Vinden

Cybersecurity - Redenen tot bezorgdheid en verhoogde waakzaamheid

Cybersecurity staat bovenaan de agenda van bedrijven en organisaties. En daar is een goede reden voor. Cybercriminelen zitten niet bepaald stil. We mogen ons dan ook blijven verwachten aan telkens weer nieuwe gevaren. Ondanks het verhoogde bewustzijn over de gevoeligheid van data, blijft waakzaamheid meer dan ooit geboden. (Dries Van Damme)

Bedrijven zien macro-economische ontwikkelingen zoals inflatie, volatiliteit van financiële markten en een dreigende recessie met lede ogen aan. Toch liggen ze vandaag het meest wakker van mogelijke cyberincidenten en bedrijfsonderbrekingen. Dat blijkt uit de jaarlijkse risicobarometer van verzekeringsmaatschappij Allianz. Grote ondernemingen weten intussen dat ze een doelwit vormen en beschikken over een adequate cyberbeveiliging om de meeste aanvallen af te weren. Maar kleine en middelgrote ondernemingen vormen ook steeds meer een doelwit van cybercriminaliteit. En die bedrijven onderschatten de gevaren nog te vaak, stelt Allianz.

Grote ondernemingen mogen hun huiswerk dan wel grotendeels op orde hebben, toch blijven er redenen tot bezorgdheid en verhoogde waakzaamheid. Cyberbeveiliging mag er dan wel met rasse schreden op vooruitgaan, cyberdreigingen doen dat ook. De digitale wereld groeit snel en cybercriminelen groeien mee. Ze blijven nieuwe methoden en technieken ontwikkelen om gevoelige informatie te stelen of te vernietigen.

Ransomware-as-a-Service

In zijn jaarlijkse rapport beschrijft het cybersecuritybedrijf Sophos hoe ook cybercriminaliteit almaar verder professionaliseert en commercialiseert. Dat maakt het voor cybercriminelen makkelijker om hun activiteiten uit te breiden via cybercrime-as-a-service. Cybercriminelen hoeven zelf niet langer specialisten te zijn op het vlak van IT en security. Online kunnen ze kant-en-klare aanvallen aankopen, soms zelfs ondersteuning van een helpdesk. Dat verlaagt de drempel voor wie zich aan cybercriminaliteit wil wagen.

Tekenen van die evolutie kunnen we vandaag al vaststellen bij aanvallen met ransomware. Het gaat om aanvallen met malware die de data van het slachtoffer versleutelen. De aanvallers geven de data pas vrij na betaling van een ‘ransom’ of losgeld. Ransomware is momenteel één van de grootste bedreigingen voor bedrijven. Bij slachtoffers veroorzaken aanvallen met ransomware naast grote financiële schade vaak ook een ingrijpende reputatieschade. Volgens Sophos zal het as-a-service-model zich verder uitbreiden naar nagenoeg elk aspect van de toolkit van cybercriminelen. Dat zal de toegang tot malware alleen maar makkelijker maken, niet alleen om netwerken te besmetten, maar bijvoorbeeld ook om de detectie van besmetting te voorkomen.

Het hoeft geen verdere uitleg dat die evolutie een ware gamechanger is in het cyberveiligheidslandschap. Ransomware is big business. LockBit 3.0, één van de grootste aanbieders van ransomware-as-a-service heeft zijn activiteiten intussen sterk gediversifieerd. De criminele organisatie creëert steeds weer nieuwe, innovatieve manieren om zijn slachtoffers af te persen. Andere criminele groepen bieden dan weer abonnementsformules aan die cybercriminelen toegang verschaffen tot bedrijfs- en persoonsgegevens, of ze bieden die data te koop aan.

Verhoogde dreiging

De geopolitieke gebeurtenissen van 2022 – met name de oorlog in Oe- kraïne – zette het gevaar van Advanced Persistent Threats (APT’s) extra in de verf. Met een APT richten cybercriminelen, in dit geval vaak gesponsord door een staat, regime of overheidsdienst, zich op specifieke organisaties of personen om gevoelige informatie te stelen. In die context kijken we vooral naar Rusland en zijn gesponsorde hackerscollectieven. Bij APT’s gaat het om zeer geavanceerde aanvallen die vaak maanden of zelfs jaren actief kunnen zijn voor ze op de radar verschijnen. Vooral kritieke organisaties en infrastructuur kijken tegen een verhoogde dreiging aan.

