Cybercriminaliteit kost organisaties in Nederland maar liefst tien miljard euro per jaar, blijkt uit een studie van Deloitte. Zelfs wie zijn eigen netwerk wél goed heeft beveiligd, loopt risico’s. “Bedrijven blijven kwetsbaar door onwetendheid bij de mensen die met de systemen werken”, vertelt Marcel Reith, Area Manager bij Securitas.
Nog altijd zijn ondernemers en hun werknemers zich niet goed bewust van het risico op bedrijfsspionage. “Dat weten we doordat bedrijven pas achteraf ontdekken dat informatie is verdwenen: data raakt simpelweg ‘kwijt’ en levert ondernemers grote financiële schade op. Om nog maar niet te spreken over de reputatieschade die je bedrijf oploopt als gegevens van klanten of cliënten op straat liggen.”
Wie denkt ‘dat overkomt mij toch niet, ik ben niet interessant voor cybercriminelen’, mag zijn mening gauw bijstellen. “Verstoring raakt bijna elke organisatie”, weet Marcel Reith. “Er zijn partijen actief die uit zijn op verstoring en dat doen door gerichte aanvallen, maar verstoring is ook een gevolg van bredere cybercriminaliteit die ervoor zorgt dat het operationele proces binnen bedrijven wordt verstoord.” Bijna net zo groot is het risico op waardeverlies door het verliezen van strategische en gevoelige informatie. “Als je intellectueel eigendom kwijtraakt, is de betrouwbaarheid van je producten en diensten ook verminderd.” Wat gebeurt er met informatie en data die ‘op straat ligt’? Volgens Marcel Reith verdwijnt data simpelweg, óf gaan concurrenten er met jouw ideeën vandoor. “Je kunt je systemen maximaal beveiligen om je intellectueel eigendom te beschermen, maar alles staat of valt met de fysieke beveiliging ervan door je werknemers.” Met andere woorden: instrueer je mensen om externen – al zijn het monteurs – nooit alleen te laten met waardevolle informatie. “Cyberbeveiliging en fysieke beveiliging gaan hand in hand.”
Manipulatie van medewerkers
Een tak van sport waar je óók je medewerkers voor dient te waarschuwen: social engineering. “Hiervan wordt vaak gebruikt gemaakt voordat een cyberaanval wordt ingezet: cybercriminelen zoeken bewust contact met mensen binnen je organisatie. Die manipulatie gebeurt zo subtiel dat veel mensen het niet eens in de gaten hebben: ze worden nieuwsgierig gemaakt en hun vertrouwen wordt gewonnen. Maar intussen krijgen criminelen handig toegang tot wachtwoorden en andere vertrouwelijke gegevens.”
Zelfs Burgerservicenummers worden gemakkelijk prijs gegeven. “Daar hebben we zelf onderzoek naar gedaan: als er druk gezet wordt op medewerkers van salarisadministraties – ‘Ik heb het nú nodig’- worden die zelfs telefonisch doorgegeven.” Securitas deed ook een mailtest. “We hebben een zogenaamde Arbo-enquête rondgestuurd. Daarin stonden allerlei vragen over werkomstandigheden van medewerkers. Mensen vullen vragen waarin het over henzelf gaat, maar al te graag in. Maar: tegelijkertijd gaven ze ook hun naam, functie, standplaats en personeelsnummer. Dat vulden ze zo in, ook al kwam de enquête vanaf een hotmailadres. Dat had eigenlijk de belletjes moeten laten rinkelen.” De genoemde voorbeelden tonen aan hoe kwetsbaar een bedrijf kan zijn, ondanks het toepassen van databeveiliging.
Risico’s beperken
Het antwoord: je medewerkers beter trainen en alert maken op ongewone situaties en vragen. Het is hard nodig, want cybercriminelen zijn vooral op zoek naar informatie. “Dat is tegenwoordig goud waard. Cybercrime, identiteitsfraude en bedrijfsspionage vormen de top drie van huidige dreigingen”, weet de Area Manager. De cybercriminelen gaan geraffineerd te werk om stukje bij beetje stukjes informatie te ontfutselen.
Naast cyberbeveiliging is het opstellen van veiligheidsrichtlijnen waar iedereen zich aan houdt enorm belangrijk. “Deze richtlijnen moeten leidend zijn in je hele bedrijfsproces en continu onderdeel uitmaken van dat proces. Als je je bewust bent van de risico’s kun je preventieve maatregelen nemen om het risico op spionage en dataverlies zoveel mogelijk te beperken.”
Wie heeft toegang?
Binnen bedrijven wanen medewerkers zich vaak veilig: informatie wordt gemakkelijk gedeeld met vele collega’s. Maar is dat wel nodig? “Wie geef je toegang tot welke informatie? Je kunt niveaus instellen om te bepalen welke collega’s welke informatie nodig hebben en daarom toegang krijgen.” Ook het checken van de achtergrond en referenties van nieuwe collega’s hoort daarbij. “Dat wordt echt nog niet goed genoeg gedaan.”
De trainingen die Securitas geeft op dit gebied, maakt mensen bewust van het belang van zélf nadenken, in plaats van vertrouwen op systemen en collega’s. “Signaleer afwijkingen: geen enkel systeem is feilloos. Geef nooit zomaar informatie prijs, ook als je denkt dat het niet per se om gevoelige informatie gaat. Twijfel je of een vraag om informatie wel klopt? Dan is dat vaak ook zo.”
Bewustwording
Denk je nog steeds dat het jou niet zal overkomen? Of komen die telefoontjes, mailtjes en onderhoudssituaties je toch wel bekend voor? “Bewustwording is de eerste stap. En vooral niet denken dat je bedrijf niet interessant genoeg is voor een cyberaanval. Elke onderneming heeft te maken met informatie en data. Informatie is goud waard. En naast cyberbeveiliging hebben we veiligheidsbewustzijn nodig. En dat draait om mensen.”