Beleidsadviseur van Cyberveilig Nederland, Liesbeth Holterman, heeft een bijdrage geleverd aan het vakblad voor financieel adviseurs, VVP Online. In het artikel gaat Liesbeth is over het belang van het nemen van (de juiste) basismaatregelen.
Cybercriminaliteit is een wereldwijd verdienmodel geworden. Op het dark web kun je kant-en-klare programma’s aanschaffen om een website plat te leggen. Volgens de FBI wordt er momenteel meer geld verdiend met cybercriminaliteit dan in de wereldwijd georganiseerde drugshandel. Het CBS meldt in haar veiligheidsmonitor 2019 dat in Nederland cybercrime de traditionele vormen van criminaliteit heeft ingehaald. Cyberincidenten vormen het grootste bedrijfsrisico (39 procent), aldus de Allianz Risk Barometer 2020. Kortom, cybercriminaliteit is een industrie geworden met diepe zakken, eigen R&D-activiteiten en verregaande professionaliteit.
De financiële sector in Nederland is al jarenlang een interessant doelwit voor cybercriminelen. Waar in eerste instantie vooral de banken een interessant doelwit waren (denk aan internetbankieren), zijn dat nu ook steeds meer kleine(re) bedrijven in de sector. Het is de data die deze bedrijven tot een aantrekkelijk doelwit maakt, en niet de bedrijfsomvang. En door de hoeveelheid aan persoons- en bankgegevens is de sector een interessant doelwit. Tel daarbij op dat de meeste ondernemingen een geringe bedrijfsomvang hebben, met weinig eigen cybersecurity expertise, maar wel erg afhankelijk zijn van IT-systemen. Volgens verzekeraar Hiscox staat de financiële dienstverlening dan ook op de tweede plaats van meest getroffen sectoren als het om cybercriminaliteit gaat. Gemiddelde schade: 149.000 euro. Het is dus belangrijk om minder kwetsbaar te zijn voor cybercriminelen. En cybercriminelen werken net zoals inbrekers. Ze kiezen het liefst een bedrijf waar ze de deur niet hoeven forceren en snel weer weg zijn met de buit. Postbus 51 zei het jaren geleden al: ‘Voorkomen is beter dan genezen.’ Zo geldt het ook voor cybersecurity. Wanneer je de juiste voorzorgsmaatregelen (preventie) neemt, ben je uiteindelijk beter uit dan wanneer je als organisatie de gevolgen van een cyberincident moet oplossen. Als organisatie, groot of klein, zijn er een aantal basismaatregelen die je al snel minder kwetsbaar maakt. Een aantal van de belangrijkste maatregelen zijn:
Inventariseer de risico’s in relatie tot je business
Bij het beschermen van data en informatiesystemen is het belangrijk dat je nadenkt over de risico’s in relatie tot je business. Om deze goed in te kunnen schatten zijn drie aspecten van belang. Vertrouwelijkheid, je moet bijvoorbeeld persoonsgegevens afschermen. Integriteit, kun je erop vertrouwen dat de gegevens correct zijn? Denk bijvoorbeeld aan bankrekeningnummers waarvan je niet wilt dat deze worden veranderd. En als derde beschikbaarheid. Hoe erg is het als je systeem uitvalt? Kun je dan nog doorwerken?
Maak medewerkers bewust van de do’s en dont’s op het internet
Bewustwording is heel belangrijk. Je hoeft niet heel veel te weten over cyberrisico’s, maar je moet je er wel van bewust zijn dat er risico’s zijn en hoe deze te voorkomen. Is het bijvoorbeeld zo dat werknemers op hun werktelefoon of tablet van alles mogen downloaden? Hierdoor ontstaat het risico op een datalek omdat er regelmatig apps tussen zitten, waarvan in de voorwaarden staat dat ze toegang hebben tot je adressenlijst en andere informatie op je apparaat. Herkennen je medewerkers een phishing-mail? Controleren zij bijvoorbeeld de links in e-mails, of de afzender? Is meerfactoridentificatie ingesteld om te voorkomen dat CXO-fraude mogelijk is? Zorg voor permanente training van je medewerkers om het bewustzijn hoog te houden en oefen dit regelmatig.
