Gepubliceerd op 7 juni 2017

Cyberrisico`s: De dief is eerder binnen dan u denkt

CYBERCRIMEEind 2013 bezocht ik een Madspace hackers ontmoetingsplaats . Op bezoek  in een  letterlijk duistere kelder… Het was fascinerend om te zien hoe deze ethische (white hat) hackers met hun kennis, kunde en vernuftige middelen binnen luttele seconden kunnen inbreken in beveiligde computersystemen.

Ik vond het fantastisch, maar kreeg ook een  angstig besef dat er zeer goed georganiseerde criminele organisaties zijn gevestigd in landen als Rusland, China, Pakistan, India, Brazilie, Nigeria en vele nieuwe opkomende economieën die zeer kapitaalkrachtig de best geoutilleerde bendes hackers financieren om wereldwijd virtuele inbraken te plegen.  Mijn enthousiasme groeide en  is uiteindelijk uitgegroeid tot het starten van een onderneming: een niche speler op het gebied van voorlichting en verzekering van de financiële risico’s van digitale inbraken, cyberincidenten bij organisaties.  In september 2014 heb ik hier een publicatie over geschreven “Is uw onderneming cybersafe”? .

Ik opereer in een spannende wereld die bestaat uit een wedloop tussen good guys en bad guys: ondernemers die hun kroonjuwelen (data) beschermen en cybercriminelen die op zoek zijn naar een nieuwe bron van geld. In mijn loopbaan heb ik zo’n 25 jaar ervaring in het adviseren van ondernemers op het gebied van risicobeheersing. De keuze van het adviseren op het gebied van risico’s van de virtuele inbraak heeft hier voor mij een enorm boeiend perspectief aan gegeven.

Data zijn de huidige kroonjuwelen van ondernemingen. De diefstal hiervan is relatief veel eenvoudiger dan de fysieke diefstal van overige assets. De crimineel opereert op afstand, veelal grensoverschrijdend – de pakkans is klein en de investering in middelen minimaal. Zonder bivakmuts veilig achter een computerscherm voeren criminelen steeds grotere professionele operaties uit om slim en onopvallend computersystemen binnen te dringen. Vergis u niet: visualiseer nu niet een 17-jarige hacker op een zolderkamer, denk aan een kantoor vol hackers met kwade bedoeling. Criminelen gebruiken malware (malicious software) en verstoppen zich hiermee binnen de systemen van organisaties.

Op het moment dat zij de tijd rijp achten, stelen ze grote hoeveelheden data. Uit onderzoeken blijkt dat 50 tot 70% van de ondernemingen reeds besmet is met dit soort malware. De gemiddelde periode dat deze malware op de systemen aanwezig is voor dat het ontdekt wordt is 204 dagen. De dief is dus binnen zonder opgemerkt te worden en kan ruim een half jaar waardevolle data naar buiten smokkelen.

Het nieuwe bedrijf Cyco opereert op het snijvlak van ICT, juridische en imago vraagstukken. Het is mijn missie om ondernemers (verantwoordelijken, beslissers)  te overtuigen dat bij een cyberincident, een datalek van (privacy) gevoelige gegevens, deze verschillende disciplines alle drie even belangrijk zijn. Ondernemers zijn geneigd het risico van een cyberincident vooral via de technische kant te benaderen. Cyco adviseert de ondernemer om het cyberrisico te benaderen als een strategisch vraagstuk:  hoe kunnen we dit risico beheersbaar maken voor de onderneming? Wat staat ons te doen bij gerichte hackersaanval? Wat zijn de (nieuwe) wettelijke regels op het gebied van diefstal van privacy gevoelige gegevens? Hoe groot is mijn reputatieschade na een publicatie in de krant over een hack van mijn onderneming? Hebben mijn stakeholders nog het vertrouwen dat hun gegevens veilig zijn bij mijn onderneming?

Risico’s van cybercriminaliteit worden nog zwaar onderschat. Bijna dagelijks publiceren media over cybercriminaliteit. We lezen artikelen over ondernemingen die worden geconfronteerd met zeer vervelende grote hacking incidenten met soms onvoorstelbare  gevolgen.  De financiële risico’s van cybercriminaliteit blijken enorm groot. Toch overheerst bij de meeste ondernemers nog een gevoel van immuniteit.  “Dat overkomt ons niet”  – wij zijn immers niet interessant genoeg voor een cyberaanval” . Bestuurders en directieleden van organisaties wanen zich veilig en zijn bovendien vaak van mening dat de ICT beveiliging afdoende is.

