14 november 2012 -
Uit onderzoek, in opdracht van HP uitgevoerd door het Ponemon instituut uit de VS, blijkt dat zowel het aantal geslaagde aantallen als de totale schade het afgelopen jaar opnieuw groter geworden zijn. Toch blijven bedrijven zich ‘beveiligen’ met houtje-touwtje oplossingen, en her en der in het bedrijf geïnstalleerde softwarepakketten. De deur gaat ’s avonds op het nachtslot, het alarm gaat aan – en de digitale deur blijft open staan.
Het is nu echt de allerhoogste tijd om het de cybercriminelen zo goed als onmogelijk te maken hun slag te slaan.
Miljoenen dollars
Een geslaagde cyberkraak kost volgens het Ponemon Instituut het slachtoffer gemiddeld 8,9 miljoen dollar. Dat is 40 procent meer dan het jaar ervoor, aldus het rapport. Men heeft becijferd dat er per week 102 geslaagde digitale inbraken plaatsvinden. Of dat allemaal criminele kraken zijn, of dat het hackers zijn die het er alleen maar om te doen is te laten zien dat ze binnen kunnen komen, blijft in het midden. Maar hacken is een vrijwel ongevaarlijke activiteit met een kleine pakkans. Geen mens zal het immers in zijn hoofd halen een maand lang te proberen in een gebouw in te breken.
Het onderzoek drukt organisaties wel weer met de neus op de feiten. De kans dat er in hun kantoren wordt ingebroken is vele malen kleiner dan die op een cyberkraak en de schade zal in dat geval meestal niet in de miljoenen lopen. Het lukt hackers nog steeds om bij organisatie binnen te komen. Waarom nemen ze toch nog steeds risico’s met informatiebeveiliging? Etiënne van der Woude, Regional Salesmanager Benelux van WatchGuard, zegt daarover: "De tijd om erover na te denken en te vergaderen is echt voorbij. De cybercriminelen blijven maar nieuwe en steeds geraffineerdere technologieën ontwikkelen, en veel organisaties lopen maar achter de feiten aan. Wij horen in de praktijk dat bedrijven denken dat krachtige security wel heel erg duur zal zijn. Dat geeft al aan dat ze zich nooit echt op de markt georiënteerd hebben."
Tegenvallende beveiligingsproducten
In een onderzoek van Ernst & Young klagen de CIO’s dat de geleverde beveiligingsproducten ze nogal tegenvallen en dat ze niet goed zouden werken. Volgens Van der Woude ligt de oorzaak daarvan niet zozeer bij de kwaliteit van de producten maar bij de manier waarop de oplossingen worden ingezet. "Het is van groot belang drie zaken op orde te hebben in de organisatie. Ten eerste moet informatiebeveiliging organisatiebreed worden aangepakt. Geen houtje-touwtje, geen point solutions. Alleen dan kan de IT-afdeling een sterk beveiligingsschild opbouwen. Ten tweede moet er met erkende professionele adviseurs en producten worden gewerkt. Dat is een voorwaarde om met up-to-date oplossingen te kunnen werken en een krachtige bescherming tegen ongewenst binnendringen te hebben. Ten slotte moeten alle managers zich realiseren dat informatiebeveiliging verder gaat dan alleen de IT-afdeling. Er moet een goed doortimmerd plan zijn hoe er met informatie wordt omgesprongen op de werkvloer." Van der Woude doelt hiermee op het sturen door medewerkers van vertrouwelijke e-mails of dossiers naar hun Gmail-account of Dropbox – of het op een USB zetten en mee naar huis nemen. Ook het niet regelmatig vervangen van passwords, het niet gebruiken van de auto-lock functie van desktops en het laten slingeren van papieren met gevoelige informatie moet een halt worden toegeroepen.
Slimme informatiegaring
Hij wijst ook op de slimme manieren waarop cybercriminelen aan hun informatie komen. "Het gaat helemaal niet altijd om geavanceerde technologie, maar ook om eenvoudige e-mailtjes met nieuwsgierig makende teksten zoals ‘Heb je gezien dat je foto met CV op deze website staat?’ Stuur zo’n mailtje naar toen adressen bij een organisatie – makkelijk te vinden, staan meestal gewoon op de company-website – en er is altijd wel iemand die op de link klikt en zo de malware naar binnenhaalt." Nog erger is het voorbeeld van de medewerkster die door de telefoon allerlei informatie over het security-platform doorgaf aan iemand waarvan ze dacht dat ze die vertrouwen kon. Een security-plan voor de werkvloer dat verder gaat dan alleen het creëren van bewustwording is volgens Van der Woude net zo belangrijk als een juist ingericht digitaal security-platform, dat behalve bescherming biedt tegen ongewenste indringers, maar ook virussen, malware en spam buiten de deur houdt en internetrechten tot op gebruikersniveau kan verlenen en controleren.
Reputatieschade
"Hoe het Ponemon Instituut gekomen is aan de 8,9 miljoen dollar die een gemiddelde cyberkraak het slachtoffer zou kosten weet ik niet," besluit Van der Woude. "Wat ik wel weet is dat de schade niet alleen gezocht moet worden in de waarde van de gegevens die ontvreemd zijn. De reputatieschade die een organisatie oploopt als een datalek naar buiten komt in de media, is bijna niet in geld uit te drukken. Alleen een professioneel ingericht, organisatiebreed informatiebeveiligingssyteem en een securityplan voor de werkvloer kunnen de trefkans van cybercriminelen beduidend verkleinen. Wat die investering oplevert, laat zich raden."
Weer zo'n verhaaltje van security consultants, die via bangmakerij business willen genereren. 100% veiligheid bestaat niet, noch in de echte wereld noch in de digitale wereld. In de echte wereld wil ik me niet meten met de georganiseerde misdaad. Waarom dan wel in de digitale wereld?