Door de ontwikkelingen op ICT gebied is een nieuwe snelgroeiende vorm van criminaliteit ontstaan. Cyber criminelen gebruiken het internet om de identiteit van individuen te stelen, in te breken in hun accounts en daarnaast proberen zij hun slachtoffers te verleiden om persoonlijke en gevoelige informatie te verstrekken en/of infecteren zij computers met zogenaamde ‘malware’ - kwaadaardige software.

Criminele organisaties hebben complexe methoden ontwikkeld om het internet voor hun activiteiten te gebruiken waarmee ze hun wederrechtelijk verkregen voordeel in een zo kort mogelijk tijdsbestek maximaliseren. Een groot aantal organisaties en personen is slachtoffer geweest van Cyber Crime. Volgens een uitvoerig report van Detica, in samenwerking met het Britse Office voor Cyber Security and Information Assurance van het Cabinet Office, worden de kosten van Cyber Crime binnen het Verenigd Koninkrijk geschat op 27 biljoen Engelse ponden per jaar. Opmerking verdient dat niet elke zaak wordt gerapporteerd en het werkelijke bedrag ongetwijfeld nog veel hoger ligt. 

Zelfs de grootste en technologisch meest geavanceerde bedrijven kunnen slachtoffer worden van een Cyber Crime aanval. In de afgelopen maanden is er een aantal zaken aan het licht gekomen. Een daarvan was afgelopen oktober de poging om de iCloudservers van Apple China binnen te dringen om zodoende de gebruikersnamen, wachtwoorden en privéinformatie te verkrijgen toen Apple haar nieuwe model iPhone op de markt bracht. In november kampte Sony Pictures met een omvangrijke hack die ervoor zorgde dat pc's van personeelsleden wereldwijd onbruikbaar waren en een aantal dagen geleden werd bekendgemaakt dat dat de Keniaanse politie 77 Chinezen heeft gearresteerd wegens het voorbereiden van een aanval op de communicatiesystemen in het Afrikaanse land. Kortom, Cyber Crime is omvangrijk en de daarbij gebruikte methoden en technologieën worden steeds geraffineerder.

De vraag rijst hoe dit soort praktijken kan worden voorkomen en daarmee schade als gevolg van een data lek of inbreuk zoveel mogelijk kan worden beperkt. Goede beveiliging om cybercriminelen buiten de deur te houden is essentieel en dit gaat over het algemeen verder dan alleen het installeren van software in de vorm van een virusscanner. Hierna volgt een aantal aandachtspunten en aanbevelingen.

De Britse overheid heeft onlangs een “Cyber Essential Scheme” geïntroduceerd. Dit verplicht dat ieder bedrijf of instelling die vanaf 1 oktober 2014 een contract met de rijksoverheid sluit gecertificeerd moet zijn. De certificering ziet op het verwerken van persoonsgegevens bij het gebruik van ICT diensten. Hiermee wordt een duidelijk signaal aan organisaties afgegeven om de basisvoorzieningen geregeld te hebben om zodoende het risico op cyber aanvallen zo veel mogelijk te beperken. De focus van dit “Cyber Essential Scheme” ligt op de volgende 5 punten: 

  1. gebruik firewalls en internet gateways – deze zijn ontwikkeld om ongeautoriseerde toegang tot bedrijfs- of particuliere netwerken te voorkomen. Voor een optimale werking is het van belang dat steeds de meest actuele versies en instellingen worden gebruikt; 
  2. veilige configuratie – dit betekent dat de organisatie steeds die instellingen gebruikt die het meest bijdragen aan de veiligheid van haar netwerk met inachtneming van de behoeften die de organisatie op dit gebied heeft; 
  3. toegangscontrole – de toegang tot (delen van) het netwerk kan op verschillende niveaus worden geregeld, zodat iedereen bij die informatie kan waarvoor hij is geautoriseerd; 
  4. bescherming tegen malware – dit wordt bereikt door het gebruiken van virusscanners en bescherming tegen malware en het continu up-to-date houden daarvan, en
  5. patchmanagement – dit zorgt ervoor dat de laatste versies van softwareapplicaties, waaronder ook patches die door de leverancier van de software ter beschikking worden gesteld, te allen tijde zijn geïnstalleerd. 

