De dagelijkse strijd tussen cybercriminelen en het gezonde verstand van ondernemers In 2015 wonnen ze de Computable Award voor Nederlandse start-up van het jaar: RedSocks, specialist in het opsporen van malware. Al is het bedrijf met 46 man personeel bijna geen start-up meer te noemen. Sinds 2012 draaien ze volledig mee in de wereld van de digitale risico’s en kunnen u dus alles vertellen over de gevaren van het wereldwijde web. Denkt u: ‘mijn data is toch helemaal niet interessant voor cybercriminelen?’ Dan heeft u het mis: álle data is interessant voor cybercriminelen. Malware. Het klink vast wel bekend, maar wat is het eigenlijk? Malware is elke software die gebruikt wordt om computersystemen te verstoren, gevoelige informatie te verzamelen of toegang te krijgen tot computersystemen. Bijvoorbeeld een cybercrimineel die uw bestanden ‘gijzelt’ en deze pas na betaling weer teruggeeft, inbreekt in uw financiële administratie en zorgt dat alle betalingen voortaan naar zijn rekening gaan of uw telefooncentrale hackt en op uw kosten voor duizenden euro’s naar het buitenland belt. “Het eerste bedrijf dat geen schade oploopt als ze geraakt worden door ransomware moet nog opgericht worden” Voorbeelden te over, maar toch hebben veel ondernemers de digitale risico’s niet altijd bovenaan in hun risico-inventarisatie staan. “Voor veel ondernemers is dit ook een nieuwe wereld,” denkt Gert Jan Schol, Senior Accountmanager bij RedSocks. “We gaan er vanuit dat een crimineel fysiek is. Maar tegenwoordig zijn criminelen ook onzichtbaar, anoniem. moeten ondernemers mee om leren gaan.” Maar ik heb toch geen interessante data? Ook denken veel ondernemers dat zij geen interessante data hebben voor cybercriminelen. Die gedachte had ook de winkelketen Target, die alarmbellen voor een malware-aanval niet had herkend of had genegeerd. Digitale inbrekers stalen de creditcard- en NAW-gegevens van ruim 40 miljoen klanten. Hoe? Via de airo die was gekoppeld aan internet. Alleen aan directe kosten was Target in 2013 en 2014 al 160 miljoen dollar kwijt. Los daarvan nog de gevolgschade: zo’n 3% van het klantenbestand heeft besloten Target links te laten liggen. Daar De gedachte dat u geen interessante data heeft is dus onjuist: iedereen die werkt in een digitale omgeving heeft informatie die in potentie interessant kan zijn voor cybercriminelen. Niels Groeneveld, Threat Intelligence Analyst: “Bij malware interesseert het een cybercrimineel meestal niet wat voor bedrijf of data het is, als er maar betaald wordt. schade oploopt als ze geraakt worden door ransomware moet nog opgericht worden.” “Tegenwoordig zijn criminelen onzichtbaar, anoniem. Daar moeten ondernemers mee om leren gaan” Een cybercrimineel kan ook uw netwerk platleggen waardoor er niet meer gewerkt kan worden. Pas na betaling geeft hij dit netwerk weer vrij.” Reza Rafati, Malware Intelligence Analyst: “Er is een hele ‘marktplaats’ voor criminelen. Iemand is bijvoorbeeld op zoek naar data om een bedrijf te kunnen afpersen en kan dat online van een ander kopen. De ene crimineel ondersteunt de andere. Ga er vanuit dat uw data interessant is. Misschien is het niet op eerste gezicht geld waard, maar het kan wel vertaald worden naar geld.” Niels vult aan: “Het eerste bedrijf dat geen Gert Jan: “Primair denken veel bedrijven aan informatie, zoals klant- of betaalgegevens. Maar het is juist belangrijk te denken op het gebied van bedrijfscontinuïteit. U wilt dat uw website in de lucht blijft, dat al uw processen door kunnen lopen, dat uw boekhouding leesbaar is. Ieder bedrijf wil zelf de controle hebben en wil snel kunnen detecteren en vervolgens reageren als deze controle wordt verstoord.” Kosten cybercriminaliteit stijgen met 200% in vijf jaar tijd Cybercriminaliteit als bedrijf 700 600 500 400 300 200 100 0 Apple Cybercriminaliteit Exxon Mobil Microsoft Bron: Bloomberg, cybercrime cost van Allianz Cyber Risk Guide (2014) Berkshire Hathaway De kosten die bedrijven gemiddeld moeten maken voor schade door cybercriminaliteit stijgen snel. Iedere vijf jaar nemen de gemiddelde kosten met maar liefst 200% toe. De totale jaarlijkse schadepost door cybercriminaliteit wereldwijd bedraagt inmiddels 450 miljard dollar. Naar verwachting blijft de schade de komende jaren in hetzelfde tempo stijgen. Naast duidelijk meetbare kosten zoals het inhuren van externe security professionals en het investeren in beveiligingsoplossingen om herhaling van incidenten te voorkomen zijn er Ook moeilijk meetbaar is de schade die organisaties lijden indien een branchegenoot wordt getroffen. Als voorbeeld noemt Hamilton Place Strategies de malware-aanval op het Amerikaanse bedrijf Target, waarbij creditcardgegevens van miljoenen klanten werden gestolen. Ook bij de veiligheid van andere Amerikaanse retailbedrijven zouden klanten hierdoor vraagtekens plaatsen. Cybercriminaliteit als bedrijf Tot slot: wanneer Het is niet eenvoudig de kosten die bedrijven door cybercriminaliteit maken in kaart te brengen. Hoewel het moeilijk is, heeft Hamilton Place Strategies toch onderzoek kunnen doen. ook minder eenvoudig meetbare kostenposten. Denk hierbij aan reputatieschade die een bedrijf oploopt nadat het getroffen is door een cyberincident. cybercriminaliteit een Amerikaans bedrijf zou zijn, was dit het tweede grootste bedrijf van de Verenigde Staten! 4 Een datalek moet binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens. Er worden per seconde 18 mensen slachtoffer van cybercriminaliteit. Marktkapitalisatie in miljarden dollars
5 Online Touch Home