Beveilig de kroonjuwelen van jouw bedrijf

Matthijs Melissen werkt als security specialist en security training coach bij communitylid Computest. Meer dan zes jaar is Matthijs actief in het vakgebied cybersecurity en hij deelt hier zijn brede expertise met ons. Computest is lid van de Dutch Innovation Community.

Cybersecurity is een heel breed vakgebied. “Maar waar het vooral om gaat is dat jij beschermt wat belangrijk is voor jou als bedrijf of als persoon.” Binnen Computest noemen ze dat de kroonjuwelen van het bedrijf. De eerste twee vragen aan klanten die hulp inschakelen zijn: ‘Wat wil je beveiligen?’ en ‘Waar wil je jouw bedrijf/jezelf tegen beveiligen?’ “Als je het over individuele personen hebt dan gaat het vaak over het beveiligen van jouw persoonlijke e-mail of bankgegevens.”

Beveiliging bedrijven
Het beveiligen van een bedrijf is een stuk complexer, bijvoorbeeld door het beveiligen van persoonsgegevens van derden. Computest hanteert drie hoofdzaken rondom het beveiligen van data bij bedrijven: gegevens beschermen tegen ongeautoriseerde toegang (vertrouwelijkheid), gegevens beschermen tegen externe personen (integriteit) en gegevens die altijd beschikbaar moeten zijn op het moment dat je de gegevens nodig hebt (beschikbaarheid).

Voorkomen
Er is een heel uiteenlopend pakket van maatregelen nodig voor het voorkomen van cyberaanvallen en zelfs dán zijn aanvallen niet te voorkomen. “Bedrijven kunnen maatregelen nemen op het gebied van personen. Door werknemers te trainen en opleiden. Zorgen dat zij bekend zijn met de actuele, digitale kwetsbaarheden. Daarnaast kun je op procesniveau nadenken over beveiliging. Zorgen dat er iemand binnen het bedrijf verantwoordelijk is wanneer kwetsbaarheden aan het licht komen. De laatste maatregel: de techniek. Op technisch niveau zorgen dat data beveiligd is.” Alle drie de aspecten: mens, techniek en proces zijn belangrijk voor het beveiligen van een bedrijf.

Getroffen
Wanneer een bedrijf getroffen wordt door cyberaanvallen willen zij zo snel mogelijk weer back-to-business. “Daar helpt Computest bedrijven natuurlijk mee.” Het is belangrijk dat de getroffen onderneming zo snel mogelijk in contact komt met een gespecialiseerde partij. Ga als bedrijf niet zelf op zoek naar wat er mogelijk mis is gegaan door bijvoorbeeld willekeurig bestanden te openen. “Het risico dat een bedrijf hiermee neemt is het overschrijven van bewijs dat later gebruikt kan worden om te achterhalen hoe de aanvallers precies zijn binnengekomen.”

Ransomwareaanvallen komen tegenwoordig het vaakst voor. Dat zijn aanvallen waarbij je netwerk of computer besmet raakt en alle bestanden versleuteld worden. Het slachtoffer moet een geldsom betalen voor toegang tot zijn eigen bestanden.

Gehackt?
De meeste bedrijven komen er direct achter wanneer zij getroffen zijn door een cyberaanval. Bij het opstarten van de computer komt meteen een melding in beeld dat betaald moet worden om in te kunnen loggen. “Maar het komt ook voordat het bedrijf er pas jaren later toevallig achter komt, omdat iemand de interne bestanden probeert te verkopen via het internet.

Idealiter hoop je dat een bedrijf back-ups heeft, maar in de praktijk is dat lastig. Vaak zijn er geen back-ups of de cyberaanvallers hebben ook toegang tot de back-ups. “Het bedrijf heeft vaak twee keuzes: vanaf het begin opbouwen of de geldsom betalen. Het is geen optie om de cyberaanval ongedaan te maken. Deze keuze is aan de getroffen onderneming.” Wanneer een bedrijf kiest voor opnieuw opbouwen moeten zij zich ervan bewust zijn dat daar een lange tijd overheen gaat. “Een klant van ons is twee jaar geleden aangevallen en tot op de dag van vandaag zijn zij nog steeds bezig met het opbouwen van hun online services.” Maar aan de andere kant: vind je het ethisch en moreel goed om cybercriminelen te betalen?

Gevolgen
Cyberaanvallen hebben grote gevolgen. “Reputatieschade is daarmee de meest voor de hand liggende. Als alle gegevens op straat liggen of als er een headline in de media verschijnt, is dat niet goed voor het vertrouwen in een bedrijf.” Daarnaast deelt de Autoriteit Persoonsgegevens boetes uit. Als de beveiliging rondom persoonsgegevens niet op orde is, waardoor gegevens uitlekken, dan is de kans groot dat het bedrijf een boete krijgt opgelegd.

Toekomst
“Wat je vooral ziet, is dat de wereld van de cyberaanvallers aan het professionaliseren is. Vroeger zaten hackers op hun zolderkamertje gegevens te jatten voor de grap. Tegenwoordig zijn het serieuze criminelen die door middel van een doordacht businessmodel cyberaanvallen uitvoeren.”

In het Dutch Innovation Park werken ondernemers, onderwijs en onderzoek (samen) aan allerlei vraagstukken, waaronder op het gebied van cybersecurity. Tijdens Cyberweek (25 november tot en met 3 december 2021) besteden daarom we extra aandacht aan dit thema.