Het behoeft geen nadere uitleg dat de implementatie van deze aandachtspunten het risico op een cyberaanval, en dan zeker de minder professionele, aanzienlijk kan verminderen.

Organisaties kunnen daarnaast ook de impact van cyber crime verminderen door het werk frequent op verschillende locaties op te slaan. De cybercriminelen gebruiken tegenwoordig regelmatig zogenaamde ‘ransom ware’. Dit is een type malware dat criminelen gebruiken dat vervolgens de computersystemen van de aangevallen organisatie aantast door middel van versleuteling. Vervolgens wordt er losgeld gevraagd om de encryptie waarmee de criminelen de data van de aangevallen organisatie hebben versleuteld ongedaan te maken. Betaling is echter niet altijd meer noodzakelijk als er elders een back-up staat van de gehackte informatie en de applicaties. Van een aangetast systeem kan bovendien een zogenaamde nieuwe ‘image’ worden gemaakt en de aangetaste data kunnen worden hersteld. 

Het opleiden van personeel is van doorslaggevend belang. Naast het maken van back-ups, moeten organisaties ervan zijn doordrongen dat het klikken op links, URLs, etc. risico’s oplevert. Daarnaast is het hebben van een ‘clean desk beleid’ en het gebruiken van zogenaamde sterke wachtwoorden die regelmatig worden gewijzigd van groot belang. Dergelijke protocollen zijn niet technisch, kosten relatief weinig geld en zijn vaak effectief. 

Computers en netwerken zullen moeten worden geüpdate met de laatste softwarepatches en goed moeten worden geconfigureerd. Persoonsgegevens moeten worden afgeschermd en zaken als bankgegevens en creditcardinformatie moeten regelmatig worden gecontroleerd op ongebruikelijke of ongeautoriseerde transacties.

Het is van groot belang dat er een draaiboek is voor het geval er sprake is van een cyberaanval of inbreuk op het computernetwerk. Zo’n draaiboek zorgt ervoor dat de organisatie eerder reageert op een incident of een gecompromitteerd netwerk. Daardoor worden de gevolgen en de duur van zo’n inbreuk verkleind. Het is immers van het grootste belang dat er zo snel mogelijk wordt opgetreden en het hebben van een draaiboek voorkomt dat er onnodig tijd verloren gaat en beperkt de schade. De werking van een draaiboek moet worden getest om zodoende de zwakke plekken op te sporen en vast te stellen of het werkt ingeval van een cyberaanval. Ook is het mogelijk om zogenaamde goedwillende hackers in te huren die de beveiliging en de kwetsbaarheden van het netwerk testen. 

Vanzelfsprekend is het ook van belang om bij het schrijven van een draaiboek goed juridisch advies in te winnen over wat er moet worden gedaan als er sprake is van een cyberaanval en aan welke juridische randvoorwaarden het draaiboek moet voldoen. Dit geldt ook wanneer er door de organisatie mededelingen worden gedaan aan derden met een verklaring over een data lek die het gevolg is van een succesvolle cyberaanval. Het is dan raadzaam om eerst juridisch advies in te winnen om te voorkomen dat een dergelijke mededeling de situatie niet (nog) erger maakt.

In een aantal gevallen kan het bovendien nodig zijn dat een cyberaanval aan de bevoegde autoriteiten wordt gemeld. In het Verenigd Koninkrijk zijn dat onder andere de ICO, Action Fraud (het nationale meldpunt voor fraude en internetcriminaliteit) en de politie.

In dit artikel wordt een aantal basale en praktische stappen beschreven dat ervoor zorgt dat de consequenties van een eventuele cyberaanval worden beperkt of worden voorkomen. Hoewel cybercriminelen hoogontwikkelde technieken gebruiken kan de voorkoming van een aanval betrekkelijk recht-toe-recht-aan zijn. Voorkomen is immers beter dan genezen. Gewapend met concreet advies gecombineerd met gezond verstand, kunnen veel aanvallen worden voorkomen. Hoe meer hindernissen uw organisatie opwerpt, hoe groter de kans dat de criminelen een aan de deur van uw organisatie voorbij gaan en het bij de buren proberen.