Cybercrime: 5 trends en 10 tips
Driekwart van alle Nederlandse bedrijven kreeg in 2023 te maken met een cyberaanval; ook het midden- en kleinbedrijf scoort met 71% torenhoog. Dat blijkt uit recent onderzoek van ABN AMRO met marktonderzoeker MWM2. De gemiddelde financiële schade van een geslaagde cyberaanval ligt voor een doorsnee mkb-bedrijf met 20 medewerkers rond de 70.000 euro. Er staat dus veel op het spel. Wat zijn de belangrijkste digitale gevaren en hoe kun je de risico’s van een cyberincident beperken?
Ook in de grafimediawereld zou digitale veiligheid een topprioriteit van het management moeten zijn. Niet alleen vanwege de enorme gemiddelde schade van een geslaagde cyberaanval, maar ook omdat printmediabedrijven constant in de weer zijn met vertrouwelijke klantdata. Bovendien is er nieuwe Europese wetgeving over cybersecurity op komst. Bedrijven zullen een duidelijk beeld moeten hebben van de cybersecurity-risico’s waaraan ze worden blootgesteld via leveranciers.
Gebrek aan praktische kennis
Kun je een hack te allen tijde voorkomen? Nee, ook niet wanneer je werk maakt van alle tips in dit artikel. Maar bedrijven moeten binnenkort wel kunnen aantonen dat ze al het redelijke hebben gedaan om hun digitale veiligheid op orde te hebben. Dat vergt investeringen, maar deze vallen in het niet bij bovengenoemde schade van een gemiddeld cyberincident.
Bovendien loopt het gemiddelde schadebedrag van zo’n geslaagde digitale aanval elk jaar verder op. Hierbij valt te denken aan de kosten van herstel, gederfde inkomsten door stilstand van het bedrijf, reputatieschade, crisiscommunicatie, meer ziekteverzuim door stress en nog meer.
Veel bedrijven zijn zich bewust van de cyberdreiging maar weten vaak niet hoe te beginnen aan een digitaal veilige werkomgeving. Dit komt deels door tijdgebrek en focus op de dagelijkse werkzaamheden, maar vaak ook door gebrek aan praktische kennis.
Trends in cybercrime
Cybercrime is een veelkoppig monster. Dit zijn belangrijke trends:
1. Phishing: de belangrijkste aanvalsvector
90% van alle digitale aanvallen begint met phishing: het ontfutselen van gevoelige informatie van argeloze personen via een nepwebsite of installatie van kwaadaardige software. De content en layout van die nepwebsites is tegenwoordig met behulp van kunstmatige intelligentie fijnmazig af te stemmen op de kenmerken van het bedrijf of de persoon die de cybercriminelen in het vizier hebben. Dat leidt tot een hogere geloofwaardigheid en een grotere kans op het welslagen van de hackaanval.
2. Gijzelsoftware: een plaag van Bijbelse proporties
Ransomware of gijzelsoftware is een enorm cybercrime-pijnpunt. Het is een kwaadaardig virus dat digitale systemen lamlegt door bestanden te versleutelen. De bedreiger eist vervolgens losgeld om de versleuteling ongedaan te maken. Of cybercriminelen halen - vaak gevoelige, waardevolle - gegevens op voordat ze die eventueel versleutelen, om daarna geld te eisen voor het niet verkopen of lekken van die gegevens. Vaak draait het bij ransomware om een combinatie van deze 2 vormen.
Wereldwijd groeide het aantal slachtoffers van ransomware in het eerste kwartaal van 2023 met 143% ten opzichte van dezelfde periode in 2022. Dat meldde cloudsecurityspecialist Akamai. Die stijging komt vooral door zogenoemde zero day-aanvallen: hackers die misbruik maken van bugs in veelgebruikte software, nog voordat ontwikkelaars deze hebben opgelost.
De wereldwijde financiële schade door ransomware stijgt exponentieel, de laatste 10 jaar met zo’n 30% per jaar. Marktonderzoeker Security Ventures spreekt van 20 miljard dollar schade in 2021 en 42 miljard dollar in 2024, tot naar verwachting 160 miljard dollar in 2028 en 265 miljard dollar in 2031. Daar- mee ontwikkelt ransomeware zich tot een systemische dreiging voor complete landelijke economieën of zelfs de wereldeconomie.
3. Malvertising en infostealers in opkomst
Infostealers zijn een nieuwere vorm van kwaadaardige software (malware). Daarbij wordt informatie van een computer gestolen. Deze wordt doorverkocht of er worden bijvoorbeeld profielen mee verrijkt. Die malware kun je binnenhalen door bijvoorbeeld te klikken op nepadvertenties. Deze kunnen zelfs bovenin Google-zoekresultaten worden vermeld als ‘advertenties’. De hoge kosten voor criminelen om deze advertenties op topposities in Google’s zoekresultaten te krijgen zijn namelijk kinderspel bij het potentieel aan inkomsten dat hiermee kan worden behaald via geslaagde cyberaanvallen.
