Met het verdwijnen van de pandemie naar de achtergrond en organisaties gewend aan hybride werken, neemt ook het vertrouwen in de beveiliging toe. Helaas voelen cybercriminelen zich ook prettig bij deze situatie. Nu het aanvalsoppervlak groter is geworden, heeft deze 'beroepsgroep' de vaardigheden verbeterd en zowel bekende als nieuwe manieren gevonden om bedrijven aan te vallen.
Uit een onlangs verschenen onderzoek blijkt dat e-mail-aanvallen het cyberlandschap nog altijd domineren: negen op de tien Nederlandse organisaties hebben vorig jaar ten minste één succesvolle phishingaanval via e-mail meegemaakt. Tot overmaat van ramp is de financiële schade van deze aanvallen met een derde gestegen door de verbeterde technieken van veel aanvallers.
Hoewel securityteams niet kunnen voorkomen dat cybercriminelen hun organisaties aanvallen, is het zorgwekkend dat werknemers voor een groot deel verantwoordelijk zijn voor het succes van dergelijke aanvallen. De meeste aanvallen zijn nog steeds gericht op gebruikers en niet op systemen. Hoewel iedereen zich dat maar al te goed beseft, is er nog een lange weg te gaan.
Basiskennis
Ciso’s hebben de afgelopen jaren geleerd dat externe en hybride omgevingen risico’s met zich meebrengen. Sinds deze omgevingen in 2020 op grote schaal zijn ingevoerd, is er veel gedaan om deze omgevingen beter te beveiligen. Innovatieve controles en nieuwe technologieën zijn belangrijk voor cybersecurity, maar de training van eindgebruikers is bepalend.
Maar opnieuw schiet de basiskennis van gangbare cyberdreigingen tekort. Meer dan een derde van de respondenten in het eerdergenoemde onderzoek kon malware of phishing niet definiëren, terwijl slechts 40 procent weet wat ransomware is. De oorzaak hiervan is vrij duidelijk. Hoewel bijna alle organisaties zeggen over een trainingsprogramma te beschikken, traint slechts ongeveer de helft van hen elk teamlid. Daarmee is dus de helft van het personeelsbestand onvoldoende in staat om cyberdreigingen te herkennen en tegen te gaan.
Daarom is het essentieel dat training in de juiste context wordt gegeven. Gebruikers moeten begrijpen hoe zij in aanraking kunnen komen met moderne cyberaanvallen en wat zij in dat geval moeten doen. Simulaties op basis van praktijkvoorbeelden zijn een effectieve manier om dit te doen, maar toch wordt deze trainingsmethode door circa een derde van de Nederlandse organisaties gebruikt.
Dreigingslandschap
Op het eerste gezicht zal het huidige dreigingslandschap een doorgewinterde cybersecurity-professional niet van zijn stuk brengen. Maar hoewel phishing, business email compromise (bec) en ransomware populair blijven bij cybercriminelen, hebben zij hun aanvallen opgeschroefd om maximale schade aan te richten.
Bijna alle onderzochte Nederlandse organisaties (94 procent) kregen vorig jaar te maken met ransomware, waarbij driekwart kampte met een succesvolle ransomware-infectie. Van de drie uit vier partijen die losgeld betaalde, kreeg de helft bij de eerste poging weer toegang tot hun gegevens.
Een andere bekende vijand is bec. Driekwart van alle bedrijven ter wereld kreeg vorig jaar te maken met een dergelijke aanval, waarbij vooral organisaties in niet-Engelstalige landen gevaar liepen. Zo steeg het aantal bec-aanvallen in Spanje met 13, in Duitsland met 11 en in Frankrijk met 5 procent. Nederland stond samen met Zweden boven aan de lijst landen met het hoogste aantal bec-aanvallen.
Insider threats en het coronavirus hebben ook nog steeds een grote impact. Remote en hybride werken verhogen het risico op nalatigheid van werknemers en helpen kwaadwillenden hun acties te verbergen. Opvallend genoeg heeft Nederland de twijfelachtige eer dat het in vergelijking met andere landen vaker te maken heeft met cyberaanvallen door zowel insiders (86 tegenover het wereldwijde gemiddelde van 66 procent) als buitenstaanders (84 tegenover 68).
Vorig jaar had 86 procent van de Nederlandse organisaties te maken met dataverlies door een insider, waarbij een derde van de vertrekkende werknemers toegaf data te hebben meegenomen.
Ondertussen voeren bedreigers steeds complexere e-mailaanvallen uit. Vorig jaar werden dagelijks honderdduizenden phishingberichten verstuurd, waardoor bijna alle onderzochte organisaties gevaar liepen. Deze aanvallen hadden als doel om multifactor-authenticatie (mfa) te omzeilen of om een gebruiker te verleiden een bepaald telefoonnummer te bellen. Aangezien veel mensen erop vertrouwen dat mfa gevoelige accounts en netwerken beveiligt, biedt elke methode om deze bescherming te omzeilen cybercriminelen een groot voordeel.
Dit alles leidt tot een herkenbaar verhaal: cybercriminelen hebben de tijd en de vastberadenheid om nieuwe manieren te vinden om de verdediging te omzeilen en cybersecurity-teams voelen zich gevangen in een wapenwedloop die zij niet kunnen winnen.
Omzeilen
Terwijl wij druk bezig zijn om onze verdediging te verbeteren, vinden cybercriminelen nieuwe en vernietigende manieren om die verdediging te omzeilen. Dat is niks nieuws en gelijke tred houden is een must. Maar cybersecurity gaat om meer dan alleen het dichten van gaten wanneer die ontstaan.
Ongeacht de tegenstander moeten begrip en training altijd de basis vormen van een effectieve cybersecurity-strategie. Hoe meer je medewerkers weten over de aanvallen waarmee ze te maken krijgen, hoe ze die tegenkomen en hoe ze die kunnen tegenhouden, hoe beter ze in staat zijn je organisatie en data te beschermen.
Bepaal eerst wie het grootste risico loopt, hetzij door gebrekkige cybervaardigheden, hetzij door een hoge kans op een cyberaanval, en richt je middelen op waar ze het hardst nodig zijn. Implementeer vervolgens een bedrijfsbreed trainingsprogramma voor beveiligingsbewustzijn dat regelmatig wordt uitgevoerd.
Het resultaat is een sterke beveiligingscultuur waarin je medewerkers gemotiveerd zijn om beveiligingsgewoonten aan te leren en deze elke dag toe te passen. Uiteindelijk zal je organisatie veel veiliger zijn, ongeacht wat cybercriminelen proberen.
