C-level executives brengen grote cyberrisico’s met zich mee
Leidinggevenden zijn een gewilde prooi
2 december 2020 -
Mensen aan de top zijn het meest kwetsbaar voor cyberdreigingen. Dat is de belangrijkste conclusie uit een rapport van Verizon over cybersecurity. Het rapport toont aan dat leidinggevenden in toenemende mate het doelwit zijn van hacks voor financieel gewin.
Gartner voorspelt zelfs dat 75 procentvan de CEO’s in 2024 persoonlijk verantwoordelijk is voor security-incidenten met cybersystemen zoals operationele technologie en Internet of Things (IoT)-projecten. Deze incidenten kunnen uiteindelijk leiden tot fysiek letsel bij mensen, beschadiging van eigendommen of milieurampen. Dat onderstreept des te meer het belang van begrip en kennis over cyberbeveiliging onder leidinggevenden. John Schaap, Senior Director Benelux & Nordics bij BlackBerry staat stil bij de belangrijkste redenen waarom leidinggevenden een gewilde prooi zijn.
Waarom leidinggevenden een gewilde prooi zijn
- Met veelvuldige verantwoordelijkheden en toegang tot kritieke bedrijfssystemen, zijn C-level executives enorm aantrekkelijk voor hackers. Bovendien zijn er een aantal logistieke redenen waardoor ze een gemakkelijk doelwit zijn. Ten eerste zijn ze veel onderweg en werken daarom vaak met verschillende devices, via verschillende (en vaak onbeveiligde) verbindingen. Daarnaast zijn leidinggevenden in de meeste gevallen ook publieke figuren wiens persoonlijke informatie en e-mailadressen vaak direct beschikbaar zijn via open source intelligence (OSINT). De kans op een hack wordt alleen maar groter door het vele thuiswerken, zoals aangestipt door het Anti Money Laundering Centre.
- Leidinggevenden op C-level zijn vaak doelwit voor Business E-mail Compromise. Eén van de belangrijkste redenen voor de opleving van dit soort aanvallen, is de mogelijkheid tot het misbruiken van gestolen inloggegevens voor financieel gewin. Omdat het leven en de bewegingen van leidinggevenden gemakkelijk te achterhalen zijn via OSINT, is het eenvoudig voor cybercriminelen om een social engineering-aanval of phishing-e-mail te maken, waardoor ze er des te geloofwaardiger uitzien. Bijvoorbeeld een phishing-e-mail namens ‘de CEO’ die volledig is afgestemd op de plaats en tijd waar deze persoon zich bevindt.
- Leidinggevenden vertrouwen vaak sterk op de gevaarlijke veronderstelling dat hun IT-personeel verdachte activiteiten kan opsporen en ondervangen. Er is ook een zekere mate van ontkenning: ze denken dat ze niets hebben waar een cybercrimineel mogelijk in geïnteresseerd is. Keer op keer is dit een vervelende misvatting. Vooral gezien afpersing of identiteitsdiefstal de belangrijkste drijfveren zijn voor cybercriminelen. Het C-level heeft dus juist meer te verliezen op persoonlijk én professioneel vlak.
De opkomst van Business E-mail Compromise
Schaap: "Er zijn tal van motieven waarom Business E-mail Compromise een geliefde aanvalsmethode is voor cybercriminelen. Om te beginnen is het een relatief makkelijke manier om een leidinggevende financieel af te persen na een geslaagde aanval. Of het nu gaat om diefstal van bedrijfsgeheimen of zakelijke contracten, een cybercrimineel kan de aandelenmarkt gemakkelijk bespelen met de verzamelde informatie.
Andere keren wordt Business E-mail Compromise ingezet om wachtwoorden opnieuw in te stellen via opties voor wachtwoordherstel in bedrijfsapplicaties of persoonlijke en financiële applicaties. Dat komt omdat het hacken van een e-mailaccount aanvallers toegang geeft tot diverse andere applicaties waarvoor dat e-mailaccount is gebruikt om zich te registreren. Bij financiële aanvallen wordt Business E-mail Compromise vaak ingezet om e-mails naar ondergeschikten te sturen met expliciete verzoeken of instructies om een actie uit te voeren die tot een transactie leidt: de zogeheten CEO-fraude.
Cybercriminelen leren ook snel dat het blokkeren van systemen niet nodig is om een leidinggevende af te persen tot het betalen van losgeld. Waarom zouden ze dan al die moeite doen, als ze ook gewoon een e-mail kunnen opstellen die lijkt op de originele e-mails van de manager? Een eenvoudige, goed samengestelde e-mail met een duidelijke vraag om geld over te maken is namelijk zo verstuurd."
A-klasse beveiliging voor het C-level
Er zijn drie simpele stappen die C-level executives kunnen ondernemen om zichzelf goed te beschermen tegen de opkomst van BEC en andere social-engineered cyberaanvallen, en om direct het beveiligingsniveau te verhogen:
- 2FA: tweefactor-authenticatie biedt eenvoudige, beveiligde gebruikersauthenticatie om al je kritieke systemen te beschermen tegen phishing-e-mails en alle andere dreigingen.
- End-to-end berichten: kies voor een betrouwbaar berichtenplatform met end-to-end beveiliging en privacy.
- E-mailbeveiliging: creëer een extra beveilingslaag rondom e-mails om eventuele schade te voorkomen. Zo hoeft u achteraf geen problemen op te lossen.
Schaap: "Wees proactief en blijf voorbereid op het gebied van cybersecurity. Het gevaar schuilt soms in een klein hoekje – de gevolgen zijn onnavolgbaar groot. Bescherm al het waardevolle bezit van organisaties wereldwijd."
