Hoe pakt u cybercriminaliteit aan?
Iedere organisatie in Nederland kan slachtoffer worden van cybercrime. En op zijn minst moet iedere organisatie er rekening mee houden dat als gevolg van cybercrime de continuïteit van de bedrijfsvoering in het geding kan komen. Aan u de keuze waar u zich tegen wilt of moet wapenen. De aard van uw organisatie, de hoeveelheid gegevens die u verwerkt, en de afhankelijkheid van andere organisaties of burgers van uw dienstverlening spelen daar een belangrijke rol bij. Maar wat is cybercrime nou precies?
Wat is cybercriminaliteit?
Cybercrime is criminaliteit met ICT als middel én doelwit. De criminele activiteiten kunnen gericht zijn tegen personen, eigendommen, organisaties, elektronische communicatienetwerken of informatiesystemen. Niet iedere cybercrimineel is echter hetzelfde.
Online kattenkwaad
Cybercriminelen heb je in allerlei vormen en maten. Van georganiseerde bendes tot zolderkamerhackers. En wat is er leuker dan te proberen of je een website van een school of het bedrijf om de hoek kunt neerhalen? Of op de computer van je buurman kunt komen? Hoe onschuldig dit soort kattenkwaad wellicht ook lijkt, het is vervelend als dit uw organisatie overkomt. Zeker omdat u zich met een basisniveau aan cybersecurity al prima kunt wapenen tegen dit soort voorvallen.
Voorbeelden van basis beveiligingsmaatregelen
Data in beveiligd datacentrum
Plaats uw bedrijfsgegevens in een goed beheerd en beveiligd datacentrum. Houd uw data daar ook. U gaat naar de data met uw werkmiddelen, de data komt niet naar u.Up to date beveiligingssoftware
Zorg voor goede en bijgewerkte beveiligingssoftware op uw werkmiddelen. Voer regelmatig de vereiste software-updates uit.Testen van kritische onderdelen
Voer met zekere regelmaat beveiligingstests uit op de kritische onderdelen van uw IT-omgeving. Repareer gevonden kwetsbaarheden zo spoedig mogelijk;Discipline in IT-omgeving
Patch al uw systemen zo snel mogelijk, wees streng op hoge bevoegdheden en voer een strikte discipline op gebruikersnamen, wachtwoorden en gebruikersrechten. Hanteer een absolute discipline in uw IT-omgeving.Vergroten bewustzijn medewerkers
Besteed voldoende tijd aan het vergroten van het bewustzijn van uw medewerkers ten aanzien van beveiliging. Besteed met enige regelmaat aandacht aan gewenst gedrag van uw medewerkers en ongewenst gedrag van derden.Monitoren cybersecurity
Stuur op het onderwerp met behulp van een aantal passende key performance indicatoren (KPI’s) waarop u regelmatig terugkoppeling wenst. Denk daarbij aan uw medewerkers, maar vergeet uw (software)leveranciers ook niet.
Makkelijke prooi
Bovengenoemde basismaatregelen dienen ook prima als beveiliging tegen doorsnee internetcriminelen, die op zoek zijn naar de weg van de minste weerstand. Vergelijk het met een inbreker die in uw buurt op zoek gaat naar het huis met een openstaand raam. Dit type criminaliteit wordt gekenmerkt door maximale opbrengst met minimaal risico. Als binnen uw organisatie de digitale deuren wagenwijd openstaan, bent u een gewillige prooi. Cybercriminelen scannen eenvoudig bij welke organisaties zij gemakkelijk binnen kunnen komen. Door een aantal basismaatregelen te treffen, werpt u een eerste blokkade op, waardoor een cybercrimineel sneller een deur verder kijkt.
Nevenschade
Geavanceerde cyberaanvallen worden vaak uitgevoerd tussen landen of op grote bedrijven. Als u zich in het ecosysteem van zo’n land of bedrijf bevindt, kan uw organisatie ook schade oplopen tijdens of door zo’n cyberaanval. Vergelijk het met een brand in een aangrenzend bedrijfspand, waardoor uw eigen bedrijfspand schade oploopt of op zijn minst gevaar loopt. Ook al kunt u dit soort situaties niet voorkomen, toch kunt u er wel rekening mee houden.
Voorbeelden van de maatregelen die u kunt treffen:
Inventarisatie risico’s
Segmenteer uw technische omgeving in lage en hoge risicogebieden. Bepaal vervolgens per risicogebied welke beveiligingsmaatregelen nodig zijn.Preventieve maatregelen
Voeg aanvullende preventieve en detectieve beveiligingstechnologie toe in uw netwerk of datacentrum, die past bij uw ambities.Doorlopend testen
Voer continu beveiligingstests uit (procedurele tests en technische tests) om uw beveiliging te testen en te verbeteren.Security officer
Stel een vaste functionaris aan, een security officer, die verantwoordelijk is voor de beveiliging van uw kostbare gegevens.Wees voorbereid
Bereid security incident response procedures voor en oefen deze. Op het moment dat er iets mis gaat, bent u optimaal voorbereid om snel in te grijpen en de schade te beperken.
Ideële weerstand
Tenslotte wordt cybercriminaliteit ook steeds vaker ingezet door activisten, die vanuit sociale, economische of ecologische standpunten een bepaald doel nastreven. Als u in een omgeving opereert, waar u te maken heeft met dit soort stakeholders dan moet u er rekening mee houden, dat zij uw bedrijfsvoering willen verstoren of op zoek zijn naar bedrijfsgevoelige of geheime informatie.
Risicoprofiel
Een bepaalde basis aan digitale beveiliging is voor elke organisatie van belang. Afhankelijk van het risicoprofiel van uw organisatie is eventueel aanvullende beveiliging noodzakelijk. Als u gevoelige informatie verwerkt (bedrijfsgeheimen, persoonsgegevens), een publieke functie uitvoert of een vitale schakel in een keten bent, dan heeft u een verhoogd risico en kan aanvullende beveiliging noodzakelijk zijn.
Dit bericht is meer dan zes maanden geleden gepubliceerd. Omdat wet- en regelgeving continu in beweging is, raden wij u aan met uw Baker Tilly adviseur te bespreken of de informatie in dit bericht actueel is en gevolgen heeft (of mogelijkheden biedt) voor uw situatie. Uw adviseur praat u graag bij over de laatste stand van zaken.