Cybercrime: actie in plaats van paniek

Gartner schat dat er ongeveer 25,1 miljard van dit soort apparaten zijn wereldwijd en dus lopen veel apparaten gevaar. Hoe kun je ondanks het gebruik van deze verouderde systemen en IoT-apparaten jezelf toch wapenen tegen Russische staatshackers?

De Amerikaanse en Britse inlichtingendiensten waarschuwden afgelopen maandag dat Russische staatshackers proberen in te breken op de digitale infrastructuur. De hackers vallen routers en firewalls aan om die te besmetten met malware en toegang te krijgen tot gevoelige bedrijfsinformatie. Ook het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid neemt de waarschuwing serieus en adviseert Nederlandse overheidsorganisaties op te letten. Dat dergelijke organen met een waarschuwing komen, is een teken dat we serieus moeten nemen.

Hoewel de waarschuwing vooral gericht is op netwerkapparatuur, geldt het eigenlijk voor alle apparaten die verbonden zijn met het internet en dan met name de IoT-apparaten. Het is daarom ook niet nodig om in blinde paniek te raken, maar CIO’s en bedrijfsleiders moeten wel actie ondernemen om ervoor te zorgen dat zij goed inzichtelijk maken welke apparaten risico lopen, om ervoor te zorgen dat gevoelige bedrijfsinformatie niet toegankelijk is voor deze hackers. IoT-apparaten worden gemaakt en gebruikt voor diensten die vragen om een eenvoudige installatie, bediening en onderhoud. IT-teams zien deze apparaten dan ook maar al te vaak over het hoofd als ze zoeken naar indringers.

Altijd de makkelijkste weg

Natuurlijk is het belangrijk dat er een waarschuwing uitgaat dat het aantal cyberaanvallen toeneemt, maar de dreiging zelf en de toegepaste technieken zijn niet nieuw. Cybercriminelen maken al langere tijd gebruik van kwetsbare IoT-apparaten en besmette systemen via over-the-air (OTA)-updates om malware te installeren, botnets zoals Mirai te bouwen, grootschalige DDoS-aanvallen uit te voeren of om simpelweg iets te kunnen monitoren of afluisteren. Om in te breken, gaan hackers op zoek naar apparatuur die het minst goed beveiligd zijn en in het huidige IT-landschap zijn er voldoende opties.

Veel oudere systemen bijvoorbeeld, zoals kantoorapparatuur en printers, zijn niet voldoende versleuteld. In sommige gevallen werken bedrijven met apparaten die het einde van hun levensduur hebben bereikt en niet langer worden ondersteund door beveiligingsupdates. Het is alleen niet zo eenvoudig voor bedrijven om deze apparatuur in te ruilen voor nieuwe spullen. De kosten om de apparatuur te vervangen en de noodzaak om bedrijfsprocessen tijdelijk stil te leggen alleen al zijn vaak problematisch.

Daarnaast beschikt het personeel niet altijd over de vaardigheden om nieuwe systemen te implementeren en gebruiken en zijn deze systemen niet compatibel met andere soft- en hardware. Wanneer CIO’s de afweging maken nieuwe apparatuur te implementeren of door te gaan met de technologie en tools die bekend zijn, valt de keuze vaak op het laatste. Dat brengt grote beveiligingsrisico’s met zich mee.

Hack jezelf

Het handhaven van een robuust cyberbeveiligingsprogramma is de beste manier om cyberrisico’s te beperken. Om de beveiliging te versterken is mijn advies aan CIO’s om jezelf te gaan hacken. Door ethische hackers binnen te halen en vrij te laten kwetsbaarheden te ontdekken om vervolgens een cyberaanval te simuleren, komen veel zwakke punten in de beveiliging aan het licht die bij routinecontroles worden gemist. Ethische hackers gebruiken dezelfde tools, technieken en methodes die criminelen gebruiken en doordat ze dezelfde aanpak hanteren, kunnen ethische hackers de beste feedback geven over de kwetsbaarheden van een netwerk of systeem.

Beveiligingsexperts en IT’ers moeten samenwerken met bedrijfsleiders om de risico’s en behoeften binnen het cyberbeveiligingsprogramma te beoordelen en problemen bij de bron aan te pakken. Dit kunnen procesverbeteringen zijn, of beveiligingscontroles die worden toegepast op de toeleveringsketen van een organisatie om te voorkomen dat zwakke of kwetsbare systemen worden geïmplementeerd.

Plannen of paniek

Deze onschatbare inzichten in waar het risico zich binnen jouw organisatie bevindt, biedt bedrijven een stappenplan om een cybersecurity-plan te ontwikkelen dat effectief en passend is voor alle technologieën en processen binnen een organisatie. De bedrijven die uitgebreide incidentbestrijdingsplannen ontwikkelen en onderhouden, zijn het best in staat om in het geval van een cyberaanval op te treden, terwijl bedrijven die dit niet hebben niets anders kunnen dan in paniek