Datarijkdom vraagt om verhoogde waakzaamheid
Data is de nieuwe currency. Dat wordt nadrukkelijk geïllustreerd door de Fortune 500. Waren het eerder vooral oliemaatschappijen die de lijst van machtigste bedrijven ter wereld bevolkten, tegenwoordig zijn het de Tech-bedrijven die de lijst domineren. ‘Datarijkdom vraagt om verhoogde waakzaamheid, want bedrijven die veel data opslaan worden ongewenst aantrekkelijk voor kwaadwillenden.’ Dat zegt cybersecurity adviseur Jort Kollerie van SecureLink, onderdeel van Orange Cyberdefense.
‘Cyberaanvallen worden steeds gerichter en geraffineerder.’- Jort Kollerie
Elke organisatie die met data werkt is een potentieel doelwit, zo stelt de expert. Als een kwaadwillende veel moeite moet doen om data te stelen bij een bepaalde organisatie, dan gaat hij voor een makkelijker prooi. ‘De inbreker kiest toch ook de woning die het slechtste is beveiligd. Laaghangend fruit is aantrekkelijk. In het verleden werd vaak gezegd: we zijn geen grote organisatie, dus we zijn niet aantrekkelijk voor hackers. Die gedachte is nooit realistisch geweest.’
Organisaties zijn vooral bezig om het kasteel zo hoog mogelijk te bouwen met de dikste muren, maar ze vergeten dat de indringer ook een tunnel kan graven en zo kan binnenkomen, zo vervolgt hij. ‘De indringer heeft meer tools en resources en geduld dan ooit. Een aantal jaren geleden was malware een soort clusterbom, die ongericht en willekeurig schade aanbracht bij slachtoffers. Maar cyberaanvallen worden steeds gerichter en geraffineerder om bij hun doelwit te komen.’ Kollerie doelt hiermee op social engineering. Dat betekent dat mensen zo worden bespeeld dat zij een handeling uitvoeren die niet in hun voordeel is. ‘Er wordt ingespeeld op de emotie van de gebruiker. Emoties als nieuwsgierigheid, angst, urgentie, gierigheid en behulpzaamheid. Vaak gebruiken de aanvallers een combinatie van die emoties om het slachtoffer te bespelen. Denk aan het verzoek om je wachtwoord te wijzigen omdat je account verloopt. Dat lijkt attent en behulpzaam, maar het is bovenal inspelen op de angst om je account kwijt te raken. Het is een kwestie van vertrouwen winnen en dan toeslaan.’
Geen overbodige luxe
Hoe kun je je tegen deze ongewenste bezoekers wapenen? Kollerie: ‘Bijvoorbeeld door technische en fysieke trainingen te faciliteren. Met IT-beveiliging maken we een inhaalslag. We realiseren ons nu dat het gebruik van IT minder vanzelfsprekend is dan aanvankelijk werd gedacht. We gingen met de computer om alsof we nooit anders hadden gedaan. Vroeger werd er bij sollicitatiegesprekken nog wel eens gevraagd of iemand met Word en Excel uit de voeten kon. Dat is passé. Een overbodige vraag, want iedereen kan met een computer omgaan…. De werkelijke vraag is: kan iedereen zich veilig gedragen met een device en op het internet? Nee dus. Daarom is het geen overbodige luxe om medewerkers te trainen en te testen. Hoe herken je een phishing aanval? Hoe voorkom je ransomware?’ Dat laatste is ontwikkeld om systemen te infecteren en vervolgens de data te gijzelen door middel van encryptie. ‘Het is uiterst kwaadaardig omdat de data pas weer vrijgeven wordt wanneer losgeld in de vorm van bitcoins is betaald. Dit is overigens geen garantie, want je hebt te maken met criminelen.’ Belangrijk is dat je je bewust bent van de risico’s als internetgebruiker, stelt hij. Niet alleen in de werksfeer, maar ook privé. ‘En bij privé moet je onder andere denken aan de informatie die je deelt op het internet.
Allerlei mensen kunnen meelezen. Daar hoeft er maar een tussen te zitten met minder nobele bedoelingen, die met jouw informatie aan de haal gaat. Wees je ervan bewust dat zakelijk gebruik en privégebruik van IT steeds sterker met elkaar zijn verweven.’ Ondanks de digitale voordelen zoals beschikbaarheid in de cloud, adviseert Kollerie om altijd een off-line back up van data te maken. Een ander advies: zorgt dat je weet wat je moet doen in een total down situatie. ‘Als de boel platligt, moet je snel en adequaat kunnen handelen om de doorlooptijd en schade te beperken.’