Inzichten uit de wereld van cybersecurity: maak security awareness topprioriteit
Het is onbetwistbaar dat cybersecurity voor alle organisaties en sectoren noodzakelijk is. De toenemende digitalisering binnen het bedrijfsleven en de overheid biedt niet alleen nieuwe mogelijkheden en kansen, het zorgt ook voor nieuwe kwetsbaarheden. Een fabrikant die binnen zijn toevoerketen IoT-apparaten met het internet verbindt, verleent hiermee ongekende overzichten en inzichten. Tegelijkertijd gaan ook allerlei deuren open voor cybercriminelen.
Elke technologische innovatie in de geschiedenis van de mensheid leidde tot nieuwe risico’s. Dat mag ons er niet van weerhouden te blijven innoveren. Maar we moeten wel waakzaam blijven. Inzicht in de risico’s is cruciaal om ze tot een minimum te beperken. Beveiligingsonderzoek is hierbij onmisbaar.
De menselijke factor speelt nog altijd een grote rol
Veel mensen denken dat hackers en andere cybercriminelen technologische experts zijn die zeer geavanceerde technieken gebruiken voor netwerktoegang. De werkelijkheid is dat het leeuwendeel van alle beveiligingsincidenten en datalekken (74%) te wijten is aan de menselijke factor. We hebben het dan over menselijke fouten, social engineering en misbruik van speciale toegangsrechten of gestolen aanmeldgegevens.
Kortom, mensen maken fouten of laten zich manipuleren. Op die manier stellen ze het netwerk bloot aan kwaadaardige handelingen van cybercriminelen. Beveiligingsincidenten en datalekken waarbij de menselijke factor een hoofdrol speelt, blijven alomtegenwoordig. Ondanks de prioriteit die bedrijven de afgelopen jaren aan voorlichting en beveiligingstraining geven.
Social engineering-aanvallen zijn in opmars
Een van de meest voorkomende manieren die cybercriminelen inzetten voor misbruik van de menselijke factor, is social engineering. Deze manipulatietechnieken sporen netwerkgebruikers aan om cybercriminelen toegang tot persoonlijke informatie, het netwerk of gevoelige data te geven. De toename van het aantal social engineering-incidenten komt voornamelijk door een verdubbeling van het gebruik van pretexting in het afgelopen jaar.
Pretexting is een vorm van social engineering waarbij cybercriminelen zich voordoen als een collega of een medewerker van een vertrouwde organisatie. Het doel is het lospeuteren van gevoelige informatie bij netwerkgebruikers. De toenemende effectiviteit van pretexting komt hoogstwaarschijnlijk doordat deze aanvallen steeds geavanceerder zijn. Deze ontwikkeling is vooral zorgelijk door de komst van nieuwe technologieën, zoals generatieve AI. De natural language processing-mogelijkheden (NLP) hiervan zijn te gebruiken om de spraakpatronen van mensen te imiteren. Deze vorm van misbruik van generatieve AI is nieuw en komt daarom nog niet in het laatste Data Breach Investigations Report voor. Het is niet verrassend als deze incidenten toekomstige edities wel halen.
Het belang van consistente beveiliging
Pretexting wordt vaak gebruikt voor Business E-mail Compromise-aanvallen (BEC). Hierbij kapen cybercriminelen een zakelijke e-mailaccount en nemen de identiteit van de eigenaar over. Het gemiddelde bedrag dat cybercriminelen buitmaken met BEC-aanvallen is de afgelopen jaren opgelopen tot ongeveer 46.000 euro.
Toch is BEC niet het enige type cyberaanval dat organisaties op steeds hogere kosten jaagt. Zo verdubbelden de gemiddelde kosten van ransomware-incidenten de afgelopen twee jaar. De financiële schade bedroeg in 95% van alle gevallen tussen de 928.000 euro en 2,09 miljoen euro.
De mensen met toegang tot de meest vertrouwelijke informatie van organisaties, blijken vaak het meest kwetsbaar voor cyberaanvallen. We hebben het dan over senior managers. Hoewel bedrijven in cybersecurity investeren en hun bedrijfskritische infrastructuur verbeteren, maken ze regelmatig uitzonderingen voor senior managers. Zo ondermijnen ze de bedrijfsbrede beveiliging. Bedrijven die effectieve bescherming tegen cyberbedreigingen willen bieden, moeten beveiligingsprocedures zonder uitzonderingen toepassen.
Voorkom misstappen op beveiligingsgebied
Security awareness moet topprioriteit blijven voor bedrijven. Nieuwe onderzoeksresultaten benadrukken nogmaals hoe belangrijk het is dat security-teams en leveranciers van beveiligingsoplossingen samenwerken met organisaties en hun werknemers. Dit zorgt voor de beste bescherming van bedrijfsmiddelen. Op die manier voorkomen organisaties dat misstappen op beveiligingsgebied innovatie in de weg staan.
Massimo Peselli is, Senior Vice President en Chief Revenue Officer van de Global Enterprise & Public Sector bij Verizon Business
Meer over
Lees ook
Orange Cyberdefense: deze 7 veelgemaakte fouten maken OT-omgevingen kwetsbaar
Volgens onderzoek van Orange Cyberdefense was de maakindustrie het afgelopen jaar het grootste doelwit van cyberaanvallen: bijna 33 procent trof deze sector. Al jaren is deze industrie het vaakst getroffen. Jeroen Wijnands, Head of OT Security bij Orange Cyberdefense, ziet bij het gros van deze bedrijven dezelfde misstappen. Dit zijn volgens hem d1
Zerto: Afsluiten van cyberverzekeringen lastiger vanwege toenemende complexiteit en regelmaat van aanvallen
Zerto, een dochteronderneming van Hewlett Packard Enterprise, ziet voor 2024 drie belangrijke trends rond cybersecurity en het dreigingslandschap. De eerste is dat de toenemende complexiteit en regelmaat van cyberaanvallen het steeds moeilijker zullen maken voor bedrijven om een goede cyberverzekering af te sluiten. De tweede trend die Zerto opmer1
Proofpoint's 2024 State of the Phish rapport: 69% van Nederlandse werknemers gokt met security van organisaties
Proofpoint, publiceert vandaag de tiende editie van het jaarlijkse State of the Phish-rapport. Hieruit blijkt dat meer dan twee derde (69%) van Nederlandse werknemers hun organisaties bewust in gevaar brengt. Dit leidt tot ransomware- of malware-infecties, datalekken of financieel verlies. Ondanks een lichte daling van succesvolle phishing-aanvall1