U hebt het goed voor elkaar; de mooiste hardware, de slimste software én een beveiligd bedrijfsnetwerk. Toch bent zelfs u kwetsbaar. Want bij bedrijfsspionage is niet het systeem, maar de mens de zwakste schakel, stellen onze veiligheidsspecialisten.
Het Nederlandse bedrijfsleven is zich volgens onze specialisten nauwelijks bewust van de gevaren van bedrijfsspionage. ‘Bedrijven beseffen pas achteraf dat bedrijfsgevoelige informatie is verdwenen. De financiële schade loopt hierdoor in de miljarden en reputatieschade ligt op de loer.’
Uit een studie van Deloitte naar cyberrisico’s in Nederland blijkt dat cybercriminaliteit organisaties maar liefst 10 miljard euro per jaar kost. Uitgaande van een worst case scenario kan het verlies voor individuele bedrijven oplopen tot achttien keer meer dan het waardeverlies dat ze mogen verwachten.
Een groot risico op waardeverlies (ruim 40%) komt voort uit het onderbreken van de operationele continuïteit. Dit is het gevolg van gerichte aanvallen door partijen die uit zijn op verstoring, maar ook een bijkomend gevolg van breder gerichte cybercriminaliteit. Verstoring raakt bijna alle organisaties. Een ander groot waardeverlies (bijna 40%) komt voort uit het kwijtraken van intellectueel eigendom, strategische informatie en verminderde betrouwbaarheid van producten en diensten.
Bedrijfsgevoelige informatie is volgens onze specialisten vaak slecht beveiligd met als gevolg dat concurrenten er met ideeën vandoor gaan of dat data simpelweg kwijtraken. ‘Cyber- en fysieke beveiliging hangen nauw met elkaar samen. Je kunt alles perfect technisch hebben dichtgetimmerd, maar als er vervolgens via de HR-afdeling een kwaadwillende als sollicitant binnenkomt, dan werkt zelfs de beste beveiligingstechnologie niet meer’, geven zij aan.
Een ander voorbeeld is het onbewaakt verrichten van onderhoud aan servers in bijvoorbeeld datacenters. ‘Het kan ronduit gevaarlijk zijn om externen alleen te laten met waardevolle data. Beter is het ‘vier-ogen-principe’ en noodzakelijk onderhoud onder toezicht laten verrichten.’
Voorafgaand aan een (cyber)aanval wordt vaak gebruik gemaakt van social engineering. Daders vergaren gevoelige informatie via lokmails of door onder valse voorwendselen medewerkers te bellen en gebruikersnamen en wachtwoorden te ontfutselen. Daarnaast winnen ze via het internet informatie in over medewerkers van een bedrijf. Mensen delen veel over zichzelf op sociale netwerken als LinkedIn en daar wordt gretig misbruik van gemaakt.
‘Social engineering is een bijzondere tak van sport waartegen maar weinig mensen zijn bestand’, zeggen de specialisten. ‘Mensen worden zo gemanipuleerd dat ze toegang geven tot vertrouwelijke gegevens. Daders maken gebruik van psychologische trucs. Een compliment geven bijvoorbeeld is een veel gebruikte tactiek, dat werkt altijd. Of ze spelen in op je nieuwsgierigheid. Mensen zijn in het begin vaak nog wel alert, dat hebben ze geleerd. Maar zodra ze het gevoel hebben dat iemand vertrouwd is, dan geven ze je alles.’
Zo blijken medewerkers van salarisadministraties bereid telefonisch een burgerservicenummer door te geven als ze denken met een medewerker te maken te hebben die het hard nodig heeft, concludeerden onze specialisten uit eigen onderzoek. En ook via email geven mensen gemakkelijk informatie prijs, merkten zij. ‘In een gecontroleerde bedrijfsomgeving stuurden we als test een Arbo-enquête rond met daarin allerlei vragen over werkomstandigheden. Het thema hadden we expres gekozen. Veel mensen vinden het prettig als het over henzelf gaat. Als ze iets kunnen zeggen over hun eigen omstandigheden.’
‘In feite was het pure misleiding, een afleidingsmanoeuvre’, vervolgen zij. ‘Het enige wat wij écht wilden weten was de informatie onder het kopje van de enquête: de naam, functie, standplaats en personeelsnummer. Om te kijken hoe scherp mensen waren schreven we dat de vragenlijst van hun eigen HR personeelsafdeling afkomstig was, maar stuurden we de email en bijlage via een hotmailaccount.’