Een andere methode bestaat uit websites van bestaande leveranciers die zijn nagemaakt en dus lijken op de software die je zoekt, terwijl er allerlei kwaadaardige code in is verwerkt. Criminelen gebruiken ook steeds vaker keyloggers om toetsaanslagen te registreren, zodat bijvoorbeeld wachtwoorden kunnen worden ontfutseld als middel om digitale systemen binnen te dringen.
4. AI maakt cybercrime makkelijk voor de massa
2023 was het jaar van de maatschappelijke doorbraak van kunstmatige intelligentie. Hierdoor kunnen nu ook individuen zonder digitale expertise softwarepakketten aankopen waarmee zij op een geautomatiseerde manier digitale aanvallen kunnen uitvoeren: juist op het mkb, dat gemiddeld matiger is beveiligd tegen hackers dan grotere organisaties. Om een idee te geven: voor gemiddeld 35 euro per maand kunnen cybercriminelen al gebruikmaken van Ransomware-as-a-Service (RaaS)-toolkits, die zich richten op kwetsbaarheden in de digitale beveiliging. Helpdesks staan criminelen met raad en daad bij. Letterlijk honderden ransomware-bendes zijn wereldwijd actief, deels onder bekende namen.
5. AI bemoeilijkt de herkenning van cybercrime
Het is al even genoemd: door de inzet van kunstmatige intelligentie (AI) zijn cyberaanvallen ook moelijker te herkennen, omdat ze behoorlijk realistisch kunnen worden ontworpen. Denk aan phishingmails waarin automatisch persoons- of bedrijfsinformatie is verwerkt, die daardoor winnen aan geloofwaardigheid. Maar denk ook aan de mogelijkheid om iemands stem te klonen en zelfs realistische fakevideo’s in te zetten.
Zo zijn er steeds meer geslaagde aanvallen waarbij een digitale kloon van de directeur aan een medewerker vraagt om snel een bepaald bedrag over te maken (de zogenoemde ceo-fraude). De positieve keerzijde van deze trend is overigens dat kunstmatige intelligentie ook wordt ingezet voor de ontwikkeling van meer verfijnde methoden voor de detectie van kwaardaardige software.
Digitale bescherming: pluk eerst laaghangend fruit
Risico = kans x effect. Zowel de kans op een cyberincident is sterk toegenomen (en inmiddels zeer reëel) als het schadebedrag van zo’n incident. Zelfs in het mkb gaat het al snel over tienduizenden euro’s tot tonnen, en binnen het grote mkb en corporate bedrijven zijn schadebedragen van miljoenen euro’s niet uitzonderlijk. Achterover leunen en hopen dat het aan jouw bedrijf voorbij gaat is kamikazepolitiek. Maar wat kun je doen om de risico’s van een cyberincident te verkleinen? En als het toch misgaat, hoe minimaliseer je dan de schade? Eerst 6 tips om het laag hangende fruit te plukken:
1. Prioriteer en begin
Je kunt niet alles tegelijk doen. Identificeer je belangrijkste securityrisico’s. Focus eerst op het verkleinen van deze risico’s.
2. Zorg voor een proactieve security-cultuur
Bedrijven nemen vaak wel technologische maatregelen tegen digitale aanvallen, terwijl de aandacht voor cyberveilig gedrag van de eigen medewerkers tekortschiet. In driekwart van de gevallen zijn echter menselijke fouten de oorzaak van een geslaagde ransomware-aanval.
Geef als top van een organisatie het goede voorbeeld qua digitale veiligheid, anders zullen medewerkers dit thema niet serieus nemen. En organiseer daarnaast geregeld goedaardige aanvalssituaties voor je bedrijf om het phishingrisico te beoordelen en personeel optimaal alert te maken voor signalen en risico’s van phishing. Kortom: versterk door terugkerende trainingen ook die ‘menselijke firewall’.
3. Voer security-updates snel door, maar let wel op!
Wacht nooit met security-updates, maar installeer ze (vrijwel) meteen. Let echter op, want criminelen verpakken ransomware ook wel in de vorm van zogenaamde software-updates. Als we uitgaan van software op een laptop: ga dan naar de site van je leverancier en haal daar de updates op.
Let ook op wanneer je via Google naar applicaties zoekt. Bovenin de zoekresultaten staan vaak gesponsorde links. Dat kunnen - zoals we hierboven uitlegden - gekochte links van een criminele organisatie zijn, die ransomware willen laten downloaden, of malware waarmee waardevolle informatie wordt gestolen. Klik daarom niet klakkeloos op gesponsorde links.
