De dreiging van cybercrime is tegenwoordig altijd aanwezig en hoort dus bij de bedrijfskosten. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Malware heeft zich de afgelopen jaren ontwikkeld van vervelende pc-plagen via lamleggende worm-infecties tot serieuze cybercrime-business. De dreiging van cybercrime is alomtegenwoordig en is flink veelzijdiger dan simpelweg digitale sabotage. Datadiefstal, gegevensgijzeling, stiekeme wijziging van informatie, de lijst criminele toepassingen is lang en divers.
Of cybercrime nu wel of niet de grootste bedreiging ooit is voor alle bedrijven, feit is dat cybercrime geen hype van voorbijgaande aard is. Daarvoor zijn de malafide mogelijkheden en lokkende inkomsten te groot. Cybercrime is dus eigenlijk een van de kostenposten voor het bedrijven van business anno nu. Of ligt het genuanceerder? Wat vind jij?
Het zal mij benieuwen of na diverse grote zaken de overheid hier met een wetgeving op zal antwoorden wat uiteindelijk weer een papieren tijger blijkt te zijn. Wil je cybercrime serieus aanpakken dan zul je internationaal moeten coördineren wat in de praktijk erg lastig is.
Uiteindelijk zal het net zo zijn als met fietsen. Zorg dat je het grootste slot hebt zodat een crimineel jouw fiets niet als eerste zal proberen te stelen.
Blijkbaar moeten we accepteren dat er criminelen zijn die het op jouw inkomsten voorzien hebben. Voor het fietsenprobleem worden lokfietsen ingezet met redelijk goed resultaat. Voor oplichtingsmails is er de valse-email@fraudehelpdesk.nl die hoop ik meer doet dan statistieken aanleveren. Accepteren dat die lui er zijn en gniffelen als ze je te pakken hebben: never nooit niet. Wel zullen mensen beter opgevoed moeten worden zoals: nooit op links klikken op mails, alleen bijlages openen van bekende bron, altijd via de door jou bekende kanalen navragen of het klopt dat een rekeningnummer is gewijzigd, dat soort dingen. Net zo als, altijd de deuren op slot als je er niet bent en je auto en fiets op slot.
De zwakste schakel in het geheel is de gebruiker, die moeten we instrukties geven wat je nooit moet doen. Wij ICTers moeten leren onze patches op tijd te laden, daar mogen we de hand in eigen boezem steken.
Dat er mensen zijn (zelf de politie) die bij ransomeware betalen maakt het business-model zo lukratief, het is een raadsel waarom juist daar geen behoorlijke backups zijn.
Waar we tot de mid-jaren ’90 te maken hadden met Script kiddies en computervirussen die als motivatie een zo breed mogelijke verspreiding wilden bereiken, hebben we nu binnen het MKB te maken met slimme (CIA-achtige) aanvallen met een motivatie: Geld ! In cybercrime gaat al meer geld om dan in verdovende middelen. Logisch toch dat de wetgeving en aansprakelijkheid in 2016 is verlegd naar de Bestuurder van een onderneming. De “boardroom” dient nu zorg te dragen voor een deugdelijk IT-belied, awareness plan medewerkers, preventie, continue monitoring en duidelijke incident response procedures.. Firewalls, anti-malware en Ips preventie is simpelweg niet meer voldoende…!
@Jan van Leeuwen
In veel gevallen is de gebruiker de zwakste schakel, maar niet in alle gevallen.
Een crimineel kan veel moeite doen om één pc van een gebruiker te besmetten, en heeft dan bv één credit card / bankpas met alle details te pakken.
Diezelfde crimineel kan ook de server van een grote online winkel kraken, en heeft dan meteen duizenden credit cards met alle details te pakken. Daar kun je als eindgebruiker weinig aan doen, behalve dan nooit online shoppen en hopen dat je offline winkels je gegevens niet op een te kraken server zet.
Wat ook een bedreiging is, waar je eindgebruikers niet echt de schuld van kan geven, is dat een grote server, zoals NU.nl vorig jaar, besmet is geweest met malware.
Besmettingen met malware zijn vaak de schuld van de gebruiker, die maar lukraak klikt, maar niet altijd!
