Cyber Security, wat verstaan we daaronder?

Cyber security is de laatste jaren een hot topic in de media geworden. Maar wat is cyber security eigenlijk? Cyber security is een verzamelnaam voor alle maatregelen die een bedrijf neemt om de gevolgen van een digitale aanval zo minimaal mogelijk te houden. Belangrijkste aspect binnen cyber security is het technisch beveiligen van alle devices, zoals computers en laptops, maar ook WiFi systemen en pinautomaten. Deze beveiliging is erop gericht om ongeautoriseerde toegang tot deze devices te voorkomen. Daarnaast gaat het ook om beveiliging van alle digitale services die binnen het bedrijf gebruikt worden.

Hoe kunnen bedrijven aangevallen worden?

Bedrijven kunnen op verschillende manieren aangevallen worden. Niet elke aanval heeft hetzelfde effect en aanvallen worden specifiek gekozen om het beoogde doel van de aanvaller te behalen. Een bekende aanvalsmethode is de Denial of Service (DoS) attack. Deze aanval komt erop neer dat de aanvaller grote hoeveelheden data richting het netwerk of de website van het bedrijf stuurt. Resultaat is dat de website en soms zelfs het hele netwerk van het bedrijf platgelegd worden waardoor de normale bedrijfsvoering niet meer plaats kan vinden. Andere aanvalsmethoden zijn onder andere:

  • Malware: dit is een verzamelnaam voor alle software die van buitenaf op werkstations of servers geïnstalleerd wordt om gegevens te stelen, data te vernietigen of data te gijzelen (ransomware). Malware kan veel schade aanrichten.
  • Phishing: dit is een manier van aanvallen die meestal via email, SMS of Whatsapp plaatsvindt. In het bericht staat een link of QR code waarmee je zonder dat je het doorhebt, gevoelige gegevens zoals bankcodes, naar de aanvaller stuurt. De aanvallers die phishing gebruiken worden steeds geraffineerder, maar met een aantal simpele gedragsregels kun je een hoop schade voorkomen
  • Man-in-the-Middle (MitM): deze methode bestaat al lang en heeft alleen kans bij onvoldoende beveiliging, bijvoorbeeld op een onbeveiligd WiFi netwerk. De aanvaller installeert software die het verkeer simpelweg aftapt en naar hem toe stuurt. Het kan zelfs zo zijn dat de aanvaller de data tussen verzender en ontvanger manipuleert.
  • Zero-day attack: dit is een recente methode die snel aan populariteit wint. Timing is essentieel voor deze methode. De aanval vindt plaats in de periode tussen het aankondigen van een beveiligingsupdate en het moment dat deze geïnstalleerd wordt. De aanvallers maken zo gebruik van eventuele vertraging in het installeren van de beveiligingsupdate

Awareness noodzakelijk

Naast het technische aspect, is het creëren van awareness onder het personeel een andere belangrijke factor. De beveiligingsketen is zo sterk als de zwakste schakel en de praktijk heeft bewezen dat de mens vaak deze zwakste schakel is. We kennen allemaal wel de gele post-it briefjes met inlognamen en wachtwoorden die op een monitor geplakt zijn. Ook het laten slingeren van uitgeprinte rapporten en memo’s brengen een groot risico met zich mee, met name als dit buiten het kantoor gebeurt. Ook het onbeveiligd opslaan van zakelijke documenten op een USB stick kan grote schade aanrichten bij verlies van de stick. Al deze zaken hebben puur te maken met gedrag. Er is geen technische oplossing voor dit probleem. Onveilig gedrag kan alleen door het creëren van awareness voorkomen worden.

Niet alleen een risico voor grote ondernemingen

Het is niet zo moeilijk om te begrijpen dat grote ondernemingen bij elke geslaagde aanval een groot risico lopen. Als de jaarcijfers van een multinational gestolen worden voordat deze officieel gepubliceerd worden, kan deze informatie misbruikt worden op de aandelenbeurs. Ook als een aanval de servers van Google platlegt, is de schade enorm. Het is echter zo dat ook kleinere bedrijven in het MKB grote schade op kunnen lopen bij een geslaagde cyberaanval. Als het kassasysteem van een slijterij met een DoS aanval onderuit gehaald wordt, kan de slijter niet meer afrekenen. Of als de receptionist van een autobedrijf ongewild malware op de server installeert, kan dit ertoe leiden dat de gegevens van alle klanten uitlekken. Om nog maar te zwijgen van de eigenaresse van een kledingboetiek die in de haast via de link in een phishing mail criminelen toegang geeft tot de bedrijfsrekening.

Schakel professionals in

Om schade zoveel mogelijk te voorkomen, geldt voor zowel grote als kleine ondernemingen: schakel professionals in om je cyber security op orde te krijgen en te houden.