Veel bedrijven hebben te weinig oog voor het “veelkoppige monster” dat internetcriminaliteit heet. Dat stelt Erik de Jong, Chief Research Officer bij beveiligingsbedrijf Fox-IT. Hij gaf een aantal tips en voorbeelden op een informatiemiddag voor verzekeraars.
Het Verbond van Verzekeraars hield een themamiddag over schadeverzekeringen. Onderdeel daarvan was een sessie over databeveiliging, waar aandacht werd besteed aan de gevaren van cybercriminaliteit en het belang van deugdelijke cybersecurity. De Jong illustreerde dat databeveiliging voor bedrijven geen ver-van-mijn-bedshow is. Zowel de bakker op de hoek als zwaar beveiligde multinationals lopen risico op hacking. Internetcriminaliteit is geprofessionaliseerd en kost bedrijven veel geld, aldus De Jong. Ten onrechte wordt vaak alleen gedacht aan het lekken van persoonsgegevens of bedrijfsgevoelige informatie. “Onlangs werd het gehele transportsysteem van een internationaal vervoersbedrijf lamgelegd. Containers hingen letterlijk van het ene moment op het andere in de lucht. Het is een veelkoppig monster dat overal kan opduiken. Laatst kregen we een melding van een virus in een laadpaal voor elektrische auto’s. Hilarisch!”
Cyberoefening
Volgens De Jong hebben bedrijven hun beveiliging zelden op orde. “Je kan wel een hoog hek bouwen, maar iedereen kan daar uiteindelijk overheen klimmen.” Een probleem is dat bij het stelen van data een kopie wordt gemaakt. Vaak wordt de diefstal pas maanden later ontdekt. De Jong adviseert bedrijven ook organisatorische preventie toe te passen. “”Dat is vaak heel simpel, bijvoorbeeld mensen die uit dienst gaan niet meer de mogelijkheid geven om in te loggen. En een jaarlijkse cyberoefening kan een organisatie goed voorbereiden op een aanval. Net als een brandoefening.” Ook de nieuwe privacywet AVG speelt een rol: de Autoriteit Persoonsgegevens moet bij een inbraak binnen 72 uur worden ingelicht. “Dan kun je vragen krijgen die lijken op een forensisch onderzoek. Heb je je zaken niet goed op orde, dan kun je trammelant verwachten.”
Fraude met facturen
De Jong wees nog op een ‘oude truc’: inbreken in de e-mailserver en een factuur onderscheppen. Een bedrijf raakte zo twee ton kwijt doordat het rekeningnummer op de factuur werd gewijzigd. Ook komt het voor dat er valse e-mails vanuit de directie worden gestuurd, waarin de administratieafdeling wordt gevraagd een directe overboeking te doen. De meest heftige vorm van hacking maakte De Jong mee toen bij een bedrijf de complete ICT-afdeling plotseling was verdwenen. “Het bleek een complot en alles was vergrendeld. Dan moet je het gehackte systeem eerst hacken om toegang te krijgen.”
Geef een reactie