Wat is er over uw organisatie bekend op het (dark)web? Geert Rademakers en David Ruijs maken duidelijk dat het menens is met de dreiging van cybercriminelen. “Speel hen niet in de kaart!”

Het is zaak om zoveel mogelijk drempels op te werpen. Zodat, net als bij inbrekers thuis, ze een deur verder gaan. Directeur Geert Rademakers en David Ruijs, cybersecurity consultant bij ACA IT Solutions, dochteronderneming van accountancy & adviesorganisatie Crowe Foederer, kunnen er niet genoeg nadruk op leggen. Rademakers: “Het overkomt mij niet’ was iets dat je vijf tot tien jaar geleden nog kon zeggen in het mkb, maar nu niet meer. Toen waren er nog genoeg grote bedrijven waar cybercriminelen hun slag konden slaan. Maar zij hebben de poorten dichtgedaan. Als mkb zaten we onder de radar. Die tijd is over. Ook, of juist het mkb wordt nu getroffen omdat daar de beveiliging veel minder goed op orde is.”

Drie assen

Cybersecurity benader je langs drie assen: beleid, mens en techniek volgens Rademakers: “Dat is een drie-eenheid. Het begint bij beleid. Welke werkprocessen zijn cruciaal? Wat zijn je kroonjuwelen die je koste wat koste moet beschermen?” Als tweede komt de mens. Rademakers: “Ik hoor wel eens dat de mens de zwakste schakel is in cybersecurity. Die kun je door training omdraaien in je sterkste schakel. Maar dan moet je hem of haar wel meenemen in de gevaren die er zijn en de oplossingen die diegene zelf kan gebruiken.” Het derde punt, techniek, ondersteunt het tweede punt, de mens. “Alleen redt de mens het niet. Dus implementeer technische hulpmiddelen, bijvoorbeeld om e-mailspoofing tegen te gaan. Of help de mens door een wachtwoordenmanager.”

Topje van de ijsberg

David Ruijs adviseert dagelijks bedrijven over dit onderwerp en constateert een enorme toename aan geregistreerde cyberaanvallen. “De aantallen die bekend zijn, zijn puur en alleen de aanvallen die zijn gemeld bij het ministerie van Justitie. Lang niet ieder bedrijf meldt een incident, dus dit is slechts het topje van de ijsberg. De impact is wereldwijd verdubbeld ten opzichte van vijf jaar geleden. Hierbij valt op dat de bijkomende kosten van een incident – het herstellen van systemen, improductiviteit door downtime en boetes voor niet naleven van privacywetgeving en dergelijke – vaak nog hoger zijn dan het losgeld dat wordt gevraagd. Goed om te weten is dat maar in acht procent van de gevallen de data worden teruggegeven.” Dat er zo’n toename is van cybersecurity, heeft volgens Rademakers te maken met een aantal trends. “De eerste is de digitale transformatie. We kunnen niet meer zonder ICT-systemen. De afhankelijkheid is enorm hoog. Daarnaast is door de overgang naar de cloud het werkveld van de cybercrimineel breder en diverser geworden. Ook het feit dat we overal en nergens werken tegenwoordig, heeft het makkelijker gemaakt een aanval te plaatsen.”

Kwetsbaarheden

Rademakers constateert dat informatie over organisaties vrij beschikbaar is. “Dan gaat het niet alleen om e-mailadressen en gelekte wachtwoorden. Ook over de ICT-systemen die in uw bedrijf staan en welke softwareversies daarop draaien. Die informatie is vrij beschikbaar en geïndexeerd door zoekmachines.” Het is eveneens eenvoudig te achterhalen welke kwetsbaarheden die systemen en software hebben. ‘”Vervolgens zijn er ook nog eens toolkits beschikbaar voor hackers om hun aanval te plaatsen. Gemak dient de mens… Misdadigers blijven ook bij de financiële afwikkeling onder de radar, door betalingen via cryptogeld. Ideale ‘arbeidsomstandigheden dus. Al met al maak ik me daarom zorgen voor 2022. Afwachten kan niet meer. We moeten, zeker in het mkb, actie ondernemen.”

Deep- en darkweb

Ruijs legt uit dat er een open internet, een deepweb en een darkweb is. “Open internet kennen we allemaal. Dat is de plaats waar we ‘Googelen’. Dat is slechts vijf procent van het gehele internet. Deepweb is een afgeschermd geheel, waar je alleen kunt komen als je bijvoorbeeld de link weet en/of de inloggegevens hebt. Het darkweb is onderdeel van het deepweb. We denken daarbij vaak aan drugshandel en duistere marktplaatsen. Dat klopt ook, maar dat is het niet alleen. Je hebt extra technologie, zoals een Tor-browser nodig, om daar anoniem te kunnen surfen. Het is ooit bedacht om vrij te kunnen internetten. Om die reden zitten er bijvoorbeeld ook journalisten en klokkenluiders op.”

