiging. Precies dat reactieve is zorgelijk.
Eén van de grootste uitdagingen om je te beschermen tegen cybercriminaliteit is dat er steeds minder tijd is. Criminelen hadden in 2021 nog maar anderhalf uur nodig om toegang te krijgen tot waardevolle data. Een reactieve tactiek is niet meer houdbaar, dan ben je simpelweg te laat. Nu criminelen zich steeds meer wenden tot wachtwoorden en identiteiten in plaats van malware, wordt de break-out-tijd alleen nog maar sneller, helemaal als je weet dat er een levendige handel is in identiteiten op het darkweb. Je bent dus genoodzaakt vóóraf de nodige maatregelen te treffen.
Cybersecuritycultuur
Een goed verweer tegen cybersecurityaanvallen staat of valt met goed ingeregelde interne processen en beveiliging van endpoints, data én identiteiten. Goede technologie speelt daar onverminderd een rol in. Maar wat kun je zelf in de organisatie doen?
Een goede aanvulling op technologie is het realiseren van een cybersecuritycultuur binnen de organisatie. Eindgebruikers blijven immers een zwakke schakel, vooral als wachtwoorden en identiteiten het speerpunt van criminelen worden om toegang tot systemen te krijgen. Bewustwordingsprogramma’s of -campagnes zijn effectief om waakzaamheid in de gehele organisatie te realiseren. Denk aan het organiseren van trainingen over hoe medewerkers phishingmails herkennen of rapporteren, of hoe je complexe wachtwoorden kunt generen voor al je accounts. Met dit soort trainingen voorkom je zaken als phishing en maak je het moeilijker voor criminelen om inloggegevens buit te maken.
Voor ieder wat wils
Ten opzichte van 2020 is er in alle sectoren sprake van een stijging in het aantal cyberaanvallen. Dit onderstreept het belang om te allen tijde voorbereid te zijn. Nu e-crime in de lift zit, is elk soort data aantrekkelijk voor cybercriminelen. Het maakt niet meer uit of je in het onderwijs werkt, in de zorg of je bezighoudt met geheime data: als het om e-crime gaat, is de digitale dreiging net zo groot.
Zolang cybercriminelen jouw data in handen kunnen krijgen om te versleutelen, ben je een doelwit. Het is tijd om weerbaar(der) te worden.