Schade bedrijfsspionage loopt in miljarden

Schade bedrijfsspionage loopt in miljarden

Artikel
5 minuten leestijd

U hebt het goed voor elkaar; de mooiste hardware, de slimste software én een beveiligd bedrijfsnetwerk. Toch bent zelfs u kwetsbaar. Want bij bedrijfsspionage is niet het systeem, maar de mens de zwakste schakel, stellen onze veiligheidsspecialisten.

Het Nederlandse bedrijfsleven is zich volgens onze specialisten nauwelijks bewust van de gevaren van bedrijfsspionage. ‘Bedrijven beseffen pas achteraf dat bedrijfsgevoelige informatie is verdwenen. De financiële schade loopt hierdoor in de miljarden en reputatieschade ligt op de loer.’

New call-to-action

10 miljard

Uit een studie van Deloitte naar cyberrisico’s in Nederland blijkt dat cybercriminaliteit organisaties maar liefst 10 miljard euro per jaar kost. Uitgaande van een worst case scenario kan het verlies voor individuele bedrijven oplopen tot achttien keer meer dan het waardeverlies dat ze mogen verwachten.

Een groot risico op waardeverlies (ruim 40%) komt voort uit het onderbreken van de operationele continuïteit. Dit is het gevolg van gerichte aanvallen door partijen die uit zijn op verstoring, maar ook een bijkomend gevolg van breder gerichte cybercriminaliteit. Verstoring raakt bijna alle organisaties. Een ander groot waardeverlies (bijna 40%) komt voort uit het kwijtraken van intellectueel eigendom, strategische informatie en verminderde betrouwbaarheid van producten en diensten.

Cyberbeveiliging en fysieke beveiliging

Bedrijfsgevoelige informatie is volgens onze specialisten vaak slecht beveiligd met als gevolg dat concurrenten er met ideeën vandoor gaan of dat data simpelweg kwijtraken. ‘Cyber- en fysieke beveiliging hangen nauw met elkaar samen. Je kunt alles perfect technisch hebben dichtgetimmerd, maar als er vervolgens via de HR-afdeling een kwaadwillende als sollicitant binnenkomt, dan werkt zelfs de beste beveiligingstechnologie niet meer’, geven zij aan.

Een ander voorbeeld is het onbewaakt verrichten van onderhoud aan servers in bijvoorbeeld datacenters. ‘Het kan ronduit gevaarlijk zijn om externen alleen te laten met waardevolle data. Beter is het ‘vier-ogen-principe’ en noodzakelijk onderhoud onder toezicht laten verrichten.’

Social engineering

Voorafgaand aan een (cyber)aanval wordt vaak gebruik gemaakt van social engineering. Daders vergaren gevoelige informatie via lokmails of door onder valse voorwendselen medewerkers te bellen en gebruikersnamen en wachtwoorden te ontfutselen. Daarnaast winnen ze via het internet informatie in over medewerkers van een bedrijf. Mensen delen veel over zichzelf op sociale netwerken als LinkedIn en daar wordt gretig misbruik van gemaakt.

Social engineering is een bijzondere tak van sport waartegen maar weinig mensen zijn bestand’, benadrukken de specialisten. Mensen worden zodanig gemanipuleerd dat ze toegang geven tot vertrouwelijke gegevens. Daders maken gebruik van psychologische trucs, zoals het geven van complimenten of inspelen op de  nieuwsgierigheid. In het begin zijn mensen vaak nog wel alert, zoals ze geleerd hebben. Maar zodra ze het gevoel hebben dat iemand vertrouwd is, verdwijnt deze alertheid.

Informatie prijsgeven

Uit eigen onderzoek van onze specialisten blijkt dat medewerkers van salarisadministraties bereid zijn telefonisch een burgerservicenummer door te geven als ze denken dat de ontvanger een collega is die het hard nodig heeft. Ook via e-mail geven mensen gemakkelijk informatie prijs, zo merkten zij. ‘In een gecontroleerde bedrijfsomgeving stuurden we als test een Arbo-enquête rond met daarin allerlei vragen over werkomstandigheden. Het thema hadden we expres gekozen omdat veel mensen het prettig vinden om over hun eigen omstandigheden te praten.’