Zorg voor goede back-ups
Financieel dienstverleners hebben veel data waar ze mee werken. Hierdoor zijn financiële dienstverleners extra kwetsbaar voor bijvoorbeeld een ransomwareaanval. Ransomware (‘gijzelsoftware’) is kwaadaardige software waarbij een slachtoffer afgeperst wordt, nadat de digitale systemen of bestanden met een code op slot zijn gezet. De aanvaller biedt de code tegen losgeld aan, zodat het slachtoffer er weer bij kan. Door een goede, recente (offline) back-up wordt de schade die een ransomware kan aanrichten minimaal. Zorg er dus voor dat van je belangrijkste gegevens en documenten back-ups gemaakt worden. Mochten er toch persoonsgegevens verloren gaan, dan heb je mogelijk een datalek. Dat moet je melden bij de Autoriteit Persoonsgegevens.
Voer updates uit
Producenten van software zijn doorlopend bezig om hun producten veiliger te maken. Ontdekte kwetsbaarheden of een betere beveiliging worden via updates aangeboden. Dit zijn security patches. Cybercriminelen maken vaak gebruik van al bekende kwetsbaarheden om binnen te komen. Installeer dus in elk geval altijd direct de meest recente patches zodat je organisatie zo goed als mogelijk beveiligd is.
Kies veilige instellingen
De software die systemen aanstuurt (zoals bijvoorbeeld voor Windows10) wordt met standaard instellingen geleverd. Sommige van deze instellingen zijn niet veilig. Controleer dus altijd de instellingen van je apparatuur, software en netwerk- en internetverbindingen. Pas altijd de standaardinstellingen aan en kijk kritisch naar functies en diensten die automatisch ‘aan’ staan, want misschien heb je ze niet nodig en kun je ze ‘uit’ zetten.
Gebruik antivirus
Malware is kwaadaardige software die computersystemen verstoort, informatie verzamelt of versleutelt. Er zijn verschillende manieren waarop malware toegang krijgt tot een computer, smartphone of netwerk. Een gebruiker kan een geïnfecteerde e-mail (of bijlage) openen, een foute website bezoeken of een besmet bestand via bijvoorbeeld een USB-stick openen. Zodra de malware binnen is, verspreidt het zichzelf daarna als een olievlek naar andere apparaten en/of gebruikers. Om je netwerk en je systemen veilig te houden is het belangrijk om antivirussoftware te hebben. Antivirus kan virussen identificeren, tegenhouden en bestaande virussen verwijderen.
Beperk autorisaties
Bepaalde medewerkers binnen de organisatie, zoals de administrator, hebben vaak zeer uitgebreide bevoegdheden om veranderingen aan te brengen op systemen en binnen applicaties. Voor cybercriminelen is het dus zeer interessant om toegang te krijgen tot dit type gebruiker. Zorg daarom dat je zo min mogelijk administrator rechten geeft aan gebruikers en dat je dit account zeer goed beschermt.
Maak heldere afspraken met toeleveranciers, zoals je cloud leverancier
Welke afspraken heb je gemaakt met anderen over digitale veiligheid? Wat betekent het voor jou als een ander een dienst niet kan leveren waar jij afhankelijk van bent? Hoe kwetsbaar ben jij dan? Voor financiële adviseurs geldt dit in toenemende mate voor cloud leveranciers. Denk vooraf na over welke informatie je in de cloud wilt zetten, wie daarbij mag en onder welke voorwaarden. Maak ook duidelijke afspraken en leg verantwoordelijkheden vast. Vragen die in ieder geval beantwoord moeten worden door de cloud leverancier zijn: wordt mijn informatie versleuteld? Wie kan er bij mijn informatie? Welke maatregelen worden getroffen om die veiligheid te garanderen en wie controleert dat? Al deze vragen zijn relevant omdat jij altijd controle moet houden over de informatie. Niet alleen omdat je die nodig hebt om te ondernemen, maar ook omdat je je hebt te houden aan wet en regelgeving (bijvoorbeeld de Algemene Verordening Gegevensbescherming).
Deel ervaringen met elkaar
De eenvoudigste maatregel is het belang van het delen van ervaringen met elkaar. Daarom mijn oproep aan iedereen die zelf slachtoffer is geworden of slachtoffers kent: praat er over. Nog steeds durven maar weinig organisaties openlijk te praten over hetgeen hun is overkomen. Terwijl anderen juist kunnen leren van je incident. Alleen op deze manier voorkomen we dat slachtoffers zich slachtoffer blijven voelen. Wanneer we er een aantal kunnen voorkomen door open te zijn verspreid zich dit als een olievlek en daar worden we allemaal beter van. Zolang de slachtoffers niet openlijk durven te praten over hun ervaringen over de impact van een cybersecurity incident is de financiële sector onaanvaardbaar kwetsbaar. En daar wordt niemand beter van.
Het artikel is te vinden via deze link.