In samenwerking met professor Sally Eaves, werkzaam bij het Global Foundation for Cyber Studies and Research, heeft Kingston Technology, wereldleider op het gebied van geheugenproducten en technologische oplossingen, onlangs een vraag- en antwoordsessie over cyberbeveiliging georganiseerd. Tijdens deze sessie bleek dat iedereen slachtoffer van een cyberaanval kan zijn en dat een doordacht beleid voor cybersecurity een belangrijke factor in de voorkoming daarvan kan spelen.
In onze huidige samenleving zien we niet alleen een toename van het aantal aanvallen, maar ze vinden ook frequenter plaats en zijn complexer van opzet. Dat is ook niet zo gek als je bedenkt dat ons leven doordrenkt is met digitale technologie. Sterker, we kunnen vrijwel niet zonder connected technologie leven. Iedereen gebruikt apparaten die voortdurend met het internet verbonden zijn.
Kat-en-muisspel met cybercriminelen
Als we kijken naar het bedrijfsleven, dan zien we dat tegenwoordig ook kleine bedrijven het slachtoffer van cyberaanvallen zijn. Voorheen waren dat voornamelijk de grotere bedrijven, omdat cybercriminelen dachten dat daar meer te halen viel. Een andere ontwikkeling is dat de meeste bedrijven de afgelopen twee jaar het hybride werken massaal hebben omarmd. Dat betekent dat veel werknemers buiten het zicht van IT-specialisten vanuit huis met technologie van het bedrijf werken. Dat maakt bedrijven extra kwetsbaar voor cyberaanvallen.
In het voortdurende kat-en-muisspel tussen cyberbeveiligers en cybercriminelen maken beide partijen tegenwoordig gebruik van geavanceerde technologieën, zoals kunstmatige intelligentie. Op het moment dat de white hats een kwetsbaarheid ontdekken, gebruiken ze deze technologie om dit gat in de beveiliging te dichten. Tegelijkertijd proberen de black hats op hetzelfde moment met gebruik van dezelfde technologie deze zwakke plekken in de beveiliging te misbruiken om zo toegang tot de bedrijfssystemen te krijgen.
Daarnaast zien we ook een verschuiving in het type aanvallen. Voorheen waren er veel aanvallen met ransomware: cybercriminelen versleutelden belangrijke bedrijfsdata, inclusief de belangrijke back-ups. Pas na betaling van een aanzienlijke hoeveelheid losgeld in bitcoins kregen bedrijven weer toegang tot hun gegevens. Tegenwoordig dreigen cybercriminelen ook met het openbaar maken van bedrijfsdata (double extortion). Het openbaar maken van data staat gelijk aan een datalek, waarvoor bedrijven tegenwoordig hoge boetes kunnen krijgen. Om dat te voorkomen betalen bedrijven noodgedwongen hoge bedragen aan deze criminelen.
Menselijke component in cyberbeveiliging
Daarnaast is een cyberattack organiseren tegenwoordig makkelijker dan ooit. Een creditcard is voldoende om een aanval te starten. Sally Eaves: “Op illegale marktplaatsen bieden hackers hun diensten aan. Voor een vast bedrag kun je daar diensten zoals phishing, DDoS-attack en andere aanvallen afnemen. Deze laagdrempeligheid zorgt ook voor een toename van het aantal cyberaanvallen.”
CISO’s moeten ook rekening houden met de menselijke component in cyberbeveiliging. Met behulp van slimme hardware en beveiligingsoplossingen weten ze doorgaans de meeste cyberaanvallen af te slaan, maar de mens blijkt vaak nog steeds de zwakste schakel in de cyberbeveiliging te zijn. Als een medewerker bijvoorbeeld op een malafide link in een e-mail klikt, kan een cybercrimineel toegang tot het bedrijfsnetwerk krijgen. Onderschat ook social engineering niet: een cybercrimineel kan zich voordoen als iemand van systeembeheer en de medewerker vragen met zijn wachtwoord op een bepaalde internetpagina in te loggen. Het resultaat is dat de cybercrimineel met de buitgemaakte logingegevens toegang tot vertrouwelijke bedrijfsdata krijgt.