Werkwijze van cybercriminelen

Rademakers vertelt over het Mittre Att&ck Framework. “Daar staat het stappenplan van cybercriminelen in. Net als een inbreker die eerst eens gaat kijken bij een huis waar hij wil inbreken, begint een hacker ook met het verzamelen van gegevens om die te combineren tot bruikbare informatie.” Ruijs: “Hij begint met het bepalen van een doel en het bij elkaar zoeken van informatie. Waar kan ik eenvoudig binnenkomen en waar is mijn pakkans het laagste? Het web biedt een schat aan informatie. Vervolgens verschaft hij zich toegang tot het doel door bijvoorbeeld via kwetsbaarheden in te breken. Dat doet hij bijvoorbeeld door een phishingmail te sturen die een malware-infectie start of door een kwetsbaarheid te misbruiken die is ontstaan door achterstallige updates. Vervolgens bemachtigen ze gegevens om jou tot betaling over te laten gaan. Als laatste proberen ze vaak toegang te houden, zodat ze een aanval eventueel nog een keer kunnen doen.”

Zorgwekkend

ACA IT-Solutions deed onderzoek naar hoe de cybersecurity in het mkb is geregeld. 45 procent van de onderzochte bedrijven heeft kwetsbaarheden in systemen, applicaties en (web)servers. Gemiddeld zijn er per bedrijf 25 kwetsbaarheden te vinden. “Daar zitten ook zorgwekkende dingen in. Zaken die je eigenlijk binnen een dag zou moeten oplossen door een patch of een update. In een enkel geval was er zelfs een kwetsbaarheid uit 2010 ontdekt. Dan heeft dus, om het zo te zeggen, elf jaar de poort van je tuin opengestaan om de inbreker te verwelkomen.” 65 procent heeft tenminste één kritieke kwetsbaarheid. Bij 93 procent van de onderzochte organisaties zijn er gelekte e-mailadressen gevonden. Gemiddeld is 70 procent van de e-mailadressen eenvoudig te achterhalen. Maar ook 57 procent van de gebruikersnamen. De combinatie van wachtwoord en mailadres/gebruikersnaam maakt het mogelijk om daadwerkelijk in te loggen. Bij 65 procent van de organisaties zijn beide elementen gevonden. Ofwel: de ultieme snoepwinkel voor cybercriminelen. Wie wil kijken of zijn gegevens zijn gehackt, kan zijn mailadres intypen op de website haveibeenpwned.com.

Multifactorauthentificatie

Slechts 42 procent van de onderzochte bedrijven heeft multifactorauthentificatie (MFA) in gebruik. Daarmee inloggen is een stuk veiliger en het verkleint de kans dat hackers toegang krijgen tot accounts of gegevens. Medewerkers gebruiken daarbij verschillende middelen (factoren) om in te loggen. Iets dat je weet (je wachtwoord) en iets dat je bezit, zoals een app die een tijdgebonden code of bevestigingsknop toont, eventueel gecombineerd met Face-ID, een vingerafdruk of een irisscan. Denk aan Google Authenticator of Microsoft Authenticator.

E-mailspoofing

21 procent van de bedrijven heeft geen basismaatregelen tegen e-mailspoofing genomen. 58 procent heeft geen aanvullende maatregeleningesteld. Technische instellingen van DKIM, SPF en DMARC bestrijden valse e-mails. Ontvangende mailservers moeten dan namelijk controleren of de afzender daadwerkelijk is wie hij zegt te zijn.

Phishingresultaten

Ook test ACA IT-Solutions in opdracht of er op phishingmails wordt geklikt. Dat gebeurt inderdaad, en het percentage dat klikt of daarna zelfs inlogt op een nepwebsite is aanzienlijk. Het percentage daalt als medewerkers zijn getraind in de gevaren. Phishing bestaat uit het oplichten van mensen door ze te lokken naar een valse website, die een kopie is van de echte website. Om ze daar – nietsvermoedend – te laten inloggen met hun inlognaam en wachtwoord of hun creditcardnummer. Een dergelijke mail wordt vaak naar honderden mailaccounts gestuurd. Spear phishing gaat nog een stap verder. Deze is specifiek gericht op een individu, organisatie of bedrijf.

Cyberweerbaarheid

Tot slot geven Rademakers en Ruijs aanbevelingen. Aan de beleidskant zijn dat onder andere het zorgen voor een gedegen wachtwoordbeleid, een ICT-gebruikersreglement en een incident response-plan. Technisch kunnen organisaties gebruikmaken van update- en patchmanagement om kwetsbaarheden in software zo snel mogelijk te dichten. En ook van de eerdergenoemde MFA, DKIM, SPF en DMARC en een wachtwoordenmanager. Aan de menskant is het verstandig te zorgen voor duidelijke werkinstructies, trainingen in weerbaarheid en bewustzijn onder medewerkers. Het is echter niet alleen de verantwoordelijkheid van directie en IT. Ook de individuele medewerkers vervullen een belangrijke rol. Van aangeboden updates doorvoeren en sterke wachtwoorden gebruiken tot aan het informeren van de IT-afdeling bij incidenten of verdachte zaken. Rademakers: “Cybersecurity is maatwerk, waarbij je een ideale balans tussen mens, techniek en beleid wilt bewerkstelligen. Waar een organisatie de drempels moet opwerpen, hangt mede af van waar uw kroonjuwelen zich bevinden. Dat zijn de processen en data waar cybercriminelen beslist niet bij mogen komen. Hoe meer drempels, hoe veiliger. Daarmee creëert u cyberweerbaarheid.”

