Cybercrime: Loop geen onnodig risico!
Nog niet zo lang geleden werd een bekende Nederlandse rechter ineens groot nieuws. Door onzorgvuldig handelen kwam zijn oude computer letterlijk op straat te liggen, waardoor privacygevoelige gegevens in handen kwamen van een willekeurige voorbijganger. Consumenten, maar ook bedrijven hebben veelal een lakse houding als het gaat over het beschermen van (privacy)gevoelige informatie. Het is van groot belang dat er een bewustwordingsproces op gang wordt gebracht onder consumenten en bedrijven, aldus diverse experts die spraken op het event ‘Cybercrime & Bedrijfscontinuïteit” in het Utrechtse Media Plaza.
Dagvoorzitter Herbert Blankesteijn opende het event met een filmpje waarin te zien was hoe eenvoudig het is om informatie uit een bedrijf te stelen. Een team specialisten drong met opzet een bedrijf binnen om te testen of alle informatie wel voldoende werd beveiligd. Door zich voor te doen als journalisten (social engineering) en diverse tactische vragen te stellen, waren ze in staat om allerlei informatie te verzamelen die normaal gesproken niet in verkeerde handen mag vallen.
Daarna wierpen drie sprekers hun licht over cybercrime en bedrijfscontinuïteit, waarbij het aan interactie met de zaal niet ontbrak.
Informatiebeveiling is van onschatbare waarde
“Een laptop is gemiddeld 8 ton waard”, begon Friso de Jong van Silverback B.V. Het maken van een goede back-up is echter nog altijd niet aan de orde bij veel consumenten en bedrijven. Toch is het een trend dat steeds meer kennis in digitale vorm wordt opgeslagen. Informatie vormt het kloppende hart van veel organisaties. Daarbij neemt het bewustzijn toe dat informatie écht waarde heeft en het grote gevolgen kan hebben als er iets mis gaat. Niet alleen financieel, maar ook de imagoschade die het kan veroorzaken.
Enkele voorbeelden van kenniskapitaal die de Jong noemde, zijn:
- Marketingmateriaal: logo’s, handelsnamen, reclamemateriaal etc.
- ICT: domeinnamen, websites, broncodes, applicaties etc.
- Techniek: handelsgeheimen, formules, ontwerptechnieken etc.
Kenniskapitaal vertegenwoordigt volgens de Jong gemiddeld 75% tot soms wel 85% van de
waarde van bedrijven. “Het lijkt wel gebakken lucht”, was een reactie van iemand uit de zaal. Volgens Friso de Jong is dat ook kenmerkend voor veel bedrijven. Ze hebben moeite om kennis tastbaar te maken. Toch pleit De Jong ervoor om kenniskapitaal een onderdeel van de balans te maken. Gemiddeld is maar liefst 75% van de inkoop- en verkoopfacturen niet gerelateerd aan iets op de balans. Steeds vaker wordt dit toegeschreven aan goodwill, maar veel is toe te kennen aan kenniskapitaal.
De presentatie van Friso de Jong (klikbaar)
De conclusie van het betoog van Friso de Jong is dat het belangrijk is dat bedrijven zich bewust worden van de hoeveelheid verborgen kennis binnen hun organisatie. Bescherm het daarom goed! Het installeren van een goede virusscanner en een goed back-up systeem is qua investering maar ‘peanuts’ in vergelijking met de waarde van alle informatie bij elkaar. Ook adviseerde hij om bijvoorbeeld voor je website het programma HTTrack te gebruiken. Je kunt hiermee een kopie maken van je site en deze op je eigen computer opslaan. Providers garanderen dat je website bij hun in veilige handen is, maar als zij om wat voor reden dan ook wegvallen, heb je helemaal niets meer. Volgens Friso de Jong is het dan prettig te weten dat je altijd nog een kopie hebt op je eigen computer.
Het cybercrime landschap in kaart gebracht
De tweede presentatie was van Erik de Jong van Govcert. Govcert is de digitale brandweer voor de overheid en vitale infrastructuur. Maar liefst 80% van de werkzaamheden van Govcert bestaat uit preventie en 20% uit het daadwerkelijk oplossen van problemen. In de presentatie ging Erik de Jong terug in de tijd toen virussen nog werden ontworpen voor de ‘faam en glorie’ van de ‘nerd op de zolderkamer’. De schade die destijds werd aangericht door virussen en wormen was vooral bedoeld om al je opgeslagen informatie in het niets te doen laten verdwijnen.
Tegenwoordig is dat anders. Erik de Jong onderscheidt hierin twee stromingen:
- Vandalisme/Hacktivisme: activiteiten die zijn bedoeld om bijvoorbeeld een politiek statement te maken.
- Schade aanrichten: hierbij gaat het om fraude en diefstal, zoals phishing, scams, afpersing en identiteitsdiefstal.
De laatst genoemde vorm wordt gerealiseerd door zogenaamde bots in te zetten. Dit zijn autonome programma’s die op een computer worden geïnstalleerd en acties uitvoeren zonder tussenkomst van gebruikers. Deze bots richten zich op onbeschermde of te weinig beschermde computers. De verspreiding van bots gebeurt op verschillende manieren:
- Via de browser (zogenaamde lekken)
- Via websites
- Via peer2peer programma’s
- Via e-mail
Volgens Erik de Jong onderschatten veel gebruikers de gevaren van bots. Een uitspraak als “Cybercrime is toch geen probleem op het platteland?” komt nog regelmatig voor. Toch kun je altijd het doelwit zijn van cybercrime, waar je ook ook bent.
