Development

Dit is een bijdrage van Verizon Nederland
Security
Verizon 2021 DBIR

Digitale infrastructuur is als lucht, water, weg en spoor en dus kwetsbaar

2021 DBIR laat serieuze toename phishing en gijzelsoftware zien.

29 juli 2021
Door: Verizon Nederland, partner

2021 DBIR laat serieuze toename phishing en gijzelsoftware zien.

In een tijd waarin we leren dat we afhankelijker worden van de digitale infrastructuur, wordt ook duidelijk dat we er (nog steeds) slordig mee omgaan. Volgens de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) is dat het algemeen cybersecuritybeeld dat komt bovendrijven.

Volgens de NCTV vormen digitale processen het zenuwstelsel van de maatschappij. Beter kun je het eigenlijk niet verwoorden. Maar hoe kan het dan dat we zo vaak - en steeds vaker - vernemen dat ergens grootschalige hacks hebben plaatsgevonden, gijzelsoftware is binnengekomen bij grote ondernemingen en fraude mogelijk is doordat criminelen zich voordoen als iemand anders? Gaan we dan zo slordig om met ons ‘zenuwstelsel’?

Serieuze toename phishing en gijzelsoftware
Uit het Verizon Business 2021 Data Breach Investigations Report (DBIR) blijkt dat het gaat om bijvoorbeeld een toename van 11 procent in phishing en 6 procent in gevallen van gijzelsoftware. De ‘identiteitsfraude’, waarbij criminelen zich voordoen als iemand anders, is zelfs met 15 procent toegenomen. Zorgwekkende aantallen. Vindt ook de NCTV: organisaties kunnen hun werk niet doen, persoonsgegevens komen op straat te liggen en voorzieningen kunnen uitvallen.

Waren we onlangs niet allemaal in de ban van een ‘internationaal gevalletje gijzelsoftware’ waarbij ook grote Nederlandse bedrijven slachtoffer werden? Supermarktketens konden daardoor niet open. Door een datalek bij een dienstverlener voor de automobielindustrie zag die de klantgegevens links en rechts weglekken. En een storing bij een ziekenhuis legde de hele administratieve organisatie plat. Geen afspraak meer te maken. Een wereldwijde storing bij een Amerikaans bedrijf maakte de websites van grote, internationale bedrijven onbereikbaar. Zo zie je dat geen enkele sector aan de risico’s van cybersecurity ontkomt.

Het begint bij de eindgebruiker
Genoeg incidenten om wakker van te liggen, zou je denken. Maar gebeurt dat ook in de praktijk? De gebruiker van de systemen misschien niet, ook al blijkt hij toch een belangrijke oorzaak van veel incidenten te zijn. Menselijke kwetsbaarheden worden vaak gebruikt – misbruikt zo u wilt – om te kunnen profiteren van onze toegenomen afhankelijkheid van digitale infrastructuren, concludeert Verizon in het DBIR. Uit een gedetailleerde analyse van twaalf sectoren blijkt dat beveiliging een steeds grotere uitdaging wordt. Of eigenlijk al is. In de financiële markt en de zorgsector vormen die menselijke kwetsbaarheden de grootste bedreiging, terwijl bij de overheid meer sprake is van ‘social engineering’ naar aanleiding van geloofwaardige phishing mails. Er bestaat blijkbaar nog altijd de neiging om door te klikken, zolang de boodschap in de e-mail maar betrouwbaar genoeg overkomt. Voor de detailhandel gaat het veelal om pretexting (iemand doet zich in een telefoongesprek of e-mail voor als een betrouwbare gesprekspartner/familielid/zakenrelatie) om zo inloggegevens te verkrijgen. Uit de DBIR blijkt dat 61 procent van de datalekken te maken had met inloggegevens. Zo’n 95 procent van de bedrijven die daarmee te maken kregen, onderging talloze malafide inlogpogingen, oplopend tot een aantal van 3,3 miljard.

Gevaren duidelijk maken
Kern van het probleem is dat de gebruikers van al onze systemen hun werk willen kunnen doen. Beveiliging maakt dat ‘lastig’, dus zoeken ze een omweggetje. Ook het gebruik van eigen apparaten (Bring Your Own Device) is absoluut een van de bijkomende oorzaken van datalekken en andere fraudepogingen. Op je eigen apparaat is het immers alweer heel wat waarschijnlijker dat een privépersoon je benadert met een verzoek om ergens naar te kijken of om door te klikken? De gebruiker is zich niet (goed genoeg) bewust van de gevaren die op de loer liggen. De werkdruk, het toenemende aantal uren thuiswerk, het gebruik van eigen apparaten en soms zelfs eigen filesharing applicaties leggen meer dan ooit de ‘zenuwen’ bloot. En we weten allemaal hoe gevoelig een blootliggende zenuw kan zijn. Maar die gebruiker merkt het niet zo zeer.

Het credo van Alex Pinto, hoofdauteur van de DBIR, is dan ook: het fundament van een goede beveiliging is gebaseerd op sterke grondbeginselen. Als organisatie moet je je allereerst richten op die beginselen die voor jouw organisatie van belang zijn. Hoogste tijd om uit te zoeken welke dat dan zijn voor jouw organisatie. Het Verizon Business 2021 Data Breach Investigations Report helpt je daarbij.

Reactie toevoegen