Cybersecurity: het is nu of nooit!

Cybersecurity: het is nu of nooit!

 

Collega Aron Crum schreef een blog over cybersecurity. In het tweede deel van 2017 zijn er honderden cyberaanvallen geweest op Nederlandse overheidsinstellingen en bedrijven. Hackers en cybercriminelen worden steeds slimmer en agressiever. Met de toenemende digitalisering in razendsnel tempo vraag je je af waarom er toch zo weinig aandacht wordt besteed aan cybersecurity. Het antwoord lijkt tweeledig: men is zich niet (voldoende) bewust van de gevaren van een slecht beveiligingssysteem en er is te weinig budget voor goede beveiligingssystemen bij vooral (kleine) MKB-bedrijven. En dat terwijl juist de meerderheid van alle doelgerichte aanvallen gericht zijn op deze bedrijven! Dit blijkt uit de securityrapporten van onder andere Cisco, Symantec en Microsoft, de meest vooraanstaande IT-beveiligers ter wereld.

Cybercriminelen worden doelgerichter en slimmer

Cybercriminelen worden steeds doelgerichter in hun aanvallen. Waar vroeger mails met daarin besmette links werden verstuurd naar zoveel mogelijk mensen zonder diepliggend onderzoek naar wie deze mensen precies waren, wordt nu gebruik gemaakt van social media kanalen om gepersonaliseerde mails te versturen. Zo proberen ze tegenwoordig vaak via allerlei slimme omwegen de mensen te bereiken. Het kost meer moeite en het is technisch moeilijker, maar de opbrengsten zijn gigantisch als het lukt. Voorbeelden hiervan zijn de Wanna-cry en de Petya aanvallen eerder dit jaar, in beide gevallen werd gebruik gemaakt van gijzelsoftware. De Wanna-cry aanval zorgde ervoor dat meer dan 200.000 computers wereldwijd werden geblokkeerd. De beeldschermen gingen op zwart en de hackers zouden dit pas oplossen indien er losgeld betaald zou worden. De Petya aanval was van een kleinere omvang, maar toch heeft ook deze cyberaanval veel schade aangericht. Onder andere bedrijven in Nederland, Frankrijk, Spanje, India en Rusland zijn getroffen. Net als bij de Wanna-cry aanval gingen beeldschermen op zwart en werd er om losgeld gevraagd. Bovenstaande voorbeelden zijn slechts een fractie van de vele voorbeelden van de afgelopen jaren.

Hackers hebben het vooral gemunt op MKB bedrijven

Uit een trendrapport van Cisco MKB Security Solution blijkt dat 22% van de MKB bedrijven aangeeft zichzelf niet te zien als een high-value target voor hackers. Daarnaast geeft 40% van de MKB bedrijven aan dat budget het belangrijkste obstakel is om de juiste beveiligingsmaatregelingen te treffen. Ruim 60% van de cyberaanvallen vindt juist plaats bij déze MKB-bedrijven, wat waarschijnlijk geen toeval is. Ondanks de vele voorbeelden en de toenemende dreiging zijn er nog weinig Nederlandse cyberbeveiligers. De markt is nog flink versnipperd en er lijkt daardoor voldoende speelruimte voor toetreders binnen deze markt. De onvolwassenheid van de markt lijkt verklaard te kunnen worden door met name de onderschatting van bedrijven jegens hackers en de hoge kosten die aan de producten kleven. De eerste stap naar een veilige internetomgeving is het creëren van security awareness. Mensen moeten zich meer bewust worden van welke gevaren er zijn, waar deze gevaren liggen, hoe ze met de gevaren om moeten gaan en wie ze moeten benaderen als het fout gaat. Daarnaast moet cybersecurity meer bij bedrijven op de agenda komen te staan en zou er meer budget voor gecreëerd moeten worden. Om ervoor te zorgen dat er meer bedrijven toetreden tot de markt van cybersecurity, zullen eerst deze problemen moeten worden opgelost.

Algemene Verordening Gegevensbescherming

In mei 2018 wordt de Algemene Verordening Gegevensbescherming (AVG) van kracht. Deze privacywetgeving heeft betrekking op alle bedrijven binnen de Europese Unie. Doel van deze nieuwe privacywetgeving is het stimuleren van bedrijven om persoonsgegevens op een veilige manier te bewaren en verwerken. De AVG is erg complex en de te nemen maatregelen kunnen onderverdeeld worden in drie groepen: organisatorisch, technisch en data-maatregelen. De belangrijkste organisatorische maatregelen bestaan uit het maken van zogenaamde Privacy Impact Assessments (PIAs), audits, het nalopen van beleidsregels en het vastleggen van activiteiten. Volgens artikel 37 van de wet AVG zijn in ieder geval overheidsinstanties en publieke organisaties, organisaties die vanuit hun kernactiviteiten op grote schaal individuen volgen en organisaties die op grote schaal bijzondere persoonsgegevens verwerken, verplicht een functionaris voor de gegevensbescherming te benoemen. De belangrijkste technische maatregel is dat de verwerkingsverantwoordelijke ten alle tijden in staat moet zijn om de getroffen maatregelen ten aanzien van het beschermen van persoonsgegevens moet kunnen overleggen aan de Autoriteit Persoonsgegevens. Wat betreft data moet de organisatie de verzamelde persoonsgegevens, de oorsprong en met wie de gegevens worden gedeeld, vastleggen. Dit is belangrijk omdat een aantal fundamentele rechten van individuen wijzigen met de intreding van de AVG. Individuen hebben bijvoorbeeld recht om gegevens in te zien, te wijzigen en het recht om vergeten te worden. Indien bedrijven zich niet houden aan de voorgeschreven regels, dan kunnen er flinke boetes worden uitgedeeld tot wel €20 miljoen! Daarnaast ontstaat er ook onherstelbare imagoschade, wat niet eens in geld is uit te drukken!

Kortom, bedrijven ontkomen dus niet aan cybersecurity. Met de aanstaande wetgeving gaat veel verandering gemoeid en worden bedrijven gedwongen zich snel aan te passen. Doen zij dit niet, dan hangt hen grote boetes boven het hoofd en kan het tot enorme imagoschade leiden. Dit biedt kansen voor cyberbeveiligers en maakt toetreden tot deze markt verleidelijk. Laten we samen zorgen voor een veilige dataomgeving en investeren in cybersecurity. Het is nu of nooit!

Voor een uitgebreider overzicht van de maatregelen van de AVG, raadpleeg autoriteitpersoonsgegevens. Deze blog is geschreven door Aron Crum, junior adviseur.