(cyber)criminelen maken misbruik van heel gewone menselijke eigenschappen om slachtoffers te maken. Eigenschappen waar je je niet voor hoeft te schamen, maar als er van die eigenschappen misbruik wordt gemaakt kan dat grote negatieve gevolgen hebben met veel financiële en emotionele schade.

Vanmiddag (8 juni 2023) ben ik aanwezig geweest bij de bijeenkomst “Digitaal veilig ondernemen” in restaurant de Soester Duinen te Soest. Deze bijeenkomst was georganiseerd door de gemeente Soest, Stichting BMO (Bedrijven Management Organisatie Soest) en het Platform Veilig Ondernemen Midden-Nederland (PVO). Er waren een 35-tal ondernemers aanwezig.

Vanuit de security wereld worden mensen al langere tijd gestimuleerd om gebruik te maken van “Multi Factor Authenticatie” (MFA) bij het inloggen in bijvoorbeeld een applicatie. Met MFA creëer je een extra beveiligingslaag waardoor het voor onbevoegden moeilijker wordt om in een account binnen te dringen. Bij gebruik van MFA moet je bij het inloggen (naast je gebruikersnaam en wachtwoord) een “extra factor” invoeren. Deze extra factor is een code die iedere keer dat je inlogt anders is. Die code kun je tijdens het inloggen op je telefoon aflezen. Je kunt de code ontvangen via SMS of aflezen in een autorisatie-app. Het voordeel van MFA is natuurlijk dat onbevoegden niet kunnen inloggen met uitsluitend jouw gebruikersnaam en wachtwoord. Zonder die benodigde “extra factor” gaat dat niet lukken. En om die extra factor te verkrijgen moeten ze toegang hebben tot jouw telefoon.

We leven momenteel in een wereld vol onzekerheden en uitdagingen. Eén van de uitdagingen waar het bedrijfsleven mee te maken heeft is de doorgaande groei van de cybercriminaliteit. Bedrijven, zowel groot als klein, hebben te maken met cyberdreigingen die op diverse manieren op hen afkomen. Proofpoint, een wereldwijd belangrijke speler op het gebied van cyber-security heeft in Mei 2022 een rapport gepubliceerd naar aanleiding van een onderzoek onder 1.400 CISO’s (Chief Information Security Officers) in diverse landen van de wereld, waaronder Nederland. In dit rapport is te lezen hoe de ondervraagde CISO’s de afgelopen 12 maanden hebben “beleefd” en wat hun visie is op de toekomst.

Naar aanleiding van de berichtgeving over het gebruik van privé e-mail accounts voor zakelijke  doeleinden door minister De Jonge en burgemeester Halsema kreeg ik de volgende vraag van iemand toegestuurd: “Leg mij eens uit wat het gevaar is als ik mijn zakelijke mail gebruik om mijzelf (bijv.) te herinneren aan iets …”

Door de opkomst van mobiele apparatuur, de migratie naar de Cloud en het werken op afstand hebben cybercriminelen de methodes die ze gebruiken om hun aanvallen uit te voeren gedurende de afgelopen jaren aangepast. Maar het grootste cyber-risico voor het bedrijfsleven is nog altijd hetzelfde gebleven: “de mens”. Medewerk(st)ers van bedrijven en organisaties zijn nog altijd kwetsbaar. Met slimme “social engineering” technieken worden ze door cybercriminelen verleid om in een phishing e-mail op een link te klikken, een attachment te openen of vertrouwelijke informatie te delen. Mensen die niet bewust zijn van dergelijke risico’s worden daardoor snel het slachtoffer. Met alle gevolgen (schade) van dien.

Grote bedrijven (ook wel vaak “Enterprises” genoemd) en wereldwijd opererende merken worden vaak gezien als de meest voor de hand liggende doelgroep voor cybercriminelen om aan te vallen. Hierbij worden de cyber-risico’s voor kleine en middelgrote bedrijven (MKB) serieus onderschat. MKB bedrijven zijn namelijk wel degelijk interessant voor het hackers-gilde. Al in 2018 heeft Proofpoint, een wereldwijd opererend security bedrijf, na een onderzoek geconcludeerd dat er geen enkel verband bestaat tussen welke bedrijven door cybercriminelen worden aangevallen en de grootte van dat bedrijf. Dit betekent dat MKB bedrijven dezelfde cyber-bescherming nodig hebben als “Enterprises”.

MKB-bedrijven en grote (enterprise) bedrijven verschillen veel van elkaar maar ze hebben ook één ding gemeen: Als ze worden aangevallen door hackers worden dezelfde technieken gebruikt. De cyber-risico’s waar grote én kleine bedrijven mee te maken hebben mogen niet onderschat worden en het onderwerp “informatiebescherming” dient op de agenda te staan bij het management van iedere organisatie, groot én klein.

Het is niet verstandig om het risico wat je loopt om slachtoffer te worden van internet-criminelen te onderschatten. De meeste mensen zijn tegenwoordig 24/7 online en het hackers-gilde is ook 24/7 actief. Dat betekent dus dat je 24/7 geconfronteerd kunt worden met slimme methodes en -technieken die door cybercriminelen worden gebruikt om binnen te dringen in je netwerk of computer. Dus niet alleen op je werk moet je alert zijn, maar ook thuis op de bank met je laptop, tablet of smartphone.

Het belang van bewust personeel op het gebied van security en privacy blijkt uit de keiharde cijfers over cybercriminaliteit. Meer dan 70% van alle cyber-incidenten wordt nog steeds veroorzaakt door mensen. Gewone mensen. Dat zijn mensen zoals jij en ik met gewone menselijke eigenschappen die door cybercriminelen worden misbruikt. Dat zijn geen mensen die je meteen het predicaat “dom” kunt geven. Iedereen kan dat overkomen. Onder de slachtoffers zitten goed opgeleide directieleden, IT-mensen, financieel directeuren, administratief medewerk(st)ers, receptionistes, marketing medewerk(st)ers, verkoopmedewerk(ster), etc.

Het is 4 oktober 2021. Een wereldwijde storing bij Facebook. Veelgebruikte apps zoals Facebook, Instagram en Whatsapp zijn gedurende een periode van 6 uur niet te gebruiken. Mensen moesten ineens een avond zonder Facebook of “Instaaaaaa”! Help! En je kon tot overmaat van ramp ook geen “appjes” sturen. Voor veel mensen een vreemde gewaarwording. Hoe lang gaat dat duren? Wat moet ik nu?

Ransomware is momenteel de grootste (cyber)dreiging waar iedereen die gebruik maakt van  computers, laptops, telefoons, tablets , etc. mee te maken heeft. Als je getroffen wordt door een ransomware besmetting zijn de gevolgen groot: Alle bestanden zijn onbruikbaar gemaakt en de criminelen eisen vervolgens een losgeld (= ransom) om weer toegang te krijgen tot je informatie. Het gaat dan vaak over grote bedragen die betaald moeten worden in bitcoins. Bedrijven worden hierdoor compleet lam gelegd en er is sprake van grote financiële- en operationele schade. En laten we het dan maar even niet hebben over de reputatieschade.