Pure misleiding

‘In feite was het pure misleiding, een afleidingsmanoeuvre’, vervolgen zij. ‘Het enige wat wij écht wilden weten was de informatie onder het kopje van de enquête: de naam, functie, standplaats en personeelsnummer. Om te kijken hoe scherp mensen waren schreven we dat de vragenlijst van hun eigen personeelsafdeling afkomstig was, maar stuurden we de email en bijlage via een hotmailaccount.’

Met de antwoorden op zak kon een vervolgactie niet uitblijven. Een van de specialisten deed zich voor als medewerker en belde de salarisadministratie met het verhaal dat hij zijn burgerservicenummer nodig had voor het afsluiten van een hypotheek. Tot zijn verbazing gaven sommige medewerkers het direct, anderen vroegen naar zijn personeelsnummer, maar dat had hij natuurlijk. Het bleek kinderlijk eenvoudig om informatie los te peuteren.

‘De nep-enquête werd ondanks de signalen door veel mensen geopend’, geven de specialisten aan. ‘Dat toont aan hoe naïef we zijn en hoezeer we bereid zijn antwoord te geven op de vragen die ons worden gesteld. Ook al ben je nog zo goed beveiligd, als mens ben je kwetsbaar.’

Informatie is het nieuwe goud

Cybercrime, identiteitsfraude en bedrijfsspionage vormen de top drie van huidige dreigingen, weten de veiligheidsspecialisten. Informatie is het nieuwe goud en daarvan komt steeds meer beschikbaar. Tegelijkertijd is bedrijfsspionage gemakkelijker geworden. Voor kwaadwillenden is het slechts een kwestie van de puzzelstukjes verzamelen om een compleet beeld te verkrijgen.

Volgens onze specialisten is het daarom belangrijk dat risico’s beter worden geïnventariseerd en dat medewerkers worden getraind in het herkennen van verdachte mails en telefoontjes. Ook moeten bedrijven ervoor zorgen dat medewerkers afwijkende situaties eenvoudig kunnen melden en dat er duidelijke veiligheidsrichtlijnen zijn.

‘Het veiligheidsbewustzijn binnen een organisatie is pas effectief wanneer dit wordt gewaarborgd in een continu proces. Dat betekent dat organisaties het risico van bedrijfsspionage en van cybercrime moeten opnemen in hun risicoprofiel. Zij moeten accepteren dat het gebeurt om het vervolgens in securityplannen te kunnen vertalen in maatregelen.’

Need to know of nice to know?

Belangrijke maatregelen zijn awareness-programma’s voor medewerkers. Daarnaast moeten organisaties nadenken over de waarde van hun informatie. Informatiebeveiliging is tegenwoordig het belangrijkste wat er is. Je moet dus goed weten wie je toegang geeft tot welke informatie. Is er sprake van need to know, of nice to know? Daarnaast kan het nuttig zijn om informatie te kwalificeren en zo te bepalen tot welk niveau medewerkers toegang krijgen tot bepaalde informatie. Een ander belangrijk thema is het zorgvuldig screenen van mensen. Zeker op vertrouwensposities. Er wordt slecht gescreend, referenties worden vaak nauwelijks gecheckt.

Awareness-programma’s

Hoewel Securitas niet actief is in ICT-beveiliging, speelt awareness wel een belangrijke rol in trainingen. ICT komt daarin zeker aan bod. In dit soort programma’s leren mensen hoe belangrijk het is om zelf na te denken en afwijkingen te signaleren. Daarmee voorkom je narigheid op veel vlakken, fysiek én digitaal. Awareness-programma’s maken mensen bewust en leren ze bijvoorbeeld dat je bij normafwijkingen nooit privacygevoelige informatie moet prijsgeven. Als je gebeld wordt door de ING bijvoorbeeld, dan moet er een alarmbelletje afgaan. Is een aanbieding te mooi om waar te zijn? Dan klopt het vaak niet.’

Veiligheidsbewustzijn

Dat het veiligheidsbewustzijn omhoog moet staat vast. Gemakkelijk is dat echter niet, waarschuwen de specialisten. ‘Het lastige is dat alles wat we denken, doen en uitvoeren gebaseerd is op onze eigen ervaringen. Zolang mensen zelf geen slachtoffer worden is het moeilijk om dit bewustzijn tussen de oren te krijgen. Mensen vormen daardoor de sterkste, maar tegelijkertijd de zwakste schakel.’

whitepaper social engineering