Cybersecurity: een kwestie van basismaatregelen
(Door Liesbeth Holterman, Cyberveilig Nederland) Cybercriminaliteit is een wereldwijd verdienmodel geworden. Op het dark web kun je kant-en-klare programma’s aanschaffen om een website plat te leggen. Volgens de FBI wordt er momenteel meer geld verdiend met cybercriminaliteit dan in de wereldwijd georganiseerde drugshandel. Het CBS meldt in haar veiligheidsmonitor 2019 dat in Nederland cybercrime de traditionele vormen van criminaliteit heeft ingehaald. Cyberincidenten vormen het grootste bedrijfsrisico (39 procent), aldus de Allianz Risk Barometer 2020. Kortom, cybercriminaliteit is een industrie geworden met diepe zakken, eigen R&D-activiteiten en verregaande professionaliteit.
De financiële sector in Nederland is al jarenlang een interessant doelwit voor cybercriminelen. Waar in eerste instantie vooral de banken een interessant doelwit waren (denk aan internetbankieren), zijn dat nu ook steeds meer kleine(re) bedrijven in de sector. Het is de data die deze bedrijven tot een aantrekkelijk doelwit maakt, en niet de bedrijfsomvang. En door de hoeveelheid aan persoons- en bankgegevens is de sector een interessant doelwit. Tel daarbij op dat de meeste ondernemingen een geringe bedrijfsomvang hebben, met weinig eigen cybersecurity expertise, maar wel erg afhankelijk zijn van IT-systemen. Volgens verzekeraar Hiscox staat de financiële dienstverlening dan ook op de tweede plaats van meest getroffen sectoren als het om cybercriminaliteit gaat. Gemiddelde schade: 149.000 euro. Het is dus belangrijk om minder kwetsbaar te zijn voor cybercriminelen. En cybercriminelen werken net zoals inbrekers. Ze kiezen het liefst een bedrijf waar ze de deur niet hoeven forceren en snel weer weg zijn met de buit. Postbus 51 zei het jaren geleden al: ‘Voorkomen is beter dan genezen.’ Zo geldt het ook voor cybersecurity. Wanneer je de juiste voorzorgsmaatregelen (preventie) neemt, ben je uiteindelijk beter uit dan wanneer je als organisatie de gevolgen van een cyberincident moet oplossen. Als organisatie, groot of klein, zijn er een aantal basismaatregelen die je al snel minder kwetsbaar maakt. Een aantal van de belangrijkste maatregelen zijn:
Inventariseer de risico’s in relatie tot je business
Bij het beschermen van data en informatiesystemen is het belangrijk dat je nadenkt over de risico’s in relatie tot je business. Om deze goed in te kunnen schatten zijn drie aspecten van belang. Vertrouwelijkheid, je moet bijvoorbeeld persoonsgegevens afschermen. Integriteit, kun je erop vertrouwen dat de gegevens correct zijn? Denk bijvoorbeeld aan bankrekeningnummers waarvan je niet wilt dat deze worden veranderd. En als derde beschikbaarheid. Hoe erg is het als je systeem uitvalt? Kun je dan nog doorwerken?
Maak medewerkers bewust van de do’s en dont’s op het internet
Bewustwording is heel belangrijk. Je hoeft niet heel veel te weten over cyberrisico’s, maar je moet je er wel van bewust zijn dat er risico’s zijn en hoe deze te voorkomen. Is het bijvoorbeeld zo dat werknemers op hun werktelefoon of tablet van alles mogen downloaden? Hierdoor ontstaat het risico op een datalek omdat er regelmatig apps tussen zitten, waarvan in de voorwaarden staat dat ze toegang hebben tot je adressenlijst en andere informatie op je apparaat. Herkennen je medewerkers een phishing-mail? Controleren zij bijvoorbeeld de links in e-mails, of de afzender? Is meerfactoridentificatie ingesteld om te voorkomen dat CXO-fraude mogelijk is? Zorg voor permanente training van je medewerkers om het bewustzijn hoog te houden en oefen dit regelmatig.
Zorg voor goede back-ups
Financieel dienstverleners hebben veel data waar ze mee werken. Hierdoor zijn financiële dienstverleners extra kwetsbaar voor bijvoorbeeld een ransomwareaanval. Ransomware (‘gijzelsoftware’) is kwaadaardige software waarbij een slachtoffer afgeperst wordt, nadat de digitale systemen of bestanden met een code op slot zijn gezet. De aanvaller biedt de code tegen losgeld aan, zodat het slachtoffer er weer bij kan. Door een goede, recente (offline) back-up wordt de schade die een ransomware kan aanrichten minimaal. Zorg er dus voor dat van je belangrijkste gegevens en documenten back-ups gemaakt worden. Mochten er toch persoonsgegevens verloren gaan, dan heb je mogelijk een datalek. Dat moet je melden bij de Autoriteit Persoonsgegevens.
Voer updates uit
Producenten van software zijn doorlopend bezig om hun producten veiliger te maken. Ontdekte kwetsbaarheden of een betere beveiliging worden via updates aangeboden. Dit zijn security patches. Cybercriminelen maken vaak gebruik van al bekende kwetsbaarheden om binnen te komen. Installeer dus in elk geval altijd direct de meest recente patches zodat je organisatie zo goed als mogelijk beveiligd is.
Kies veilige instellingen
De software die systemen aanstuurt (zoals bijvoorbeeld voor Windows10) wordt met standaard instellingen geleverd. Sommige van deze instellingen zijn niet veilig. Controleer dus altijd de instellingen van je apparatuur, software en netwerk- en internetverbindingen. Pas altijd de standaardinstellingen aan en kijk kritisch naar functies en diensten die automatisch ‘aan’ staan, want misschien heb je ze niet nodig en kun je ze ‘uit’ zetten.
