Nu het leven zich steeds meer online afspeelt, worden steeds meer bedrijfskritische gegevens gedigitaliseerd. Hierdoor verplaatsen de dieven van deze gegevens zich ook naar de onlinewereld. Omdat deze dieven, en de daaropvolgende schade, niet (altijd) direct zichtbaar zijn, heeft de bewustwording rondom, en de bereidheid tot investering in, cybersecurity nog niet iedereen bereikt.
Internetcriminaliteit
Onderzoek van Deloitte wijst uit dat de kosten van internetcriminaliteit voor Nederlandse organisaties 10 miljard euro per jaar zijn. Toch wordt er door bedrijven nog te weinig geld geïnvesteerd in hun internetcriminalteit. Liesbeth Holterman, adviseur beleid en public affairs bij Nederland ICT, geeft aan dat dit komt door de kosten- en risicoafweging die bedrijven maken. “Wat kost het en wat levert het me op? Omdat er in Nederland nog geen echte grote aanvallen zijn geweest, denkt men al snel ‘dat overkomt mij niet’, en dan gaan ze er ook geen geld aan uitgeven.”
Het niet direct zien van de schade speelt hierin ook een rol. Bedrijven hebben veelal te maken met internetcriminelen die ongemerkt binnenkomen door menselijk handelen, vertelt Holterman. Als mensen op hun werk in een privémail op een linkje drukken of een attachment openen, kunnen zij ongewenst de deur openzetten voor potentieel gevaar. Hetzelfde kan gebeuren via social media. Als een CFO een filmpje aanklikt op de onlinepagina van zijn ‘kleindochter’, kan hij daarmee bijvoorbeeld ook onbewust hackers toegang tot de bedrijfsfinanciën geven.
Melding doen
De persoon die gehackt is moet direct een melding doen bij het bedrijf. Dit gebeurt echter vaak niet, vertelt Michiel van Blommestein, hoofdredacteur van Datacenter & Clouddossier en redacteur bij Channelconnect. Dit kan komen doordat men zich ervoor schaamt, ‘dat mij dat overkomen is’, of omdat de persoon het überhaupt niet merkt. “Zo kwam een hack bij zorgverzekeraar Anthem eind 2014 per toeval aan het licht, terwijl de aanvallers toen al enkele maanden toegang hadden tot de database.” Dit maakt het voor het bedrijf moeilijk om aangifte te doen, wat volgens Holterman het eerste is dat een bedrijf altijd moet doen.
De volgende stap is de rotzooi opruimen, kijken hoe de aanval mogelijk was en hoe dit voorkomen kan worden. Hierbij kan gedacht worden aan het opstellen van nieuwe protocollen, voor bijvoorbeeld het gebruik van privémail op het werk en het tijdig veranderen van wachtwoorden.
Investeren en awareness
Dit zijn echter achterafoplossingen. Een goede bescherming begint bij de inrichting van het IT-systeem. Holterman: “Zie het als een auto. Als je vanaf begin af aan weet welke bekleding je wilt, is het goedkoper als je dat van tevoren regelt, in plaats van de bekleding te veranderen als de auto al af is.”
Elk bedrijf zou minimaal 10 procent van het IT-budget moeten uitgeven aan veiligheid, waarbij bepaalde organisaties, zoals banken en ziekenhuizen, dit moeten vergroten vanwege de extragevoelige data.
Daarnaast is het vergroten van bewustwording erg belangrijk, omdat iedereen dus ongemerkt gehackt kan worden. Hierbij draait het niet alleen om het laten inzien van risico’s, maar ook om het uitleggen waarom bepaalde regels van kracht zijn. Van Blommestein geeft aan dat als processen als hinderlijk worden ervaren, werknemers deze sneller zullen omzeilen. Tevens moet melding maken van hacken worden aangemoedigd, zodat de betrokkenheid van werknemers bij cybersecurity wordt vergroot. “Deze investeringen zijn belangrijk, want uiteindelijk zijn bedrijven zelf verantwoordelijk voor hun cyberveiligheid”, sluit Holterman af.