Met de antwoorden op zak kon een vervolgactie niet uitblijven. Een van de specialisten deed zich voor als medewerker en belde de salarisadministratie met het verhaal dat hij zijn burgerservicenummer nodig had voor het afsluiten van een hypotheek. ‘Tot mijn verbazing gaven sommige medewerkers het direct, anderen vroegen naar mijn personeelsnummer en dat had ik natuurlijk. Het bleek kinderlijk eenvoudig om informatie los te peuteren.’
‘De nep-enquête werd ondanks de signalen door veel mensen geopend’, geven de specialisten aan. ‘Dat toont aan hoe naïef we zijn en hoezeer we bereid zijn antwoord te geven op de vragen die ons worden gesteld. Ook al ben je nog zo goed beveiligd, als mens ben je kwetsbaar.’
‘Cybercrime, identiteitsfraude en bedrijfsspionage vormen de top drie van huidige dreigingen’, weten de veiligheidsspecialisten. ‘Informatie is het nieuwe goud en daarvan komt steeds meer beschikbaar. Tegelijkertijd is bedrijfsspionage gemakkelijker geworden. Voor kwaadwillenden is het slechts een kwestie van de puzzelstukjes verzamelen om een compleet beeld te verkrijgen.’
Volgens onze specialisten is het belangrijk dat risico’s beter worden geïnventariseerd en dat medewerkers worden getraind in het herkennen van verdachte mails en telefoontjes. Ook moeten bedrijven ervoor zorgen dat medewerkers afwijkende situaties eenvoudig kunnen melden en dat er duidelijke veiligheidsrichtlijnen zijn.
‘Het veiligheidsbewustzijn binnen een organisatie is pas effectief wanneer dit wordt gewaarborgd in een continu proces. Dat betekent dat organisaties het risico van bedrijfsspionage en van cybercrime moeten opnemen in hun risicoprofiel. Zij moeten accepteren dat het gebeurt om het vervolgens in securityplannen te kunnen vertalen in maatregelen.’
Belangrijke maatregelen zijn awareness-programma’s voor medewerkers. Daarnaast moeten organisaties nadenken over de waarde van hun informatie. ‘Informatiebeveiliging is tegenwoordig het belangrijkste wat er is. Je moet dus goed weten wie je toegang geeft tot welke informatie. Is er sprake van need to know, of nice to know? Dat is de vraag die je jezelf moet stellen. Het kan nuttig zijn om informatie te kwalificeren en zo te bepalen tot welk niveau medewerkers toegang krijgen tot bepaalde informatie. Een ander belangrijk thema is een zorgvuldige screening van mensen. Zeker op vertrouwensposities. Er wordt slecht gescreend, referenties worden vaak nauwelijks gecheckt.’
Hoewel Securitas niet actief is in ICT Beveiliging, speelt awareness wel een belangrijke rol in trainingen. ICT komt daarin zeker aan bod. ‘In dit soort programma’s leren we mensen hoe belangrijk het is om zelf na te denken en afwijkingen te signaleren. Daarmee voorkom je narigheid op veel vlakken, fysiek én digitaal.’
‘Via bedrijfsspionage kunnen kwaadwillenden sociale interventies uitvoeren op de mensen achter de systemen. Awareness-programma’s maken mensen bewust. Ze leren bijvoorbeeld dat je bij normafwijkingen nooit privacygevoelige informatie moet prijsgeven. Als je gebeld wordt door de ING bijvoorbeeld, dan moet er een alarmbelletje afgaan. Is een aanbieding te mooi om waar te zijn? Dan klopt het vaak niet.’
Dat het veiligheidsbewustzijn omhoog moet staat vast. Gemakkelijk is dat echter niet, waarschuwen de specialisten. ‘Het lastige is dat alles wat we denken, doen en uitvoeren gebaseerd is op onze eigen ervaringen. Zolang mensen zelf geen slachtoffer worden is het moeilijk om dit bewustzijn tussen de oren te krijgen. Mensen vormen daardoor de sterkste, maar tegelijkertijd de zwakste schakel.’
