We zijn ons bewust van de cybersecurityrisico’s, maar houden de deur nog te vaak op een kier voor cybercriminelen. ‘Als je een cyberaanval hebt, ben je eigenlijk al te laat,’ waarschuwt manager Michel Verhagen van het Digital Trust Center (DTC).
Cybercriminaliteit is steeds meer een maatschappelijke bedreiging. ‘Voor bedrijven kan het zelfs het einde van je bedrijf zijn. Je hebt bijvoorbeeld de kans dat je een paar dagen uit productie bent of dat gevoelige informatie van klanten wordt gelekt.’ Cyberaanvallers worden steeds professioneler. Cybercriminelen weten mensen op een steeds slimmere manier te verleiden om ergens op te klikken. Het zijn zeer geloofwaardige mails, waardoor je goed moet opletten. “Eerst checken, dan klikken” is een boodschap die wij afgeven. Er zijn altijd momenten dat je eerder geneigd bent om eerder te klikken omdat je minder waakzaam bent.’ Een andere DTC-campagne luidt “Doe je update!”. ‘Vaak wordt geprobeerd of een ‘deurtje’ openstaat. Een nieuwe bedreiging kan met één update verholpen zijn. Als je daar laks mee bent, vergroot je je kwetsbaarheid.’ Kiezen voor een cloudoplossing is niet per definitie veiliger. ‘Je moet goed kijken wat er onder de cloud-dienstverlening valt. Worden er bijvoorbeeld back-ups gemaakt? Weet je wat het beleid is bij verstoringen? Wordt informatie versleuteld? Wie kan er bij die informatie? Wanneer je kiest voor een clouddienstverlener is het daarom erg belangrijk hierover goede afspraken te maken.
Voorbereid zijn
De totale schade van cybercriminaliteit voor de samenleving is moeilijk te becijferen. Enkele jaren geleden werd een bedrag van 9 à 10 miljard euro genoemd. ‘Het is moeilijk om dat bedrag betrouwbaar te krijgen,’ meent Verhagen. ‘Lang niet iedereen maakt melding van een cyberaanval. Of hoe bereken je reputatieschade? Wat zijn de gevolgen als je productie drie dagen heeft stilgelegen? Zijn daar klanten door weggelopen?’ Hij drukt bedrijven en organisaties op het hart zich goed voor te bereiden op cyberaanvallen. ‘Daar moet je in investeren. Ons eerste basisprincipe is: ken je kroonjuwelen. Weet waar je risico’s liggen. Als je gevoelige informatie hebt, bijvoorbeeld van patiënten, dan moet je zorgen dat die extra beveiligd is. Bescherm wat afgeschermd moet worden. Niet iedereen hoeft overal bij te kunnen.’ Wat ook helpt is het criminelen niet te makkelijk te maken om een wachtwoord te raden. ‘Wat we steeds meer benadrukken en wat eigenlijk standaard moet worden, is dat je twee-factor-authenticatie gaat gebruiken. Zeker voor de toegang tot gevoelige informatie. Het is een stuk ingewikkelder om beide sleutels tegelijk in handen te krijgen. Dat is geen hogere wiskunde. Als je de kennis zelf niet in huis hebt om dit in te regelen, is er altijd nog een IT-dienstverlener die je daarbij kan helpen.’
Te laat
‘Omdat bedrijven in bijvoorbeeld de financiële sector hun digitale omgeving steeds beter hebben beveiligd, richten cybercriminelen de aanvallen ook op sectoren die minder ver gevorderd zijn in de bescherming van hun assets,’ benadrukt Verhagen. Bij gerichte aanvallen zitten cybercriminelen vaak al langer in het systeem, weten waar relevante informatie zit en wachten op het meest geschikte moment om toe te slaan. ‘Als je slachtoffer bent van een cyberaanval, ben je eigenlijk al te laat. Dan kun je alleen nog maar de schade beperken. Daarom benadrukken we dat de basis op orde moet zijn.’ Daar heeft DTC een aantal basisprincipes voor geformuleerd. ‘Dat begint met je risico’s kennen. En daarnaast ook het hebben van back-ups; maatregelen waardoor aanvallers minder makkelijk binnenkomen, zoals twee-factor-authenticatie; en update je besturingssysteem en programma’s regelmatig.’ DTC krijgt dagelijks informatie binnen over bedreigingen voor individuele bedrijven. ‘Als we deze bedreigingen constateren, wijzen we bedrijven daarop. Dat hebben we de laatste anderhalf jaar meer dan 35.000 keer gedaan, waarbij we daarbij aangeven welke stap ze kunnen zetten.’
Voor mkb’ers en zzp’ers is de CyberVeilig Check ontwikkeld, waarbij je binnen 5 minuten weet welke acties je kunt nemen. Bijvoorbeeld een lijstje met mensen en IT-leveranciers die je moet bellen na een aanval.