4. Zorg voor goed back-upbeleid
Zorg voor een deugdelijke back-up, uiteraard op een ander netwerk dan het bedrijfsnetwerk. Zo kun je bij een calamiteit zelf je data terugzetten, in plaats van dat je deze alleen via een losgeldbetaling eventueel terugkrijgt. Test die back-up ook periodiek. En ga na hoe kritisch alle processen en data zijn. Bepaal aan de hand daarvan hoe vaak je back-ups draait. Bij kritische data zal dit dagelijks tot meerdere keren per dag moeten zijn.
5. Gebruik lange wachtwoorden én tweefactorauthenticatie
Gebruik de combinatie van een lang wachtwoord en tweefactorauthenticatie (2FA). Daarbij heb je een tweede methode nodig om in te loggen in het bedrijfsnetwerk, bijvoorbeeld een code op je mobiele telefoon.
6. Zorg voor een calamiteitenplan
Maak van tevoren een calamiteitenplan met beslisschema’s etc. Bij een cyberincident is daarvoor geen tijd meer. Wie mag bij welke data en wie mag welke beslissingen nemen? Is er vervolgens sprake van een cyberincident? Koppel direct alles van internet af en huur een digitale expert in, zodat de onderneming zo snel mogelijk weer operationeel is.
Aanvullende tips
Na of naast het plukken van het lagerhangende fruit - de quick wins - zijn ook de volgende tips geen overbodige luxe om de digitale veiligheid van een onderneming op een acceptabel niveau te krijgen. Deze tips gaan een slag dieper.
7. Zorg voor meer IT-overzicht
Veel middelgrote tot grote bedrijven gebruiken vaak een wildgroei aan software-applicaties. Zo blijft onduidelijk wat er exact beschermd moet worden. Zij zouden vaak zwaarder moeten investeren in een veilig netwerk, veilige databases en IT-personeel. En daarnaast niet moeten schromen om cybersecurity-expertise in te huren. Zo blijft cybersecurity gesynchroniseerd met de laatste ontwikkelingen in cybercrime, want die gaan snel, zeker nu AI mainstream is geworden.
8. Denk niet vanuit silo’s
In grotere bedrijven heerst ook vaak een silomentaliteit: managers en IT’ers zijn vooral gericht op soepel lopende, digitaal ondersteunde bedrijfsprocessen. Maar voor securityspecialisten weegt het voorkomen van cyberaanvallen veel zwaarder. Beide type professionals moeten samenwerken en afwegingen maken vanuit het gedeelde, totale bedrijfsbelang.
9. Op afstand werken: alleen via VPN inloggen
Medewerkers kunnen via het Remote Desktop Protocol vanaf hun thuiscomputer bij alle werkbestanden komen. Dit protocol blijkt in de praktijk een mikpunt van cyberaanvallen. Eis daarom van medewerkers dat zij eerst verbinding maken met een Virtual Private Network (VPN), voordat zij zich aanmelden bij RDP. En bescherm verder RDP-poort 3389 door in de firewall-regels in te stellen dat alleen IP-adressen van een acceptatielijst toegang hebben. Zo kunnen malafide bots deze poort niet meer aanvallen.
10. Maak databeleid wanneer medewerkers voor klanten werken
Elke pc waarop een medewerker of ingehuurde freelancer werkt kan geïnfecteerd worden. Doet zo’n medewerker iets in opdracht van een klant en heeft hij toegang tot het bedrijfsnetwerk van de klant, dan kan een hacker via het infecteren van de pc van deze medewerker toegang krijgen tot het bedrijfsnetwerk van de klant. Dat is natuurlijk het laatste wat je wilt. Denk daarom goed na over wie wel en wie geen toegang krijgt tot de data van een opdracht die jouw organisatie uitvoert bij een klant. Stel ook regels op over welke data medewerkers van klanten mogen opslaan en welke niet.
Cyberveiligheid ook in de grafimedia een taboe
Natuurlijk worden ook in de printmedia-sector talrijke grote en kleine bedrijven aangevallen door hackers. Gemiddeld slaagt een op de vijf hack-aanvallen. We vernemen er alleen weinig over. Uit schaamte en uit angst voor reputatieschade en mogelijke claims houden veel slachtoffers van een cyberincident liever stil dat ze gehackt zijn en dat systemen niet meer werken en klantdata op straat liggen. Maar natuurlijk blijft niet alles onder de pet. Eind 2023 kwam een leverancier van printers in het nieuws nadat het bedrijf werd getroffen door datadiefstal. Zo ook een bekende Duitse machinebouwer, die bestanden verloor na een veiligheidslek in de datatransfersoftware van een leverancier. De autoriteiten werden ingelicht, er werd aangifte gedaan en klanten werden geïnformeerd.
Tekst: Wim Danhof
Wil je het gedrukte PRINTmatters Magazine ontvangen? Neem dan een proefabonnement!