Stel, we gaan op boeven pad. Wat gaan wij kiezen als boefjes? Een plek waar we makkelijk naar binnen kunnen of waar we (echt) moeite voor moet doen? Dat verteld twee dingen:
- Als de beveiliging “zichtbaar” is, telt dat mee in de afweging voor welke locatie gekozen gaat worden
- Boeven zijn niet discriminerend naar waar ze de buit vandaan kunnen halen, als er maar een buit te halen is.
Overeenkomst Digitaal en Fysiek
Dat is zowel in de fysieke als in de digitale wereld. Er zijn meer overeenkomsten. Bijvoorbeeld dat er een soort van oneindigheid is tussen de boven- en de onderwereld. Er wordt iets gestolen, dat gaat in de handel in de onderwereld. De buit komt dan weer terug naar de bovenwereld om vervolgens weer gestolen te worden. En wat wij allemaal nu heel graag willen is deze infinity cirkel te doorbreken.
De digitale buit kan van alles zijn, geld verdienen is het uiteindelijke doel. Een digitale inbraak is een stuk simpeler als we inloggegevens hebben die zijn gestolen van een computer. Deze zijn verhandeld in de onderwereld (Darkweb) om vervolgens weer in de bovenwereld gebruikt te gaan worden.
Weten welke data er in Darkweb bekend is, maakt dus een significant verschil als een laag in uw beveiliging.
Daarna is het ultieme doel van de digitale criminelen om de IT omgeving te gijzelen. Het is tegenwoordig heel gewoon om eerst nog wat bedrijfsgegevens te stelen om daar ook nog iets extra’s aan te verdienen. Niet van echt te onderscheiden inlog pagina’s van veel gebruikte SaaS oplossingen zorgen ervoor dat én de inlogcodes ontvreemd kunnen worden maar tegelijkertijd werd er controle genomen van betreffende computer. En dat is maar één voorbeeld van de mogelijkheden die Cyber Criminelen tot hun beschikking hebben
Criminaliteit is een business model
Digitale criminaliteit is een business model, geld verdienen is het credo. Criminelen investeren continue in ontwikkeling, apparatuur, infrastructuur en medewerkers. En de baas houdt er zelf natuurlijk ook graag “iets” aan over. De veronderstelling is er dat de digitale criminaliteit een veel hogere “omzet” heeft dan de fysieke parallel wereld. Drugs en diefstal brengen minder op en hebben maatschappelijk ook steeds minder impact in vergelijking met Cyber Crime.
Beveiliging in laagjes
Hoe dit nu tegen te gaan? Wij denken in laagjes. Zoals we vaak de analogie gebruiken dat men beter met een aantal dunne T-shirts de kou in kan gaan dan met één dikke trui. Zo kijken wij ook naar digitale beveiliging. Computers en hun software moeten altijd voorzien zijn van de laatste updates. Gebruik goede beveilig software voor alle apparaten die aan het netwerk gekoppeld zijn. Voorkom het gebruik van een “plat netwerk” maar segmenteer. Maak alle medewerkers bewust van digitale beveiliging en train ze daar regelmatig in. Maar kijk ook buiten de kantoor muren. Denk daarbij aan de thuiswerkers, de websites die gebruikt worden en uw partners in uw Supply Chain. Zorg dat alle medewerkers gebruik maken van een wachtwoordenkluis en dat ze voor iedere locatie een nieuw wachtwoord genereren. Maak beleid op wachtwoorden gebruik op websites van derden. Zet 2FA aan op alle systemen die dat ondersteunen. Zorg voor een goede backup strategie. Proactief IT beheer noemen wij dat.
Top – Down
Dat moet vanuit de ondernemer in het DNA van zijn onderneming geplaatst worden. Zoals de boefjes steeds investeringen doen in een betere of andere manier van aanvallen, zo moet een onderneming steeds investeren in de digitale beveiliging van zijn onderneming. Want net als in de ontwikkeling van de eigen producten: stil stand is achter uitgang.
Investeren in Cyber Security is niet helemaal bovenop de investeringen die gedaan worden in de IT. Goed IT beleid zorgt al voor een veel betere Cyber Security. En een aantal stappen komen inderdaad wel bovenop de IT investeringen. Deze investeringen betalen zich terug door een hogere IT beleving en een lagere kans op een digitale inbraak met vaak desastreuse gevolgen.
“Jíj bent het altijd waard”
Geen enkele onderneming kan het zich veroorloven om een minderwaardigheidscomplex te hebben; “Wij zijn te klein om gehackt te worden” of “Wat kunnen ze bij mij nu vinden dat interessant genoeg is”. Criminelen discrimineren niet, zij willen geld verdienen ten koste van wie dan ook als het maar makkelijk(-er) gaat. Het eisen van standaard bedrag gebeurd niet meer. Er wordt due diligence gedaan om te achterhalen wat het slachtoffer te besteden heeft en ze stemmen daar het te betalen bedrag op af. Die kosten komen dan nog boven op de herstelwerkzaamheden. Daarnaast is er een discussie gaande of een onderneming überhaupt moet (mag) betalen. Met het betalen blijft het business model wel in stand. Er is zelfs een kans dat er wetgeving gaat komen die het betalen gaat verbieden.
Verzekeren
Sinds enige jaren kennen we de optie om de onderneming te verzekeren tegen Cyber Criminaliteit. Net als vele andere verzekeringen zitten daar haken en ogen aan. Er zijn kleine lettertjes en hoe die uitpakken is per situatie verschillend. Maar als er in de voorwaarden staat dat de IT infrastructuur moet voldoen aan bepaalde regels, waar ligt die lijn van acceptatie?
De te verzekeren ransom som is vaak gelimiteerd. Als de wetgeving er daadwerkelijk komt dat er niet meer betaald mag worden, is dit onderdeel waardeloos. Ondertussen trekken de modellen krom. De uit te keren bedragen groeien per maand en is beduidend meer dan voorzien is. Het verzekeren van een onderneming wordt steeds moeilijker. Vanuit de voorwaarden is altijd gesteld dat er een goede backup moet zijn (wat is goed?). En een half goede backup met een verzekering is nog altijd minder waard dan gewoon een goede backup infrastructuur op te zetten.
Als laatste punt van aandacht voor verzekeringen, verzekeringsmaatschappijen die deze verzekeringen aanbieden staan onder het vergrootglas van de boefjes. Als de boefjes daar weten in te breken en alleen maar informatie weghalen, gaat een criminele campagne al voorspoedig van start. Zij weten welke ondernemingen verzekerd zijn en uitbetalen geen issue gaat zijn. Of in ieder geval dat de kans ervan aanzienlijk groter is. En dat is nu precies wat de boefjes willen: hun business model op de meest makkelijke manier in draaiende houden.
Contact
Bent u nu die ondernemer die (nu) begrijpt dat het echt tijd is om stappen te ondernemen? Of herinnert u zich dat u nog een paar zaken moet regelen? Behoefte om er een kop koffie op te gaan drinken? Maak via deze link direct in mijn agenda een afspraak om kennis te maken. Want uw IT komt niet zo maar in handen van een buitenstaander. Daarom doen wij er ook alles aan om een onderdeel te worden van uw onderneming: Uw eigen IT afdeling.
