Je hoort het overal: datalekken, hacks en cyberaanvallen. Maar wat klopt er eigenlijk van wat we denken te weten?
Als cyberspecialist en spreker werk ik dagelijks met organisaties die te maken hebben met datalekken en cyberincidenten. Vorige week werd ik nog geïnterviewd door het ANP over de recente hacks bij onder andere Basic Fit.
Wat me daarbij opvalt: ik hoor vaak dezelfde vragen en opvattingen. Deze opvattingen zie ik overal terug: thuis, op het werk en in hoe we dagelijks omgaan met digitale veiligheid.
In deze blog neem ik er vier onder de loep.
1.“Datalekken lijken vaker voor te komen dan vroeger”
Het lijkt alsof er meer datalekken en cyberaanvallen zijn, maar wat vooral verandert is de zichtbaarheid en aandacht. Doordat grote bedrijven worden gehackt, die veel (persoonlijke) data bewaren, wordt het breed uitgemeten in de pers en lijkt het daardoor of er nu meer zijn dan ooit.
Uitgelicht als quote:
Gina: Het maatschappelijk belang van goede IT beveiliging en cyberveilig gedrag groeit, dat zie je door de aandacht in de pers. Dat zij het als nieuws oppakken, betekent dat het voor iedereen belangrijk is. En dat kan ik alleen maar toejuichen. Alleen door samen en openlijk hierover te praten kunnen we als Nederland digitaal weerbaarder worden.
2. “Mijn gegevens zijn waarschijnlijk al eens gelekt, wat maakt het nog uit?”
Een veelgehoorde opvatting onder consumenten;
“Wat maakt het nog uit, hackers hebben mijn gegevens toch al".
Ja, de kans is heel groot dat jouw e-mailadres en andere gegevens al in eerdere datalekken voorgekomen zijn, toch loont het wel de moeite om te checken WELKE gegevens hackers precies van je hebben.
Hebben ze ook je bankgegevens?
Je telefoonummer?
Dan weet je dat je extra waakzaam moet zijn op verdachte telefoontjes of sms-jes van je ‘bank’.
Gegevens uit datalekken zijn geen losse puzzelstukjes. Hackers voegen ze samen om complete profielen op te stellen. Deze data wordt door hackers weer doorverkocht aan andere criminelen en oplichters.
Een aantal veelvoorkomende vormen van oplichting met gegevens uit datalekken:
- Identiteitsfraude
- Bankhelpdeskfraude
- Ransomware aanval
- Business e-mail compromise
Check welke gegevens van jou gelekt zijn op haveibeenpwned.com of via politie.nl/checkjehack.
Phishing sms. Tip: kijk altijd goed naar de link, voordat je klikt.
3. “Als de techniek op orde is, zijn we veilig”
Goed beveiligde systemen zijn zeker nodig om hackers te weren, maar het gevaar zit juist vaak in het gedrag van mensen waardoor een hack of datalek ontstaat. Zie ook de casus van de hack bij Odido, waar het lek ontstond doordat de criminelen in konden loggen op het account van individuele klantenservicemedewerkers. Het wachtwoord wisten ze per e-mail te verkrijgen via phishing, door het ontfutselen van inloggegevens.
Vaak geeft een medewerker onbewust toegang. "Net als met de beveiliging van een huis geldt: je kunt het moeilijk maken voor criminelen, maar als je de sleutel geeft, is die beveiliging zinloos.” vertelde ik vorige week aan het ANP over de hack op Basic Fit. Net als met de beveiliging van een huis geldt: je kunt het moeilijker maken voor criminelen om in te breken, maar helemaal voorkomen gaat niet.
4.“Cyberaanvallen richten zich vooral op grote organisaties”
Het lijkt logisch om te denken dat vooral grote bedrijven doelwit zijn. Zij hebben immers veel data en staan vaker in de schijnwerpers. Kleine organisaties zijn vaak kwetsbaarder voor cyberaanvallen, omdat zij minder tijd, kennis en capaciteit hebben voor structurele cyberveiligheid.
En dat weten cybercriminelen ook.
Voor hen ben je niet minder interessant, maar juist een makkelijker doelwit. Daarnaast verandert er op dit moment veel. Met de komst van de NIS2-wetgeving worden steeds meer organisaties verplicht om hun digitale weerbaarheid op orde te brengen. Ook kleinere organisaties krijgen hiermee te maken, direct of indirect via ketenpartners.
Cyberveiligheid is daarmee niet langer iets wat je kunt uitstellen.
Het wordt een randvoorwaarde om te kunnen blijven samenwerken en ondernemen.
Tijd om anders te kijken naar cyberveiligheid
We denken vaak dat cyberveiligheid iets technisch is. Iets wat geregeld moet worden, afgevinkt kan worden. Maar zoals je ziet, zit de realiteit anders.
Het zijn juist opvattingen zoals hier besproken die bepalen hoe we omgaan met risico’s. En daarmee ook hoe kwetsbaar we zijn.
Wat we vooral moeten creëren met elkaar is een (bedrijfs)cultuur waarin cyberveilig gedrag wordt gestimuleerd, waar geen angst en schaamte hangt rondom dit onderwerp. Liever een keer te veel melden dan twijfelen en toch klikken.
De vraag is dus niet óf dit speelt binnen jouw organisatie, maar hoe je ermee omgaat.
Wil je weten hoe cyberbewust jouw organisatie echt is?
Of waar de grootste risico’s zitten?
Neem contact op. We denken graag met je mee.