Dat brengt ons bij het onvermijdelijke punt van dataprivacy en de vraag wat bedrijven en organisaties doen met de gegevens die klanten of gebruikers online achterlaten. Waar slaan ze die data op, bijvoorbeeld, en wat gebeurt er verder mee? Het economische model van cybercriminelen heeft niet alleen de groei van ransomware-as-a-service bevorderd, maar in zijn slipstream ook de vraag naar diefstal van inloggegevens en persoonsgegevens. Daarmee krijgen cybercriminelen voet aan de grond in allerhande bedrijfsnetwerken. Heel vaak kunnen ze er zelfs multifactor-authenticatie (MFA) mee omzeilen. Securitybedrijf SANS Institute verwacht binnen afzienbare tijd een explosie van aanvallen die erop gericht zijn MFA-methodes te omzeilen, waaronder het gebruik van stalkerware. Het gaat daarbij om malware die toetsaanslagen en interacties op mobiele telefoons registreert, bijvoorbeeld op de toestellen van managers en bestuursleden van bedrijven.

Verder is het de verwachting dat er ook een toename zal plaatsvinden in het aantal ransomware-aanvallen op de databack-ups van bedrijven. Vreemd genoeg worden die vaak minder gecontroleerd of zijn ze beveiligd met systemen die niet helemaal waterdicht zijn. In een tijd waarin ransomware een groot risico vormt, neemt het belang van een goede back-up echter alleen maar toe. Wanneer cybercriminelen met ransomware de data van een bedrijf onbruikbaar maken, biedt een goede back-up vaak de enige uitweg. Al hebben de cybercriminelen dat natuurlijk ook door. Daarom vallen ze steeds vaker eerst de back-upsystemen aan. Voor bedrijven en organisaties is het dus zeer belangrijk om ook de back-ups beter te beschermen en erop toe te zien dat het mogelijk is vlot een back-up op te roepen – en zo de bedrijfscontinuïteit te garanderen – wanneer cybercriminelen erin slagen om bedrijfsdata te versleutelen met ransomware. 

Vijf jaar GDPR

De bescherming van data is niet alleen essentieel voor de werking van een organisatie, in het geval van persoonsgegevens is het ook een wettelijke verplichting. De Europese verordening voor gegevensbescherming – beter bekend als GDPR – bestaat intussen vijf jaar en zorgt voor een standaardisering van de regels voor de verwerking van persoonsgegevens door bedrijven, organisaties en overheidsinstanties in de Europese Unie.

Sophie Angenot, managing partner bij QuaData en expert op het vlak van databeheer en -bescherming, merkt op dat heel wat bedrijven en organisaties – groot en klein – een aantal van de basisprocessen die nodig zijn om GDPR uit te voeren nog altijd niet goed hebben geregeld. “Dat is makkelijk af te leiden uit de boetes die de Gegevensbeschermingsautoriteit uitschrijft”, zegt ze.

Cyberveiligheid en GDPR houden dan wel verband met elkaar, het zijn in wezen ook twee verschillende dingen. “Bedrijven die hun cybersecurity op orde hebben, slagen er makkelijker in om GDPR-compliant te zijn. Maar de omgekeerde redenering gaat niet op.” Vanuit een GDPR-standpunt bekeken is het cybersecurityvraagstuk wel helemaal anders voor grote bedrijven en organisaties die grote datavolumes én gedetailleerde data verzamelen, waaronder vaak ook gevoelige gegevens.

Voortdurend evalueren en bijsturen

De GDPR stuurt aan op de uitrol van de nodige basisprocessen rond databeheer, waaronder ook de te volgen procedure bij een datalek. Daarnaast omvat de GDPR ook een belangrijke poot rond de integriteit en vertrouwelijkheid van data. Die schrijft voor dat bedrijven en organisaties maatregelen moeten nemen om hun cyberbeveiliging te bevorderen, zoals de implementatie van encryptie, authenticatie en autorisatie. “Het technische aspect daarvan is relatief simpel”, zegt Sophie Angenot, “maar medewerkers moeten er natuurlijk wel mee om kunnen gaan. Dat ligt vaak moeilijker. Organisaties moeten een cultuur van privacy en veiligheid stimuleren, waarbij ze dag na dag evalueren en bijsturen. Daar zijn we nog niet.”


Dit artikel is verschenen in Top ICT, die beschikbaar is in pdf.

Terug
Partner Content
Partner Content
Infotheek
Tweede pensioenpijler in beeld

De tweede pensioenpijler in beeld
 

Werkloosheids- en promotieval naargelang de ondernemingsvorm

Werkloosheids- en promotieval en de verschillen in belastingdruk naargelang de ondernemingsvorm
 

Nieuw Algemeen Reglement op de Elektrische Installaties

Nieuw Algemeen Reglement op de Elektrische Installaties - Nota’s en thematische fiches van de Algemene Directie Energie