Cybercrime - omdat het kan
Bedrijven worden regelmatig geconfronteerd met weglekkende bedrijfsgeheimen. Dat kan grote schade tot gevolg hebben. De bescherming van deze geheimen is dan ook een van de belangrijkste prioriteiten voor 2019.
Een eerste aanzet hiervoor is de Wet bescherming bedrijfsgeheimen die in oktober is aangenomen door de Eerste Kamer. Maar organisaties kunnen zelf ook maatregelen nemen om hun Intellectueel Eigendom te beschermen.
Uit het ‘Cybersecurity Beeld’ van het NCSC en het jaarverslag van de AIVD komt duidelijk naar voren dat cybercrime op de nationale agenda staat. Cybersecurity versterken op nationaal niveau is niet alleen noodzakelijk voor de bescherming van de vitale belangen van de Staat der Nederlanden, maar ook ter bescherming van het intellectueel eigendom van het Nederlandse bedrijfsleven. Zaken als cyber warfare en gesjoemel met verkiezingen zijn wellicht de meest in het oog springende voorbeelden van cybercrime, maar voor de BV Nederland is het vooral interessant dat er ook wordt gejaagd op intellectual property (IP). En daarmee raakt cybercrime - wellicht voor het eerst - voelbaar de core business.
Bedrijfsgeheimen
In de afgelopen maanden is in de media veel aandacht besteed aan de Wet bescherming persoonsgegevens en haar opvolger de AVG, maar in oktober is in Nederland ook de Wet bescherming bedrijfsgeheimen in werking getreden. Dat was niet voor niets. Bedrijven zijn voor hun concurrentiepositie en innovatief vermogen afhankelijk van de mogelijkheid om bepaalde informatie geheim te houden. Waarom investeren in de tijdrovende ontwikkeling van nieuwe producten of diensten als vervolgens een ander er onmiddellijk mee aan de haal gaat?
Nu is diefstal van intellectueel eigendom op zich niets nieuws. Maar digitalisering en globalisering maken dit soort criminaliteit wel steeds makkelijker. Bovendien worden de economische gevolgen ervan groter. Om dat te beteugelen, is een wettelijk kader nodig. Het Europees Parlement heeft daarvoor in 2016 een richtlijn uitgevaardigd die ‘de bescherming van niet-openbaar gemaakte knowhow en bedrijfsinformatie (bedrijfsgeheimen) tegen het onrechtmatig verkrijgen, gebruiken en openbaar maken daarvan’ moet regelen. De Wet bescherming bedrijfsgeheimen is een uitvloeisel hiervan. De wet definieert een bedrijfsgeheim als informatie die geheim is, daarmee ‘handelswaarde’ heeft en dus geheim gehouden dient te worden. Door de wettelijke bescherming wordt het makkelijker voor bedrijven om concurrenten aan te pakken die met hun bedrijfsgeheimen aan de haal gaan.
Oorzaken en maatregelen
Helaas laat de misdaad zich (per definitie) niet weerhouden door wettelijke kaders. De strategische waarde van intellectueel eigendom wordt vrijwel geheel bepaald door de mate waarin andere personen of partijen er niet over kunnen beschikken. Diefstal van IP is dus niet alleen aantrekkelijk om er zelf rijker van te worden, maar ook om anderen waarde te ontnemen. Het is een economisch wapen dat zowel voor individuele bedrijven als voor statelijke actoren buitengewoon aantrekkelijk is. Een wet die dit probeert te reguleren, is onmisbaar om tot vervolging over te kunnen gaan. Maar als je als organisatie fors in IP hebt geïnvesteerd, wil je toch liever voorkomen dat je met dit soort praktijken te maken krijgt.
Om te bepalen wat je tegen IP-diefstal kunt doen, is het goed je af te vragen waarom cybercrime überhaupt nog zo veel in het nieuws is. De digitale wereld is niet anders dan de fysieke wereld, in de zin dat criminaliteit nooit volledig is uit te bannen. Waar waarde is, is immers diefstal. Wat vreemd is aan criminaliteit in de digitale wereld is dat de meeste cybercrime schijnbaar weinig oplevert. Toch gebeurt het, want het is laagdrempelig, eenvoudig en de pakkans is gering. Waarom is er zo veel cybercrime? Omdat het kan.
Simple Things First
Het NCSC schreef in het ‘Cybersecuritybeeld 2018’ dat de digitale weerbaarheid van Nederland onder druk staat. Dat komt met name doordat cybercrime veel te makkelijk te realiseren is. Zelfs met heel eenvoudige middelen is het mogelijk toegang te krijgen tot bedrijfsnetwerken. Sociale media maken social engineering een peulenschil, omdat iedereen zijn hele hebben & houden op straat gooit. Technische oplossingen worden niet goed geconfigureerd. Updates niet uitgevoerd. Mensen gebruiken onveilige producten of veilige producten op een onveilige manier. Er worden back-ups gemaakt, maar niet gecontroleerd of die back-ups voldoen. Men stormt de cloud in omdat die nu veilig zou zijn, maar controleert niet wat er in die cloud gebeurt. De meeste bedrijven zijn duidelijk nog onvoldoende opgewassen tegen cybercrime.
Er zijn hele goede oplossingen voor cybersecurity en detectie op het allerhoogste niveau. Denk bijvoorbeeld aan een SOC (Security Operation Center). Hiermee voorkom je weliswaar niet dat je wordt aangevallen, maar het stelt je wel in staat direct maatregelen te nemen zodra je de eerste signalen oppikt die erop wijzen dat iemand je beveiliging heeft weten te omzeilen.
Goede verdediging
Er zijn dus wel degelijk maatregelen te nemen tegen bedrijfsspionage. De Wet bescherming bedrijfsgeheimen biedt nu ook juridisch houvast voor een goede verdediging. Maar noch de wet, noch de beste experts en de slimste technologie, bieden hulp wanneer een organisatie en haar medewerkers de meest basale beveiligingsmaatregelen niet op orde hebben. Zolang daar niets aan verandert, is Intellectueel Eigendom - ook wettelijk gezien - vogelvrij.
Hoe groot dat gevaar is, wordt waarschijnlijk pas duidelijk als een organisatie haar producten onder een andere naam op de markt ziet verschijnen. Als je als organisatie niet wilt dat 2019 het jaar wordt waarin dat gebeurt, is het nu zaak om met de business om tafel te zitten en cybersecurity gezamenlijk bovenaan de agenda te krijgen.
Door er minimaal voor te zorgen dat de basale cybersecurity maatregelen geïmplementeerd zijn, kun je voorkomen dat je kostbare bedrijfsinformatie voor het grijpen ligt.
Fokke Dijksma, CyberSecurity Consultancy Lead bij Thales