We investeren immers veel geld in firewalls, intrusion detection en access-managment. Maar de professionele hacker met een gestolen inlognaam en wachtwoord wordt niet herkend door de firewall.  Het  blijkt een vals veiligheidsgevoel. Elke onderneming, groot of klein, bekend of onbekend, is een potentieel doelwit voor cybercrime. Vergelijk het met de niet virtuele inbreker. Bij een relatief slechte beveiliging loert het gevaar van de gelegenheidsdief; bij een goede beveiliging weet de dief dat er wat te halen is en loont een betere voorbereiding.

Cybercrime criminelen zijn vaak zeer goed georganiseerd en kapitaalkrachtig. Er bestaat een zwarte markt waar criminelen hun gestolen data  aanbieden.  Ik zie  prijzen verschillen door vraag en aanbod. Een Europese creditcard is meer waard dan een Amerikaanse. De creditcard is meer waard als deze verrijkt is met andere persoonsgegevens zoals een bsn nummer, adres of geboortedatum.  Ieder individu zal het als plezierig ervaren dat zijn elektronisch patiëntendossier niet zo maar op straat kan komen te liggen.  Beveiliging speelt dan ook een belangrijke rol. Maar het is ook een wedloop met criminelen: het EPD is momenteel goed voor € 35,- op de zwarte markt.

Een extra dimensie voor de bewustwording van ondernemers is de komst van nieuwe wettelijke regels. Op 10 juli van dit jaar heeft de tweede Kamer unaniem de aanpassing van de huidige WbP (Wet bescherming persoonsgegevens) aangenomen. Een onderdeel van deze aanpassing is de  nieuwe Meldplicht Datalekken. Organisaties (bedrijven en overheden) moeten op straffe van sancties en boetes onverwijld melding doen van datalekken van privacy gevoelige gegevens. Het College bescherming Persoonsgegevens (CBP) wordt een Autoriteit Persoonsgegevens en krijgt net als bijvoorbeeld de Autoriteit Financiële Markten (AFM) een  zelfstandige bevoegdheid tot het opleggen van sancties en boetes. Deze boetes kunnen oplopen tot een maximum van € 810.000 of 10% van de omzet. Compliance wordt een zeer belangrijk hoofdstuk.

De eerst logische reactie van de organisatie om het datalek intern te houden is dan dus niet meer mogelijk. Onverwijld, er wordt een termijn genoemd van 24 uur, moet de organisatie gekwantificeerd en gekwalificeerd, de Autoriteit en de betrokkenen informeren over welke data gelekt zijn en wat de organisatie hier voor maatregelen treft. Het is dus zaak dat de ondernemer, de verantwoordelijke, in kaart brengt hoe binnen de organisatie privacy gevoelige data kunnen lekken en via welke externe bewerkers (ICT bedrijven / hosting / cloud / leveranciers) data kunnen lekken. De ondernemer zal een nieuwe afspraken voor het signaleren en informeren van datalekken moeten afspreken en hiervoor bestaande contracten / service level agreements moeten open breken. Naast kosten van ICT zal de ondernemer vooral rekening moeten gaan houden met grote bedragen verweerkosten (juridische / advocaatkosten), kosten van crisismanagement en kosten voor beperken van imago schade.

Iedere dag word ik weer enthousiaster en groeit mijn passie voor deze nieuwe virtuele wereld en veiligheid. Ik vind het een uitdaging om met ondernemers van gedachten te wisselen over de financiële risico’s van cybercriminaliteit. Die uitdaging wordt groter omdat ik ervaar dat veel ondernemers nog geen volledig beeld hebben van de werkwijze van de nieuwe onderwereld en de financiële risico’s voor hun organisatie op gebied van business interruption en claims door verandering in wetgeving.

Samen met Ondernemersbelang organiseert Cyco Cybercrime Cover 11 mei aanstaande een masterclass voor ondernemers.
Meer informatie of wilt u deelnemen?  schrijf u hier in

Robert van der Vossen (Expert Cyberrisicomanagement)