Het is lastig het stijgende aantal cyberaanvallen van de afgelopen jaren te negeren. De toename van medewerkers die ervoor kiezen om op afstand te werken zorgt voor nieuwe werkomgevingen. Dit heeft het risicolandschap voor het mkb in alle verschillende markten verder doen versnellen. Daarnaast nemen de bedreigingen aanzienlijk toe.
In het nieuws wordt vaak slechts een tipje van de sluier opgelicht over de aanvallen en wordt geprobeerd direct antwoord te geven op vragen als wie, wat, waar en hoe. Maar de werkelijke kosten van online-aanvallen worden diep gevoeld door de aangevallen bedrijven, omdat zij moeten nadenken over de preventieve maatregelen die zij kunnen nemen om de kans op een inbreuk te beperken.
Inbraak thuis
Met name phishing-aanvallen zijn exponentieel toegenomen sinds de verschuiving naar werken op afstand. Volgens het ‘New Future of Work Report‘ van Microsoft heeft tachtig procent van de beveiligingsprofessionals een toename van de beveiligingsrisico’s ervaren sinds de overstap naar werken op afstand. Een krappe twee derde van deze professionals merkte op dat phishing-aanvallen meer zijn toegenomen ten opzichte van alle andere soorten bedreigingen.
Phishing-aanvallen zijn gericht op het stelen van gebruikersinformatie, zoals creditcardnummers en inloggegevens. Dit gebeurt wanneer een aanvaller een slachtoffer verleidt tot het openen van een e-mail, chatbericht of sms door zich voor te doen als een betrouwbare bron. De diefstal van dergelijke gegevens heeft echter een impact die verder reikt dan enkel het doelwit; het geeft de hacker onder meer toegang tot bedrijfssystemen.
De toename van phishing-aanvallen is toe te schrijven aan het aantal medewerkers dat vanaf onbeschermde thuisnetwerksystemen werkt. Hackers kunnen deze thuisnetwerken gemakkelijker infiltreren, omdat zij niet over het beschermingsniveau beschikken dat in kantooromgevingen gebruikelijk is.
Werkapparatuur
Of het nu gaat om een werknemer die werkapparatuur gebruikt zonder adequate beveiligingssoftware, of om bedrijfsgegevens die via open netwerken buiten het kantoor worden blootgesteld, kleine en middelgrote ondernemingen worden geconfronteerd met grotere beveiligingsrisico’s dan ooit tevoren.
De financiële kosten van dergelijke aanvallen kunnen catastrofale gevolgen hebben voor een bedrijf. Volgens het IBM-rapport van 2021 over de kosten van een datalek zijn phishing-gerelateerde aanvallen de op een na duurste inbreuk, die bedrijven gemiddeld 4,65 miljoen dollar kost.
Als een bedrijf wordt gehackt en zijn klantgegevens worden gelekt, kan dit bovendien grote gevolgen hebben voor de reputatie van het bedrijf. Vorig jaar betaalde T-Mobile bijvoorbeeld 350 miljoen dollar voor een collectieve rechtszaak nadat het bedrijf met een ernstig datalek werd geconfronteerd.
Voorlichting
Vaak worden de gegevens die tijdens een phishing-aanval worden verzameld, verkocht op het darkweb zodat andere cybercriminelen ze kunnen gebruiken. Bovendien merken veel bedrijven dat ze na een phishing-aanval worden overspoeld met de ene golf kwaadaardige e-mails na de andere. Dat komt doordat diezelfde kwaadwillenden de kwetsbare e-mailadressen publiceren zodat andere criminelen er in de toekomst gebruik van kunnen maken.
Hoewel voorlichting aan het personeel over cyberbeveiliging de beste eerste verdediging tegen dergelijke aanvallen is, moet het mkb nu voorbereid zijn op het moment dat hun gegevens onvermijdelijk op het darkweb terechtkomen. Door te investeren in darkwebmonitoringdiensten kunnen organisaties ontdekken of hun gegevens zijn geüpload naar het darkweb.
Deze beveiligingsdienst werkt door de darkwebmarktplaatsen te doorzoeken op bedrijfs- of persoonsgegevens. Als er bedrijfs- of persoonsgegevens worden ontdekt, brengt de dienst de it-beheerders op de hoogte, zodat zij passende maatregelen kunnen nemen om de dreiging af te zwakken. Voor mkb’ers is het noodzakelijk in te zien, in het licht van dit onophoudelijke online-dreigingspotentieel, dat darkwebmonitoring van levensbelang is voor het voortbestaan van hun organisaties.
(Auteur Peter van der Putten is head of channel bij Zyxel.)