‘Mensen denken vaak: ik heb een goede firewall en virusscanner: ik ben goed beveiligd’
‘55 procent van de volwassen internetgebruikers gebruikt steeds opnieuw hetzelfde wachtwoord’
Voor veel ondernemers zijn cyberrisico’s nog altijd een ver van mijn bed show. Maar of je nu bestuurder bent bij een multinational of een eenpitter: cybercriminaliteit overkomt iedereen. De gevolgen – financieel en voor je reputatie – kunnen enorm zijn en de Meldplicht Datalekken doet daar nog een schepje bovenop. Deel 1 van een serie over cybercriminaliteit: Wat zijn cyberrisico’s?
Practisch voorbeeld
Een financieel adviseur laat na een klantbezoek per ongeluk zijn iPad in zijn auto liggen. De iPad wordt uit de auto gestolen, waarna de data in verkeerde handen terecht komt. In no time liggen de persoonlijke gegevens van al zijn klanten – bankrekeningnummers, paspoortkopieën en BSN-nummers – op straat. De adviseur kan tijdelijk zijn werk niet doen, hij verliest het vertrouwen van zijn klanten, riskeert een fikse boete van de Autoriteit Persoonsgegevens (AP) en kan door zijn klanten aansprakelijk gesteld worden.
Het is zomaar een voorbeeld van cybercriminaliteit waar je als adviseur zelf mee te maken kunt krijgen. En je klanten – van het middelgrote MKB-bedrijf tot aan de bloemist om de hoek – ook. Firewalls die niet goed zijn geïnstalleerd, simpele wachtwoorden, een medewerker die op een foute link klikt: er hoeft maar één zwakke plek in een systeem te zitten en criminelen weten die te vinden.
Mondiaal probleem
De afgelopen tien jaar werden steeds meer organisaties geraakt door een datalek ‘incident’ of een cyberaanval. Ook multinationals die onaantastbaar leken, zoals Facebook, LinkedIn, Google, T-Mobile en Ziggo. Een cyberattack op het Witte Huis leidde ertoe dat toenmalig President Obama extra privacywetgeving liet doorvoeren. Wereldwijd wordt de schade als gevolg van cybercriminaliteit geschat op 400 miljard euro.
“ Cybercriminaliteit is een mondiaal probleem”, zegt Barry Schütte Manager Pro ICT/Cyber, die samen met senior underwriter Cyber Jelmer Andela voor Chubb actief is op de Nederlandse markt met verzekeringsoplossingen. “In een wereld waarin alles en iedereen door het internet met elkaar verbonden is, nemen cyberrisico’s alleen maar toe. Mensen denken vaak: ik heb een goede firewall en virusscanner: ik ben goed beveiligd. Maar internetcriminelen beschikken over de nieuwste technologie om hetzij via de voordeur, hetzij via de achterdeur binnen te dringen.”
Aansprakelijkheidsrisico’s
“Die cyberrisico’s zijn enerzijds het lekken van data, van privacygevoelige gegevens,” legt Andela uit. “Dat hoeft niet alleen digitaal te zijn. Het kan ook een dossier zijn dat iemand laat rondslingeren. Anderzijds het feit dat bedrijven afhankelijk zijn van computers en software: het risico dat alles plat komt te liggen.”
Verzekeringstechnisch kun je volgens Schütte en Andela spreken van aansprakelijkheidsrisico’s en eigen schaderisico’s. “Als data van consumenten op straat liggen door toedoen van een bedrijf, kunnen die consumenten dat bedrijf aansprakelijk stellen. Je leest het in de pers over grote bedrijven die gehackt worden en waar hele personeels- of klantenbestanden op straat liggen”, aldus Andela.
“Voor een bedrijf zal er in zo’n geval, naast de aansprakelijkheidsgevolgen, ook sprake zijn van eigen schade. Hierbij kan bijvoorbeeld gedacht worden aan meldingskosten, onderzoekskosten, een eventuele boete, het inschakelen van een PR-bureau of een callcenter. Maar bijvoorbeeld ook de kosten van stil liggen en de eventuele klantverliezen als gevolg van het incident.”
Phishing
Cybercrime neemt zoveel verschillende gedaanten aan dat je al snel het overzicht verliest. Grote bedrijven krijgen vaak te maken met een DDoS aanval waarbij de computersystemen worden uitgeschakeld, of ze worden afgeperst na gijzeling van gegevens.
Particulieren stuiten op identiteitsdiefstal, transactiefraude, misbruik van vertrouwelijke gegevens, onbevoegd bankieren, misbruik van passwords en het ontvangen van virussen.
“Het meeste wat voorkomt is toch nog phishing”, vertelt Andela. “Je ontvangt reclame met een link waar je op klikt. Dat leidt tot een ransomware-attack waarbij je data versleuteld worden en je gechanteerd wordt.”
Internetbeveiligingsbedrijf Symantec schat dat er elke dag 156 miljoen phishing e-mails verstuurd worden. Ongeveer acht miljoen van deze berichten wordt geopend en op 800.000 links wordt geklikt.
Wachtwoord
Er zijn nog veel meer risico’s. Je kunt zelf goed beveiligd zijn, maar een leverancier inhuren die dat niet is, een ICT-bedrijf of een kredietbeoordelaar. En dan is er nog het risico van medewerkers die ‘thuiswerken’ met apparatuur en netwerken die vaak minder goed beveiligd zijn dan die op kantoor.
Onderzoek van de toezichthouder voor de Britse communicatiebranche Ofcom toont aan dat 55 procent van de volwassen internetgebruikers steeds hetzelfde wachtwoord gebruikt voor de meeste websites.
De ‘mens’ is en blijft dan ook de zwakste schakel als het gaat om cybersecurity. “Criminelen zoeken naar de zwakke plek in een organisatie. Dat is toch vaak een mens. Er hoeft maar één medewerker ondoordacht een phishing-link aan te klikken en de criminelen zijn binnen.”
Wat gebeurt er als cybercriminelen bij je binnendringen?
Wordt vervolgt
Deel 2 van deze serie over cybercrime verschijnt over enkele weken en gaat dieper in op de gevolgen van cybercriminaliliteit.
Deze eduatieve serie over de gevaren van Cybercrime is een idee van de redactie van Findinet en is tot stand gekomen i.s.m. Bex communicatie en Partner van Findinet Chubb.