Gebruik antivirus
Malware is kwaadaardige software die computersystemen verstoort, informatie verzamelt of versleutelt. Er zijn verschillende manieren waarop malware toegang krijgt tot een computer, smartphone of netwerk. Een gebruiker kan een geïnfecteerde e-mail (of bijlage) openen, een foute website bezoeken of een besmet bestand via bijvoorbeeld een USB-stick openen. Zodra de malware binnen is, verspreidt het zichzelf daarna als een
olievlek naar andere apparaten en/of gebruikers. Om je netwerk en je systemen veilig te houden is het belangrijk om antivirussoftware te hebben. Antivirus kan virussen identificeren, tegenhouden en bestaande virussen verwijderen.
Beperk autorisaties
Bepaalde medewerkers binnen de organisatie, zoals de administrator, hebben vaak zeer uitgebreide bevoegdheden om veranderingen aan te brengen op systemen en binnen applicaties. Voor cybercriminelen is het dus zeer interessant om toegang te krijgen tot dit type gebruiker. Zorg daarom dat je zo min mogelijk administrator rechten geeft aan gebruikers en dat je dit account zeer goed beschermt.
Maak heldere afspraken met toeleveranciers, zoals je cloud leverancier
Welke afspraken heb je gemaakt met anderen over digitale veiligheid? Wat betekent het voor jou als een ander een dienst niet kan leveren waar jij afhankelijk van bent? Hoe kwetsbaar ben jij dan? Voor financiële adviseurs geldt dit in toenemende mate voor cloud leveranciers. Denk vooraf na over welke informatie je in de cloud wilt zetten, wie daarbij mag en onder welke voorwaarden. Maak ook duidelijke afspraken en leg verantwoordelijkheden vast. Vragen die in ieder geval beantwoord moeten worden door de cloud leverancier zijn: wordt mijn informatie versleuteld? Wie kan er bij mijn informatie? Welke maatregelen worden getroffen om die veiligheid te garanderen en wie controleert dat? Al deze vragen zijn relevant omdat jij altijd controle moet houden over de informatie. Niet alleen omdat je die nodig hebt om te ondernemen, maar ook omdat je je hebt te houden aan wet en regelgeving (bijvoorbeeld de Algemene Verordening Gegevensbescherming).
Liesbeth Holterman: ‘Voorkomen is beter dan genezen.’
Deel ervaringen met elkaar
De eenvoudigste maatregel is het belang van het delen van ervaringen met elkaar. Daarom mijn oproep aan iedereen die zelf slachtoffer is geworden of slachtoffers kent: praat er over. Nog steeds durven maar weinig organisaties openlijk te praten over hetgeen hun is overkomen. Terwijl anderen juist kunnen leren van je incident. Alleen op deze manier voorkomen we dat slachtoffers zich slachtoffer blijven voelen. Wanneer we er een aantal kunnen voorkomen door open te zijn verspreid zich dit als een olievlek en daar worden we allemaal beter van. Zolang de slachtoffers niet openlijk durven te praten over hun ervaringen over de impact van een cybersecurity incident is de financiële sector onaanvaardbaar kwetsbaar. En daar wordt niemand beter van.
Reactie toevoegen
Meer over
Interpolis: ondernemers onderschatten impact cyberaanval
Ondernemers onderschatten de impact van een cyberaanval op hun bedrijf en medewerkers. Negen van de tien ondernemers denkt binnen een week na een succesvolle aanval...
(Redacteur Toon Berendsen in de rubriek Adviesalerts! in VVP 2) De markt voor cyberverzekeringen is nog volop in ontwikkeling. Steeds duidelijker wordt dat...
Kracht en gevaar van algoritmes
(Maria Genova in Katern Cyber in VVP 2) Kunstmatige intelligentie wordt tegenwoordig in steeds meer sectoren ingezet. Het levert prachtige resultaten op, maar...
(Marie-Louise de Smit en Maarten de Jonge van Aon en Ruud de Pont van Klap in Katern Cyber in VVP 2) Terwijl het risico van een cyberaanval elk jaar groter wordt,...
Slechts 5 procent Nederlanders verzekerd tegen schade door cybercriminaliteit
Iets meer dan de helft van alle Nederlanders wil zich beter beschermen tegen cybercriminaliteit, zo blijkt uit onderzoek van PanelWizard in opdracht van Nationale-Nederlanden...
Verbond gaat tanden zetten in klimaat, cyber en letselschade
“We ambiëren nog nadrukkelijker een actieve maatschappelijke voortrekkersrol en zullen onze tanden zetten in de thema’s klimaat, cyberveiligheid...
Tanden zetten in thema’s klimaat, cyber en letselschade
In een Tour d’Horizon met Verbondsdirecteur Richard Weurding bespreekt VVP in VVP 6 de belangrijkste uitdagingen voor de financiële sector. Wat er nu...
Perfect Day voorziet meer cyberaanvallen via ketenpartners
Phishing e-mails worden nog lastiger te onderscheiden en meer cyberaanvallen via ketenpartners. Dat zijn enkele van de trends die Perfect Day ziet op cybervlak....
Waar blijft de Bitcoin-polis?!
(Uit Katern Cyber in VVP 5-2021) Cryptogeld rukt op. Maar waar blijft de Bitcoin-polis?! Of is zo’n verzekering misschien helemaal niet zo’n goed idee?...
(Uit Katern Cyber in VVP 5-2021) Welke ontwikkelingen zijn er bij cyberrisicomanagement en cyberverzekering? VVP praat u bij middels een aantal adviesalerts! Het...