Daarom is het belangrijk om medewerkers op het gebied van cyberveiligheid te trainen. Om dit te realiseren, moeten bedrijven hiervoor budget en middelen beschikbaar stellen. Medewerkers moeten zich bewust worden van de gevaren die met het gebruik van toegangsapparaten samenhangen. Ze moeten leren dat ze nooit op verdachte links in vage e-mail berichten mogen klikken en geen vertrouwelijke data aan de telefoon mogen doorgeven. Naast trainingen aanbieden, moet een bedrijf ook zorgen voor een extra beveiligingslaag voor de apparaten die medewerkers gebruiken. Te denken valt aan two-factor authentication bij het inloggen in bedrijfssystemen. Na het invoeren van gebruikersnaam en wachtwoord ontvangen medewerkers via hun smartphone een aanvullende code die ze moeten invoeren om toegang te krijgen. Dat zorgt ervoor dat buitgemaakte gebruikersnamen en wachtwoorden in handen van criminelen zinloos zijn.
Goede cyberhygiëne in acht nemen
Volgens professor Sally Eaves moeten bedrijven een goede cyberhygiëne in acht nemen. Ze bedoelt hiermee dat bedrijven en medewerkers op IT-gebied zich heel bewust moeten zijn wat ze doen. Ze moeten een transparant beleid voor cybersecurity ontwikkelen met een minimum aan complexiteit. Iedereen in het bedrijf moet de regels rondom cybersecurity kunnen begrijpen en toepassen. Sally Eaves is van mening dat bedrijven door toepassing van een goede cyberhygiëne 98% van de cyberaanvallen kunnen afslaan.
Ook data in kaart brengen en datastromen monitoren speelt een grote rol, denk hierbij bijvoorbeeld aan het regelmatig wissen van onnodig opgeslagen gegevens. Beperk ook de toegang tot bepaalde data voor bepaalde gebruikers. Medewerkers moeten alleen toegang hebben tot data die ze daadwerkelijk voor de uitoefening van hun werkzaamheden nodig hebben. Het is aan te bevelen om verschillende rollen met een daaraan gekoppeld toegangsbeleid voor data te formuleren.
Verder spelen bij cybersecurity endpoints ook een essentiële rol. Het gaat hierbij om laptops, desktop pc’s, smartphones en tablets waarmee medewerkers werken. Elk toestel kan het doelwit van een aanval zijn. Vooral als medewerkers in het kader van BYOD (Bring Your Own Device) eigen apparaten zoals smartphones en computers inzetten, ontstaat een extra veiligheidsrisico voor het bedrijf. Daarom is het slim als bedrijven een beleid voor Endpoint detection and response (EDR) implementeren.
Opslagmedia met encryptiemogelijkheid
Ook draagbare opslagmedia, zoals externe harde schijven en usb-sticks, zijn kwetsbaar. Organisaties die dergelijke opslagmedia gebruiken, moeten exemplaren gebruiken die ze kunnen versleutelen. Op het moment dat bijvoorbeeld een versleuteld usb-opslagmedium in verkeerde handen valt, kan er niets gebeuren doordat opgeslagen data bestaan uit willekeurige enen en nullen die voor een cybercrimineel zinloos zijn. Een voorbeeld van veilige usb-sticks met ingebouwde encryptiemogelijkheden is de IronKey-productlijn van Kingston, die versleutelde producten biedt voor ieders behoefte, van de bescherming van uw eigen persoonlijke gegevens tot zeer geheime gegevens.
Tot slot moeten bedrijven een balans zien te vinden tussen het beveiligingsniveau en het welzijn van de medewerker die zijn dagelijkse taken afrondt. Sally Eaves: “Niemand zit te wachten op een situatie waarin we voortdurend ontvangen codes moeten invoeren om documenten te bekijken of toegang tot applicaties te krijgen. Dat verlaagt namelijk de productiviteit en gaat ten koste van het werkplezier. Tegelijkertijd moeten bedrijven wel waken dat ze alles voldoende dichttimmeren om cybercriminelen buiten de deur te houden. Uiteindelijk gaat het erom dat medewerkers zich bewust zijn van de gevaren van cyberaanvallen. Dat in combinatie met een doordacht beleid voor cybersecurity moet organisaties in staat stellen om in 2022 de meeste cyberaanvallen af te slaan.”