Erik de Jong kwam met verschillende nuttige adviezen:
- Kijk regelmatig op www.waarschuwingsdienst.nl. Hierop is veel informatie te vinden over belangrijke updates en patches voor je computer.
- Installeer niet alleen patches van Microsoft, maar ook van andere programma’s, zoals Adobe en Quicktime.
- Klik niet zomaar ergens op als je zoekt in Google. Sommige resultaten zijn sites waarop malware wordt verspreid. Lees daarom altijd goed de zoekresultaten en klik niet zomaar op vreemde buitenlandse sites (Google poisoning). Gebruik je gezonde verstand!
- Maak de mensen in je organisatie bewust van de gevaren.
De presentatie van Erik de Jong (klikbaar)
Risico Analyse en Bedrijfs Continuity Management
Jacques Cazemier van Verdonk, Klooster & Associaties ging dieper in op Bedrijfs Continuity Management en Crisismanagement. “75% Van alle problemen komt uit de organisatie zelf”, aldus Jacques Cazemier. Aan goede techniek alleen heb je niets. Een sleutel en een slot zijn uitstekende middelen, maar als je niet weet hoe je het moet gebruiken is het nutteloos. Bij veel bedrijven ontbreekt het aan vaardigheden om informatie goed te beveiligen. Cazemier onderscheidt vier vormen van bewustzijn binnen organisaties:
- In slaap: de organisatie heeft geen idee van beveiliging en bescherming van informatie
- Wakker worden: de organisatie gaat vragen stellen over risico’s
- Opstaan: organisaties zoeken expertise om risico’s te verminderen en te controleren
- Klaarwakker: er is sprake van structurele informatiebeveiliging
Cazemier: “Het duurt maar liefst 2 jaar voordat een organisatie de fase van ‘klaarwakker’ heeft bereikt. Helaas zijn er nog maar enkele organisaties die dit niveau van bewustzijn écht hebben.”
Een goede risico analyse is volgens Cazemier een belangrijke start om potentiële gevaren onder controle te krijgen. Deze bestaat uit slechts drie stappen:
- Inventarisatie van processen en informatie
- Wat kan er mis gaan met deze processen en informatie?
- Welke maatregelen moeten worden genomen om risico’s te voorkomen of gevolgen te verminderen?
Jacques Cazemier adviseert om niet meer aan beveiliging te doen dan noodzakelijk is. Hij vergeleek dit met een vrijgezel die op de bovenste verdieping van een flat woont. Een glasverzekering voor deze persoon is economisch onverstandig. Zo is het ook met beveiliging. Een 100% garantie is volgens Cazemier bijna niet mogelijk, kost veel geld en kan bovendien tot veel weerstand leiden binnen de organisatie.
Een tikje onbevredigend voor de zaal was wel het uitblijven van een duidelijk antwoord van Cazemier op de vraag wat nu in de praktijk het maximum niveau van beveiliging is en vanaf welk moment maatregelen een ‘onnodige verzekering’ zijn. Blijkbaar is dat nog niet zo gemakkelijk aan te geven.
Cazemier adviseert risico’s die vaak kunnen voorkomen en veel schade kunnen veroorzaken zoveel mogelijk te vermijden. Voor gevaren die niet vaak voorkomen, maar toch schade kunnen vooroorzaken, adviseert Cazemier crisismanagement in te zetten. Een crisis bestaat uit drie fasen: chaos, noodoplossing en normaal. De ‘chaos’ fase is hierin cruciaal. Deze fase duurt gemiddeld 24 uur en hierin moet 90% van de strategische beslissingen worden genomen. Volgens Cazemier moet je ‘voordenken’ om juist te handelen in deze tijd. Een crisisplan is dus onmisbaar.
Jacques Cazemier gaf tenslotte een handige lijst met do’s en dont’s ten tijde van een crisis. Allereerst wat je niet moet doen:
- Problemen van je afschuiven
- Het oplossen van problemen uitbesteden
- Wachten
Wat je vooral wel moet doen:
- Bereid je goed voor op een mogelijke crisis (crisisplan)
- Communiceer over het probleem
- Betrek verschillende spelers: medewerkers, partners, gemeente, pers, politie etc.
- Bepaal verantwoordelijkheden, geef bevoegdheden en budget
De presentatie van Jacques Cazemier (klikbaar)
Conclusies
Het waren drie heldere verhalen en er kunnen m.i. een aantal overkoepelende conslusies uit worden getrokken:
- Elke organisatie beschikt over veel kenniskapitaal. Vaak meer dan ze denkt. Het is belangrijk om hier meer inzicht in te krijgen.
- Beveiliging en bescherming van informatie gebeurt nog onvoldoende. Vooral als we bedenken wat de waarde is van alle kennis bij elkaar binnen een organisatie.
- Het regelmatig installeren van updates en patches is van groot belang (www.waarschuwingsdienst.nl)
- Mensen spelen binnen een organisatie een cruciale rol als het gaat over het (per ongeluk) veroorzaken van gevaren.
- Er moet binnen organisaties meer aandacht worden besteed aan gevaren rondom cybercrime. Personeel moet zich bewust zijn van de risico’s, wat ze wel en niet kunnen doen en hoe ze moeten handelen.
Kortom: “Loop geen onnodig risico!’