Development

Dit is een bijdrage van Verizon Nederland
Security
Verizon DBIR 2020 - Finance

Sleutel van sluitende cybersecurity ligt bij medewerker zelf

Intern bewustwordingsprogramma zou niet misstaan bij banken en verzekeraars.

25 augustus 2020
Door: Verizon Nederland, partner

Intern bewustwordingsprogramma zou niet misstaan bij banken en verzekeraars.

Cyberincidenten kunnen onze maatschappij in het hart raken en gedurende korte of langere tijd verlammen. Dit is de strekking van het Cybersecuritybeeld Nederland 2020 van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), dat in samenwerking met het Nationaal Cyber Security Centrum (NCSC) is opgesteld. De financiële sector is van oudsher het favoriete speelveld van cybercriminelen. Er valt blijkbaar veel te halen. Het Data Breach Investigations Report 2020 van Verizon heeft datalekken en security-incidenten nader onderzocht en komt tot de conclusie dat de sleutel ligt bij interne medewerkers. Zij moeten veel minder fouten maken.

De financiële sector wordt door de NCTV als een vitale sector aangeduid. Er wordt in het jaarlijkse rapport gewezen op het feit dat cyberincidenten financiële informatie vernietigen, versleutelen of kunnen veranderen. “Dat kan de stabiliteit van het financiële systeem bedreigen, met potentieel ernstige consequenties voor de economie. In dat scenario kan een cyberincident ertoe leiden dat een operationele verstoring uitmondt in een crisis met een grote impact op de maatschappij. Een dergelijke crisis treedt echter niet zomaar op, maar is het gevolg van een combinatie van specifieke factoren én het verlies van vertrouwen in het systeem.” Aldus de NCTV. Datalekken en cybersecurity-incidenten hebben dus in de eerste plaats grote gevolgen voor de bedrijven, die financieel getroffen worden. In de tweede plaats zou dit heel goed door kunnen werken in de samenleving, waardoor het financiële stelsel onder druk komt te staan. Dat dient uiteraard in alle gevallen voorkomen te worden.

Frustrerend
Nu hebben de financiële en verzekeringssector altijd al een grote aantrekkingskracht gehad op georganiseerde cyberaanvallers. Het betreft immers het stelen van data die per definitie geld waard is. Het goede nieuws is dat het skimmen van betaalkaarten veel minder vaak voorkomt. Afspraken tussen creditcard maatschappijen en banken hebben ervoor gezorgd dat apparatuur beter beveiligd is en de consument beter beschermd. En zo steekt de sector voortdurend tijd en energie in de digitale weerbaarheid en het voorkomen van cyberaanvallen. Des te frustrerender moet het zijn om te ontdekken dat grofweg een derde van alle datalekken die het DBIR 2020 onderzocht in de sector finance & insurance (n=448) veroorzaakt wordt door interne fouten. Dit aandeel is ongeveer even groot als het aanvallen van web applicaties.

Verkeerd verzonden
Wat verstaan we dan onder fouten van eigen medewerkers? Pas als we weten wat mensen fout doen, kun je er tegen optreden. Daar geeft het DBIR 2020 ook inzicht in. In bijna de helft van de gevallen gaat het om de fout ‘verkeerd verzenden’. Dit is eigenlijk exact hoe het klinkt: informatie naar de verkeerde persoon sturen. Dit kan met elektronische gegevens zijn, zoals een e-mail die naar de verkeerde ontvanger is gestuurd door automatisch aanvullen in het veld "Aan:". Of het kunnen papieren documenten zijn, zoals een massamail die niet correct wordt geadresseerd. Beide kunnen een grote inbreuk opleveren, afhankelijk van welk bestand(en) het betreft als bijlage bij de e-mail, of hoe groot de massamailing was.

Foutenfestival
De op één na meest voorkomende fout (25 procent) is verkeerde configuratie. Dit gebeurt wanneer iemand (vaak een systeembeheerder) een public cloud service niet goed beveiligt of de instellingen van de firewall verkeerd configureert. Zowel verkeerde levering als verkeerde configuratie kunnen we herleiden tot onzorgvuldigheid van de kant van de eindgebruiker. Het lijkt wel of niemand tijd heeft voor goede beveiligingspraktijken, maar daarmee span je toch echt het paard achter de wagen. Overige fouten die het lijstje completeren zijn fouten als het gaat om verwijderen en vernietigen van informatie en om het foutief publiceren van content. Hoe vaak zien we niet dat een bepaalde aankondiging of document, we herinneren ons de Miljoenennota bij Prinsjesdag, te vroeg online komt. Of een document dat voor intern gebruik is, dat op het publieke net terecht komt in plaats van een intranet. Hoe dan ook, een intern cybersecurity bewustwordingsprogramma zou niet misstaan bij banken en verzekeraars.

Reactie toevoegen