'In de strijd tegen cybercrime is voorbereiden veel belangrijker dan voorkomen'

Het onderwerp cybercrime staat hoog op de agenda van bedrijven en organisaties. Niet verwonderlijk, want we horen er om ons heen steeds vaker over. Veel klanten van Van Oers Accountancy & Advies willen weten of ze zijn opgewassen tegen de bedreigingen. Frans van Meel, cybersecurity consultant bij Van Oers, adviseert zijn klanten een plan op tafel te hebben liggen voor het moment dat ze het slachtoffer worden van cybercrime.

Foto: Frans van Meel

De toename in het aantal berichten over cybercrime is een direct gevolg van de vergaande digitalisering en automatisering. Die maken ons kwetsbaar, ook omdat voor veel diensten geen analoge alternatieven meer bestaan. Gaat het mis, dan is het gevolg direct voelbaar. Voor de medewerkers binnen een bedrijf dat bijvoorbeeld is gehackt, maar ook voor de ketenpartners waar het betreffende bedrijf mee samenwerkt.

Evolutie van cybercrime

Het platleggen van de Rotterdamse haven in juni vorig jaar met een Ransomware-aanval, is daar een goed voorbeeld van. Slaat een hacker toe, dan kan dat van grote invloed zijn op onze maatschappij. Frans van Meel: “Op zo’n moment merken we des te meer dat digitalisering behalve voordelen ook nadelen met zich meebrengt. Veel maatregelen die bedrijven hebben getroffen, dateren van een aantal jaar geleden. Maar cybercrime evolueert. Hackers komen telkens met nieuwe methoden en de mens is hierin vaak de zwakke schakel. Met de middelen van toen, zijn bedrijven nu kwetsbaar.”

Utopie

Van Meel noemt het een utopie om op het gebied van cybercrime alles in de techniek op te kunnen lossen. “Wat een bedrijf met name nodig heeft, is inzicht. Voorkomen is één ding, maar met een goede voorbereiding kun je veel schade voorkomen. Lukt het een hacker toch om toe te slaan binnen je bedrijf, zorg dan dat je tijdig iets merkt en dat je direct kunt ingrijpen.”

Boete

Handhaving van de AVG (GDPR) wetgeving per 25 mei 2018, stelt bedrijven verplicht hun privacy gevoelige informatie, tevens bij hun ICT partners (!) goed te beschermen. Doen ze dat niet, dan kan dat leiden tot een boete en aansprakelijkheid. “Neem daarom zowel technische als organisatorische maatregelen”, adviseert Van Meel. “Sommige scenario’s zijn ook prima vanuit organisatieprocessen op te lossen. Het is heel belangrijk mensen binnen je organisatie bewust te maken van de risico’s.”

Bedrijfsreputatie

Toch zou de kans op een boete niet de reden moeten zijn om maatregelen te treffen. Ligt informatie over een klant eenmaal op straat, dan is het lastig het vertrouwen te herstellen. De reputatie van je bedrijf, is een belangrijke factor die meespeelt. “Onze samenleving wordt steeds opener, we werken steeds meer samen. Het is heel belangrijk dat je tijdig een signaal krijgt op het moment dat er iets ongeoorloofds gebeurt en dat je goed op dat moment bent voorbereid.”

Hack demo

Tot welke gevolgen een hack voor een bedrijf kan leiden, toont Van Meel tijdens een hack demo die hij voor klanten van Van Oers verzorgt. “Tijdens zo’n demo laat ik bijvoorbeeld zien waar het openen van een phishing mail toe kan leiden en hoe zo’n mail wordt opgezet. Negen van de tien incidenten vinden namelijk plaats door deze vorm van oplichting op het internet. Eén van de computers uit het netwerk van de klant kan hierdoor op afstand worden overgenomen, waarna de hacker op zijn gemak kan rondzoeken.”

Binnen 72 uur melden

Vanuit de GDPR-wetgeving wordt van bedrijven geëist dat ze een datalek binnen 72 uur melden. “Dat lukt alleen maar wanneer je van tevoren hebt nagedacht over hoe je op zo’n moment dient te handelen. Zijn je ketenpartners in staat om je van informatie over het lek te voorzien? Een wetgeving zoals de GDPR verlangt dat je pro-actief met het onderwerp bezig bent en dat je uitgaat van risico bewust ondernemen.”

Cyber alarm

Van Meel benadrukt dat het feit dat je gehackt bent niet erg hoeft te zijn, zo lang je er maar op bent voorbereid. “Wie tijdig wil reageren op een incident, moet 24/7 het gedrag van het netwerk in de gaten houden. Een onmogelijke opgave voor een MKB-er, die daarom een cyber alarm nodig heeft. Dat alarm signaleert opvallende patronen in het lokale netwerk. Het is de meest effectieve maatregel om jezelf tijdig op de hoogte te stellen van een incident.”

Meer dan een papieren document

De IT en Cybersecurity dienstverlening van Van Oers creëert in de eerste plaats inzicht voor haar klanten. Dat begint bij een nulmeting, waarbij gekeken wordt waar de klant staat. “Op die manier kunnen we heel gericht verbeteren en de klant weerbaar maken.” Het feit dat techniek volgens hem niet de enige oplossing is, laat hij zien door ook naar medewerkers en processen te kijken. “Wie geen beleid heeft, kan mensen niet aanspreken op hun gedrag. Securitymanagement dient meer dan een papieren document te zijn, wil je de medewerker betrokken houden.”

Borging in je processen

Op een lichtvoetige manier probeert Van Meel deze visie over de bühne te brengen bij bedrijven. “Bij bedrijven is vaak niet duidelijk wie centraal verantwoordelijk is voor het security beleid. De GDPR wetgeving verlangt van ons dat we securitymanagement in onze processen gaan borgen.”

Auteur: Carline Klijn – van Best