door Mo Ballari - 20 februari 2023
Cybercrime, de tegenhanger van cybersecurity, is big business. Malafide organisaties verdienen veel geld door organisaties te hacken. Het beeld dat alleen grote internationale ondernemingen het slachtoffer worden klopt al lang niet meer. Sterker nog: een cyberaanval behoort op dit moment wereldwijd tot de drie grootste bedrijfsrisico’s! Mkb-bedrijven en organisaties van maatschappelijk belang (zoals gemeenten, ziekenhuizen en energiebedrijven), maar ook particulieren worden steeds vaker getroffen door cybercrime.
Het is dus eigenlijk niet meer de vraag óf je wordt gehackt, maar wanneer en hoe vaak."
Verstrekkende gevolgen
De gevolgen van een cyberaanval kunnen verstrekkend zijn. Niet alleen door directe schade tijdens een hack, maar ook indirect: diefstal van intellectueel eigendom, verlies van klanten en omzet, reputatieschade, claims van gedupeerden of boetes. En aanvullend krijg je te maken met kosten voor (forensisch) onderzoek, juridisch advies en het herstel van de aangerichte schade.
Nadenken over de gevolgen van een cyberincident is daarom voor elke organisatie een must (en overigens ook verplicht in het kader van de Europese privacywetgeving).
Cyberincidenten voorkomen
Absolute veiligheid bestaat niet, maar als bedrijf kan je verschillende maatregelen nemen om cyberincidenten te voorkomen. Bovendien kan je met de juiste aanpak veel schade voorkomen op het moment dat zich onverhoopt toch een cyberincident voordoet.
Maar welke maatregelen neem je? Laat ik meteen met de deur in huis vallen: de oplossing ligt niet alleen in de techniek. Cybersecurity moet eigenlijk in de hele organisatie zijn ingebed. Bestuurders, werknemers en toezichthouder, zij spelen allemaal een rol. En er moet aandacht zijn voor de kroonjuwelen, cultuur en gedrag, bewustwording en opleiding. Alleen dan gaat de digitale weerbaarheid omhoog, net als het vermogen om te incasseren en snel te reageren.
De cruciale schakel
Bij cybersecurity is de mens meestal de cruciale schakel. Hoe zorg je dat iedereen in het bedrijf op de hoogte is van het cyberbeleid en jouw bedrijf helpt digitaal weerbaar te zijn?
Maak een risicoanalyse
Het begint bij het in kaart brengen van de kroonjuwelen van de organisatie, ofwel de belangrijkste informatie en informatiesystemen. Vormt een cyberaanval een risico voor de business in termen van beschikbaarheid, integriteit en vertrouwelijkheid? En zo ja, hoe groot is de impact hiervan, zowel financieel als qua imago en reputatie? Welke beveiligingsmaatregelen zijn er al genomen? En zijn deze afdoende om de ernstigste risico’s af te dekken? Niet alles is te beveiligen en bovendien is dat vaak ook te kostbaar. Des te belangrijker is het een goede afweging te maken met een risicoanalyse als startpunt.
Vergeet de mens niet!
Investeren in technologische en organisatorische oplossingen is logisch en dat doen veel organisaties al volop. Maar het is net zo belangrijk om ook de mens mee te nemen. Als medewerkers weten waar de belangen van de organisatie liggen, dan kunnen zij hun gedrag hierop aanpassen. Weten zij dit niet? Dan is de investering in technologie alsnog weggegooid geld. Bewustwording is hierbij slechts een eerste stap. Je wilt namelijk vooral dat medewerkers zich veilig gedragen. Daarmee maak je als organisatie pas echt het verschil.
Wenselijke gedragingen?
Menselijk gedrag is van niet te onderschatten waarde als het aankomt op cyberveiligheid. Gedrag gaat over:
- Motivatie: wil je het gewenste gedrag vertonen?
- Capaciteit: heb je de kennis én vaardigheden?
- Gelegenheid: krijg je de kans om het gewenste gedrag te vertonen?
Pas als de oorzaak van het ontbrekende gedrag bekend is, kan je de juiste interventie kiezen om gewenst gedrag te bewerkstelligen.
Ik geef je twee voorbeelden:
- Jouw collega’s weten dat zij data niet lokaal op hun laptop mogen opslaan. Maar als zij op locatie van de klant werken doen zij dit soms toch. Is dit een kwestie van gemak? Of hebben zij onvoldoende faciliteiten hiervoor, omdat er op locatie slecht of geen internetbereik is en zij niet weten dat zij op hun telefoon een hotspot kunnen inschakelen?
- Jij wilt dat je collega’s een uniek en ingewikkeld wachtwoord kiezen. De systemen maken dit mogelijk, maar ze willen het niet. Ze denken ‘ja pfff moet ik elke keer weer dat wachtwoord intypen als ik weer inlog of terugkom bij mijn computer. Ga ik niet doen.’ Dan kan je wel posters blijven maken en mailtjes blijven sturen, maar daar gaan mensen hun gedrag niet mee veranderen.
Vraag je als organisatie dus niet alleen af welke gedragingen wenselijk zijn, maar vooral ook hoe je die kunt bewerkstelligen.
Test het!
Een cyberaanval kan laagdrempeliger zijn dan vaak wordt gedacht. Onze social engineers lukt het bijvoorbeeld in bijna 70% van de gevallen om telefonisch een wachtwoord van een willekeurige medewerker te krijgen. Twijfel je of je organisatie bestand is tegen cyberaanvallen? Test dan via een externe partij hoe er in je organisatie wordt omgegaan met telefoontjes waarin het wachtwoord wordt gevraagd, met phishing mails, met achtergelaten USB-sticks of met ongewenst bezoek. En wil je er daarna voor zorgen dat medewerkers zich cyberveilig gaan gedragen? Onderzoek dan de oorzaak van het ontbreken van dat gedrag en pas de maatregelen daarop aan.