Je zou uit de titel kunnen lezen dat bedrijven het maar moeten accepteren dat er cybercrime bestaat en dat de schade maar moet worden geaccepteerd (in mindering brengen van de winst). Een beetje vergelijkbaar met de uitspraak “winkeldiefstal hoort bij bedrijfskosten”.
Uit de rest van het artikel valt niet op te maken of die redenatie is gevolgd, of dat juist het voorkomen van cybercrime moet worden beschouwd als bedrijfskosten. Een beetje vergelijkbaar met het aanschaffen van detectiepoortjes en het laten rondlopen van een beveiligingsbeambte.
Ik mag hopen dat bedrijven voldoende volwassen zijn om zoveel als mogelijk maatregelen te definieren en te nemen om de gevoeligheid voor cybercrime te voorkomen. Op z’n minst een goede firewall, goed backup en restore beleid, virusscanners, etc. En natuurlijk er op toezien dat beleid niet alleen op papier bestaat maar ook wordt nageleefd.
Dan is er ook het hoofdstuk “de mens: de zwakste schakel”. Alle medewerkers (ja, en de directie bestaat ook uit medewerkers, net zoals alle heren en dames managers ook medewerkers zijn) moeten op z’n minst herhaaldelijk worden gewezen op hun verantwoordelijkheid en duidelijke (begrijpelijk en na te volgen) procedures blijvend herhaald, bijna ad nauseam.
Deze herhalingen moet je zo min mogelijk door de medewerker in eigen tijd laten doornemen. Cursussen in eigen tijd worden als vervelend, overbodig en onterecht beschouwd. Heren en dames managers: neem ook die kosten.
Het spreekwoord luidt ook hier: “preventie kost geld, een incident kost echter kapitalen”
Eens met CPT: cybersecurity kost pas echt geld als je niets doet.
Sinds de invoering van het Meldpunt Datalekken begin dit jaar kunnen bedrijven een boete krijgen tot 20 miljoen euro of 4 procent van hun omzet als ze niet zijn omgegaan met een datalek of te weinig hebben gedaan om het te voorkomen. Dan hebben we niet eens over de juridische kosten, de reputatieschade en de kosten van het dichten van een lek.
Security is altijd al een kosten-baten-overweging geweest, maar nu de potentiële kosten zo hoog zijn geworden kun je er niet meer omheen dat het nu eenmaal een investering vereist.
Kort geleden heb ik een lezing voor alle gemeente medewerkers gegeven, juist over dit thema. Dat was ‘s-avonds georganiseerd in een heel ontspannen sfeer met vooral veel ruimte voor vragen.
Het effekt is merkbaar, ik gaf aan, beter 1 keer te veel vragen als 1 keer te weinig, en inderdaad wordt er nu toch even gevraagd of dat wat ze voor hun neus krijgen wel kosher is.
Nooit beschuldigen, per slot kan het zelfs een geroutineerde ICTer overkomen dat hij 1 sekonde niet oplet, we zijn per slot allemaal mensen.
Cybercrime is iets wat vanaf het begin van de commerciële bekabeling en internet bestaat. In den beginne had je mensen die amateuristisch via het net probeerde gegevens en goederen van anderen los te weken wat vaak kon door de naïviteit van gebruikers van het internet.
Dat is beetje bij beetje uitgegroeid tot een volwaardige bedrijfstak die nog gaande weg aan het perfectioneren en professionaliseren is. Met de perfectionering van de vertaalmogelijkheden word cybercrime dan ook steeds een eenvoudiger uit te voeren ding waarvoor niet vaak genoeg kan worden gewaarschuwd.
Oplossing
Er zal blijvend moeten worden gedacht aan twee typen van oplossingen. De ‘awareness’ bij de gebruikers dat (cyber)criminaliteit bestaat, een serieuze aangelegenheid is en latent onderdeel uit maakt van het dagelijkse leven en in tweede de blijvende aandacht van boardroom, MMT en uiteraard IT professionals.
Hier is het gewoon een kwestie van accepteren dat het er is en er bedacht op zijn en blijven herhalen. Er zit weinig anders op.