Innovatie & Strategie

Dit is een bijdrage van Veeam
Security
Cybercrime

Maak van cybercriminaliteit een ‘echt’ misdrijf

Verhoog het risico voor cybercriminelen

13 januari 2022
Door: Veeam, partner

Verhoog het risico voor cybercriminelen

Het grote publiek is zich in de afgelopen jaren veel meer bewust geworden van het feit dat er op grote schaal cyberaanvallen plaatsvinden. Toch bestaat, zeker buiten de IT-industrie, nog steeds de perceptie dat een cyberaanval eigenlijk gewoon iets is dat ‘op het internet plaatsvindt’. Het is moeilijk om de impact van cybercriminaliteit op de slachtoffers te relateren en met elkaar te vergelijken - of het nu gaat om iemand die slachtoffer is geworden van een online zwendel of een bedrijf dat is gedwongen om losgeld te betalen om zijn systemen te herstellen. Mede hierdoor lijkt het er niet altijd op dat cybercriminaliteit wordt gezien of behandeld als een ‘echt’ misdrijf.

Hoewel inmiddels algemeen erkend wordt dat cybercriminaliteit een echte misdaad is, vinden sommigen het vaak nog moeilijk om daar echt een beeld bij te krijgen. Het voelt bijvoorbeeld een beetje vergezocht om totaal verontwaardigd te zijn wanneer een hacker een multinational aanvalt. Dit komt waarschijnlijk onder andere door de stereotypen die de ronde gaan waarin cybercriminelen worden afgeschilderd als ontevreden whizzkids die niets beters te doen hebben. Bedenk dan dat de meeste cyberaanvallen het werk zijn van grote, georganiseerde en rijke misdaadsyndicaten. Het zijn zeer geavanceerde operaties met als doel geld te stelen van het bedrijf dat jouw salaris betaalt en de overheid die jouw belastingen verwerkt. Klinkt dat als een misdaad?

Maken we ons schuldig aan victim blaming?
Feit is dat cybercriminaliteit een echte misdaad is en dat bedrijven die er mee te maken krijgen dus ook echt slachtoffer zijn. Ze lijden onder een misdaad die tegen hen is gepleegd. Het voelen van sympathie voor organisaties die worden gehackt is echter heel anders dan wanneer het gaat om een individu. Als mensen je vertellen dat ze zijn gehackt, persoonlijke informatie en geld is gestolen, is je natuurlijke reactie waarschijnlijk niet om direct te zeggen dat het hun eigen schuld is. Cyberinbraken zijn echter een bron van blijvende reputatieschade voor bedrijven. We hebben de neiging om aan te nemen dat ze iets verkeerd hebben gedaan of onzorgvuldig hebben gehandeld. Ik werk al meer dan 32 jaar in de wereld van gegevensbescherming en ook ik ben geneigd het daar wel mee eens te zijn. De overgrote meerderheid van cyberincidenten is te voorkomen. Als het wel gebeurt, is dat vaak het resultaat van het niet volgen van best practices en het hebben van slechte digitale hygiëne en/of verouderde of niet-gepatchte software.

Zijn er meer vormen van misdaad waarbij we ons bijna uitsluitend richten op het beschuldigen van het slachtoffer en waarbij de criminelen zo weinig worden berecht? Bedrijven worden nog te vaak gezien als de schuldige in plaats van als slachtoffers en we lijken te hebben geaccepteerd dat criminelen moeilijk kunnen worden gestraft vanwege het ontbreken van een wereldwijd wettelijk kader en rechtssysteem. Als een crimineel uit een ander land bijvoorbeeld naar de VS reist en een misdaad begaat tegen een bedrijf op Amerikaanse bodem, dan is er een hele diplomatieke procedure om ervoor te zorgen dat deze persoon voor het gerecht wordt gebracht en het slachtoffer schadeloos wordt gesteld. Dit is zeker niet het geval als het gaat om ransomware.

Internationale en intercontinentale samenwerking is de enige manier om een ​​omgeving te creëren waar de risico's groter zijn dan de beloningen voor cybercriminelen. De plaag van ransomware is versneld tijdens de pandemie, waardoor de drang van regerings- en bedrijfsleiders om deze geopolitieke impasse te doorbreken, is toegenomen. Maar dat is geen eenvoudig traject en het ingebruiknemen van een werkbare, holistische oplossing duurt zeker nog jaren.

Leer zelf verdedigen
Bij gebrek aan een rechtssysteem dat ons volledig beschermt tegen de slechteriken, vereist het menselijke overlevingsinstinct dat we leren onszelf te verdedigen. In de context van cybersecurity betekent dat focussen op een paar basisprincipes. Ten eerste heeft elke onderneming een toegewijde IT security manager nodig met toegang tot de dagelijkse leiding van de organisatie en met de autoriteit om initiatieven op het gebied van security te kunnen en mogen uitvoeren. Kleinere bedrijven moeten een andere bron zoeken met kennis op het gebied van cyberbeveiliging en gegevensbescherming. Ten tweede moeten bedrijven onberispelijke digitale hygiëne toepassen. Dit omvat onder andere verplichte training voor alle medewerkers, zodat ze potentiële aanvallen kunnen herkennen, begrijpen aan wie ze deze moeten melden en begrijpen waarom dit belangrijk is. Hoe meer mensen de noodzaak van goede digitale hygiëne inzien, hoe veiliger het bedrijf wordt.

Tot slot: Betaal nooit losgeld. Organisaties die losgeld betalen, voeden de perceptie van 'easy pay day', wat betekent dat cybercriminelen het kunstje blijven herhalen. Zodra we stoppen met het betalen van losgeld, zullen we de populariteit van ransomware als afpersingstechniek zien afnemen. Hoewel bedrijven die te maken hebben met cyberaanvallen, wel echt slachtoffer zijn, zijn ze tegelijk ook zelf verantwoordelijk voor het beschermen van alle gegevens die ze gebruiken, verwerken en opslaan. Cybercriminelen afbetalen om systemen weer online te krijgen, is een onhoudbare verdedigingsstrategie. Naarmate regeringen actiever worden in het voorkomen van de verspreiding van ransomware, zullen we zien dat bedrijven die dit toch doen, worden onderzocht en berispt door onafhankelijke regelgevers.

Het aanpakken van het enorm gegroeide aantal cybercriminele activiteiten tegen bedrijven en individuen moet dus een internationale inspanning zijn in zowel de publieke als de private sector. Hoewel het belangrijk is dat cybercriminaliteit op de juiste manier wordt 'gecriminaliseerd' en dat de daders voor de rechter worden gebracht, moeten bedrijven de verantwoordelijkheid begrijpen die ze hebben jegens hun klanten en werknemers om alle gegevens binnen hun rechtsgebied te beschermen. Dit kan alleen worden gedaan door het implementeren van een moderne strategie voor gegevensbescherming die effectieve frontlinie cyberbeveiliging combineert met een alomvattende benadering van gegevensback-up en noodherstel.

Door Dave Russell, VP, Enterprise Strategy, Veeam

Reactie toevoegen