“Waar zij zich vroeger vooral richtten op consumenten zien we dat nu vooral bedrijven, overheden en zorginstellingen slachtoffer worden. Criminelen dringen een organisatie binnen, verkennen de boel en gooien vervolgens alles op slot. Inclusief de back-ups.”
Op zo’n moment hebben organisaties vrijwel geen mogelijkheden om terug te keren naar een normale staat en staat men onder druk om te betalen, aldus de directeur van NetPro. Volgens hem is deze aanpak zó succesvol dat sommige organisaties wel tot 5 miljoen euro losgeld betalen om verder te kunnen werken. “Het business model van de criminelen werkt. Hierdoor worden organisaties ernstig verstoord in hun bedrijfscontinuïteit. Daar moet je in een situatie zoals nu met corona echt niet aan denken.”
“Een grote bedreiging is dat personen binnen grote bedrijven ongeautoriseerd toegang krijgen tot data”, zegt directeur Franco Diaz van BearingPoint. “In de media zijn recentelijk veel voorbeelden verschenen waar door middel van ongeautoriseerde toegang de persoonsgegevens van duizenden burgers of klanten zijn gelekt. ‘Wie heeft toegang tot welke gegevens?’ is een vraag waar een organisatie blijvend aandacht voor moet hebben.”
Zwakste schakel
Diaz noemt social engineering als andere bedreiging, “waarbij hackers de mens als zwakste schakel gebruiken om vertrouwelijke informatie en persoonsgegevens te ontnemen om zo toegang te krijgen tot systemen en data. Ook hier geldt dat het creëren van bewustzijn de belangrijkste maatregel is om malafide verzoeken via e-mail, websites of social media te herkennen.”
Hof vult het lijstje voorbeelden aan met wat hij noemt het ‘ontbreken van een digitaal weerbaar fundament’. “We zien dat veel cyberaanvallen succesvol zijn omdat fundamentele zaken niet zijn geregeld. Dat is over heel de wereld zo, niet alleen op de eilanden. Denk daarbij aan ontbrekende updates, slechte wachtwoorden en het ontbreken van scheiding binnen de netwerken. Ook wordt er nog weinig goed gemonitord op vreemde activiteiten binnen het netwerk.”
Organisaties moeten volgens Hof meer dan ooit beginnen met wat hij noemt asset management: ‘Wat heb ik eigenlijk?’ en risk management: ‘Wat zijn mijn grootste risico’s en hoe ver wil ik gaan deze te minimaliseren?’. “Pas dan kunnen organisaties de juiste maatregelen gaan nemen maar vaak ontbreekt deze op risico gebaseerde aanpak. We zagen begin 2020 al dat het ontbreken van dit soort zaken echt pijn kan doen in een wereld waarin regelmatig software lekken opduiken en je dus snel moet weten wat je hebt, en of je het moet repareren, en dat ransomware hoogtij dagen viert. Combineer dat met de enorme aantallen phishing mails die in omloop zijn en het weinige bewustzijn bij organisaties, dan is er nog wel werk aan de winkel.“
Ook de ondersteuning vanuit Europees Nederland kan beter. Volgens Hof is die er wel op hoofdlijnen maar nog lang niet altijd concreet genoeg. “In de crisiscommunicatie is nog een hoop te winnen. Dit gecombineerd met een schaarste aan kennis op de eilanden op het gebied van cybersecurity, dan zie je dat er nog weinig échte samenwerking met de eilanden is en de veiligheid weinig prioriteit heeft. Maar dit is wel cruciaal vanwege de verbinding die de Caribische overheid heeft met de Nederlandse overheid.”
Weerbaarheid
Hoe nu verder? Alle partijen zijn het er wel eens over dat het ‘cyber bewustzijn’ en de kennis vergroot moet worden. En dat alle partijen hun verantwoordelijkheid moeten nemen. “De verantwoordelijkheid voor cybersecurity ligt bij ons allemaal”, zegt Diaz. “Elke schakel: overheid, bedrijven, burgers, kan hieraan in meer of mindere mate bijdragen. Daarmee kunnen we onze weerbaarheid verhogen en Curaçao digitaal veiliger maken.”
De instructie ‘verander het standaard wachtwoord’ wordt lang niet altijd opgevolgd. (foto DbtD)
“Cybersecurity is geen project, maar een proces”, zegt Hof. Eén die je niet kunt winnen of verliezen. Maar je moet wel in beweging blijven en blijven verbeteren. Het is een oneindig spel zonder doel, want beveiliging is nooit een doel op zich. Ik geloof erin dat de eilanden een mooie toekomst tegemoet gaan met vele commerciële kansen. IT gaat hier enorm bij helpen, maar dit moet wel veilig gebeuren. Dit is geen IT probleem maar een maatschappelijk en economisch probleem als hier niet iets mee gedaan wordt. Daarom hoop ik dat organisaties echt wakker worden en dit serieus nemen.”
“Het bewustzijn en de deskundigheid bij alle gebruikers van elektronische data en bij opsporing en vervolging zal eerst op niveau moeten komen”, aldus het OM. “Er zal veel meer moeten worden geïnvesteerd in bewustwording en de kwaliteit van de opsporing omtrent dit thema. We vermoeden dat een deel van cybercrime gevallen nu niet eens als zodanig wordt opgemerkt. Dat vergt een bredere inspanning dan alleen vanuit de justitiële keten, omdat het ook nodig is dat bedrijven en instellingen zelf zich beter weren tegen inbreuken op hun systemen en meer doen aan het opleiden van hun medewerkers. Tot die tijd zullen er weinig aangiftes zijn van cybercrime of cybercrime gerelateerde zaken, waardoor er voor het OM ook weinig opsporingsonderzoeken omtrent dit thema kunnen worden opgepakt.”
(Dit artikel werd eerder gepubliceerd in het Antilliaans Dagblad van 29-06-2020)
