Awareness en Ransomware

Gepubliceerd op 1 juli 2021 om 14:27

“Awareness? Dat heeft hier nu even geen prioriteit”. Ik hoor deze zin helaas maar al te vaak. En dat terwijl de berichten over cyberaanvallen en ransomware besmettingen bij bedrijven blijven binnenstromen. Het ene na het andere bedrijf wordt platgelegd omdat de gegevens in hun computersystemen “op slot” zijn gezet. Alleen na het betalen van een losgeld (= ransom) in bitcoins beloven de cybercriminelen de sleutel te geven om je gegevens weer terug te krijgen. Ze beloven dat wel maar toch krijgen niet alle slachtoffers na het betalen van losgeld hun gegevens terug. Miljoenen Euro’s financiële-, operationele- en reputatieschade. Ransomware is een risico waar iedere organisatie serieus rekening mee moet houden.

Er zijn talloze voorbeelden in het nieuws geweest: ze lopen uiteen van de Universiteit Maastricht tot de Gemeente Lochem en gemeente Hof van Twente. En deze week is bekend gemaakt dat ook de organisatie van Mandemaker Keukens waartoe (naar ik heb begrepen) meer dan 20 bedrijven behoren is getroffen door een ransomware besmetting.

 

En de MKB bedrijven? Lopen die ook risico?

De voorbeelden die ik hierboven noemde zijn natuurlijk van een paar bekende organisaties. Maar wat te denken van minder bekende bedrijven die zich met name in het MKB segment bevinden? Lopen die minder risico op een ransomware besmetting? Niets is minder waar. In het recente rapport “Cyber Security Beeld Nederland 2021” van de NCSC staat te lezen dat een enquête in 2020 onder meer dan 500 leidinggevenden binnen het internationale MKB aangaf dat 46 procent van het MKB ooit slachtoffer is geweest van ransomware.

 

Een sprekend voorbeeld is Autobedrijf Schoolderman in Zutphen die in 2019 na een ransomware besmetting hun schaamte opzij zette en in samenwerking met Alert Online een kort filmpje heeft gemaakt waarin de eigenaar Peter Schoolderman zijn ervaringen deelt om andere bedrijven te wijzen op het risico en de gevolgen van ransomware. Alle gegevens in hun computersysteem waren van de ene op de andere dag niet meer toegankelijk. Tienduizenden Euro’s schade en daarnaast zijn ze nog 9 maanden bezig geweest om de administratie, de werkplaatsagenda en het klantenbestand opnieuw in te voeren. Hulde voor dit bedrijf voor hun openheid hierover!

 

Wat heeft dit met Awareness te maken?    

De cijfers liegen niet: Meer dan 70% van alle cyberincidenten wordt veroorzaakt door menselijk handelen. Ransomware is hét verdienmodel voor cybercriminelen. Ze richten zich daarom op de mensen in een organisatie. De ransomware wordt door cybercriminelen verspreid met phishing berichten via e-mail, SMS, Whatsapp en social media. In een van mijn vorige blogs (Social Engineering: de kunst van het verleiden) heb ik uitgelegd hoe dat werkt: Mensen worden slim verleid om bijvoorbeeld ergens op te klikken of om een bestand te openen.

 

Maak van de mens de sterkste schakel

Als de medewerk(st)ers van een bedrijf of organisatie niet bewust zijn van de risico’s op internet zijn ze een makkelijke prooi voor cybercriminelen. Het is daarom echt van belang dat de security awareness in elke organisatie op het juiste niveau wordt gebracht en wordt gehouden. Aandacht voor awareness is een continu proces waarmee de juiste cultuur wordt gecreëerd voor het beschermen van de kroonjuwelen van elk bedrijf: de computerdata.

Bewust personeel maakt een bedrijf weerbaar en verlaagt het aantal cyberincidenten en datalekken.   

 

Doe eens een nulmeting

Tijdens een nulmeting wordt met een online enquête en een phishingtest de situatie inzichtelijk. De online enquête maakt duidelijk wat het kennisniveau is van medewerk(st)ers op verschillende security onderwerpen. Dan weet je dus welke onderwerpen bij de awareness campagne extra aandacht moeten krijgen. De phishingtest geeft aan hoe gevoelig de organisatie is voor phishing. De resultaten van zo’n test zijn bij erg veel bedrijven zorgwekkend als blijkt dat tientallen procenten van de medewerk(st)ers in hele simpele phishingtest e-mails trappen.  

 

Uitsluitend awareness vergroten is natuurlijk niet de “heilige graal” waarmee je cybercriminaliteit volledig buiten de deur kan houden. Awareness vergroting is één van de onderdelen binnen het spectrum van noodzakelijke securitymaatregelen. Om risico’s te verlagen zijn maatregelen nodig op het gebied van het gedrag van de mensen, de (beleids)processen en de techniek (technische security oplossingen).

 

Een security nulmeting geeft inzicht in de situatie. Een nulmeting levert nuttige informatie waarna het mogelijk wordt om de juiste maatregelen te nemen om de risico’s te verlagen of zelfs te elimineren.   

 

Ik kom graag in contact om de mogelijkheden toe te lichten voor een nulmeting en het vergroten van het bewustzijn (awareness). Neem hiervoor gerust contact op via onderstaand formulier of via de contactpagina van de website:  https://www.kochconsultancy.nl/contact

 

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.