De implementatie van de nieuwe privacywet, de CEO-fraude bij Pathé en ongenadig harde digitale gijzelaanvallen. In 2018 werden bedrijven blootgesteld aan ingrijpende security uitdagingen. Wat gebeurde er en hoe kunnen organisaties zich wapenen in 2019? Rick Strijbos, directeur van de Security Academy geeft tips.
‘Pathé voor 19 miljoen euro opgelicht door nepmails hoofdkantoor; kopte de NOS op 10 november. Criminelen deden zich voor als directeuren van het Franse hoofdkantoor en stuurden e-mails naar de Nederlandse directie met het verzoek geld over te maken. De directie had twijfels, maar werkte toch mee. Een knap staaltje social engineering. De truc is oud, het voorval geeft dan ook vooral aan dat awareness nog een lange weg te gaan heeft. De les die we hieruit kunnen leren, is dat er meer aandacht moet zijn voor awareness bij de hogere bestuurslagen. Populair gezegd: Hoe meer je kunt verkloten, hoe meer je ervan bewust moet zijn hoe je het wel en niet moet doen.’
‘In 2016 werden de eerste organisaties slachtoffer, in 2018 sloeg SamSam opnieuw toe. De gijzelsoftware werkt anders dan bijvoorbeeld Wannacry, de ransomware die werd gebruikt bij eerdere grote aanvallen. In plaats van de computer te blokkeren en losgeld te eisen, neemt SamSam uitvoerig de tijd en corrumpeert het de back-up om te voorkomen dat een bedrijf de besmetting ongedaan kan maken. Pas als de ransomware diep in systeem is geworteld, slaat SamSam toe en worden de bestanden vergrendeld.’
‘Na de hype van 25 mei toen de nieuwe privacywetgeving (AVG) werd ingevoerd, is het besef gekomen dat het beschermen van persoonsgegevens verder gaat dan het nemen van enkele juridische maatregelen. Een adequate bescherming van systemen en onderwerpen als dataminimalisatie is niet zomaar even geregeld. Zorgvuldigheid is gewenst. Helaas is er nog veel onzin hoorbaar over de AVG: zo zou je niks meer mogen of kunnen. Echte kennis is echter dun gezaaid. Laat je goed informeren voordat je rigoureuze besluiten neemt: als je gezond boerenverstand zegt dat iets niet logisch is, dan is de kans groot dat dit zo is. Vraag een second opinion of volg een goede cursus.’
‘De ophef rondom het verbod op de anti-virrussoftware van Kasperky is tekenend voor een besluit dat is genomen uit angst en onbekendheid. Het kabinet deed Kaspersky in mei 2018 in de ban vanwege de Russische roots van het bedrijf. Het besluit leverde kritiek op en was misschien niet nodig was geweest als er gedegen onderzoek was gedaan. Wat we hiervan kunnen leren? Dat security-ketendenken belangrijker wordt. Wat is jouw rol, wie zijn je leveranciers en hoe veilig zijn deze? Tip: ben je afhankelijk van specifieke software vraag dan inzicht in de sourcecode en laat er een specialist naar kijken. Deze kan zien of er achterdeurtjes in de software zitten.’
‘Integrale beveiligingsconcepten zijn ook in 2019 van grote toegevoegde waarde op traditionele beveiligingsdiensten: fysieke beveiligers die integrale concepten toepassen en kennis van traditionele beveiliging combineren met technologische mogelijkheden waaronder drones, IoT devices en speciale camerasystemen hebben de toekomst. Daarbij is het belangrijk om risico’s integraal te benaderen en decrown jewels vast te stellen. Ga uit van de assets en de aanvalsmogelijkheden op die assets.’
‘Het afgelopen jaar is gebleken dat vacatures steeds moeilijker zijn in te vullen; the war on talent goes on. Alleen al bij de politie stonden 17.000 vacatures open. Met het complexer worden van de wereld om ons heen is er een enorm tekort ontstaan aan mensen die het écht snappen. Extra belangrijk dus om ervoor te zorgen dat de juiste man of vrouw in de juiste securityrol terecht komt. Hoe? Door awareness bij bestuurslaag te creëren, door budgetten aan te passen aan de huidige tijd en geld beschikbaar te stellen voor het trainen, het opleiden en het omscholen van mensen.’