In mijn vorige blog verbaasde ik me over het feit dat veel bedrijven nalaten om basismaatregelen op het gebied van ICT-beveiliging te nemen. Bij 63 procent van alle bevestigde datalekken was sprake van zwakke, standaard of gestolen wachtwoorden. Bij het formuleren van een bedrijfsbrede beveiligingsstrategie worden werknemers vaak over het hoofd gezien. Het personeel wordt niet beschouwd als een belangrijke beveiligingsfactor. Dat is een kapitale fout, omdat werknemers voor opportunistische hackers vaak een makkelijke prooi vormen.
Het aantal beveiligingsrisico’s is de afgelopen jaren exponentieel gegroeid. De reden hiervoor is dat werknemers zich via steeds meer apparaten en toegangspunten aanmelden op het bedrijfsnetwerk. Organisaties worden hierdoor maar al te vaak blootgesteld aan geavanceerde aanvallen.
Tijdens ons onderzoek voor het meest recente Data Breach Investigation Report merkten we dat ‘mensgerichte’ tactieken de absolute voorkeur van cybercriminelen genoten. De categorie ‘overige fouten’ (onopzettelijke acties of fouten) resulteerde in meer incidenten dan om het even welke aanvalstechniek. Schokkend genoeg was er in 26 procent van deze gevallen sprake van werknemers die per ongeluk gevoelige informatie naar de verkeerde persoon mailden. Verder was er ten opzichte van vorig jaar sprake van een drastische toename van phishing, een techniek waarbij cybercriminelen kwaadaardige e-mailberichten verzenden die van een legitieme afzender afkomstig lijken te zijn. Alarmerend genoeg werd 30 procent van alle phishing-berichten geopend, een stijging van 23 procent ten opzichte van 2015. Van alle ontvangers opende 13 procent een kwaadaardige bijdrage of link, zodat er malware werd geïnstalleerd en cybercriminelen toegang tot het bedrijfsnetwerk konden krijgen.
Als werknemers de risico’s rond hun digitale activiteiten kennen en begrijpen, kan een groot aantal van deze veel voorkomende beveiligingsincidenten worden voorkomen. Regelmatige training en voorlichting, het juiste beleid, de juiste oplossingen voor databescherming en het toekennen van zo min mogelijk toegangsrechten vormen in dit verband de sleutel tot succes.
Werknemers vormen het meest waardevolle aspect van onderneming en het intelligentste. Werkgevers zouden hen daarom training en ondersteuning op het gebied van beveiliging moeten bieden. Als organisaties louter vertrouwen op technologie, zijn zij onvoldoende beschermd tegen cyberaanvallen. En uiteindelijk is de beveiliging de verantwoordelijkheid van iedereen.
Maak gebruik van de beschikbare kennis
Veel bedrijven die ten prooi vallen aan cyberaanvallen hebben geen basismaatregelen op het gebied van beveiliging getroffen, zoals het identificeren van de meest bedrijfskritische systemen en data en die te beschermen met krachtiger beveiligingsmechanismen. Het nalaten om deze basismaatregelen te treffen kan rampzalige gevolgen hebben.
Een paar aanbevelingen ten aanzien van basismaatregelen: verwerf inzicht in de aanvalspatronen die binnen uw branche het meeste voorkomen, maak gebruik van two-factor authenticatie voor uw bedrijfssystemen, moedig gebruikers aan om zich op sociale netwerken aan te melden met behulp van two factor-authenticatie, installeer op tijd de laatste patches, verleen alleen toegangsrechten die gebruikers daadwerkelijk nodig hebben, bewaak het inkomende verkeer, versleutel gegevens en licht uw personeel voor om de bewustwording rond de beveiliging te vergroten. En het belangrijkste: zorg dat u weet welke data er binnen uw organisatie aanwezig zijn en bescherm die overeenkomstig het bedrijfskritische niveau.
Bewustwording is de eerste en beste verdedigingslinie tegen cybercriminelen. Een gebrekkige voorlichting werkt het herhaaldelijke succes van cyberaanvallen in de hand. Naar onze mening is het van cruciaal belang dat brancheorganisaties informatie uitwisselen over sectorspecifieke cybercriminaliteit en aanvalstechnieken. Deze rijkdom aan informatie kan organisaties in alle sectoren de input bieden die nodig is voor het bestrijden van cybercriminaliteit.
Ons doel is om inzicht te verwerven in de manier waarop cybercriminelen te werk gaan. Als wij hun gedragspatronen kennen, kunnen wij hun aanvallen beter voorkomen, detecteren en pareren.
Alex Schlager, Managing Director Nederland bij Verizon Enterprise Solutions
