Verizon Business: voor een succesvolle cyberverdediging moeten bedrijven de basis op orde hebben

Verizon Business presenteerde vorige maand zijn veertiende editie van het Data Breach Investigations Report (DBIR). Infosecurity Magazine sprak met Eric Krol, Security Solution Executive bij Verizon. Deze Nederlander is al sinds 2010 werkzaam bij Verizon Business en heeft meer dan dertig jaar ervaring op het gebied van security.

"Om nog maar te zwijgen over het verschil in beveiligingscontroles.We zien dat veel bedrijven met diverse uitdagingen worden geconfronteerd nu ze veel van hun bedrijfsfuncties naar de cloud hebben verplaatst."

Dus de mens is de zwakke schakel in de cyberverdediging van organisaties?

“Het is duidelijk dat de mens een aantrekkelijk doelwit is voor criminelen. Niet voor niets speelde bij 85% van de datalekken menselijk handelen een rol. Vooral inloggegevens zijn interessant voor cybercriminelen. En dan niet als doel op zich, maar als een handige manier om een organisatie te infiltreren. Aanvallers die in staat zijn een geloofwaardige phishing-e-mail op te stellen, lukt het steeds vaker om inloggegevens te stelen. Het percentage phishing-aanvallen is dan ook met 11% toegenomen. Uit simulaties blijkt dat de click-rate vrij laag is, maar dat die door extra social engineering snel kan stijgen. Een voorbeeld hiervan is dat cybercriminelen niet alleen een phishing-mail sturen, maar dat ze het slachtoffer vervolgens ook bellen om te vragen of ze de schadelijke bijlage in die mail kunnen openen.”

En ransomware dan? Onlangs werd de Colonial Pipeline in Amerika nog platgelegd en de aanvallen op Nederlandse universiteiten liggen maar al te vers in het geheugen.

“Ransomware is ook sterk toegenomen en blijkt nog steeds een lucratief verdienmodel. Bij één op de tien datalekken is er sprake van ransomware, dit is twee keer zo vaak als afgelopen jaar. We zien ook dat ransomware zich heeft aangepast. Nieuwe ransomware-varianten stelen eerst de data en encrypten die daarna. Vroeger werd alleen de data versleuteld. Daarom is ransomware twee keer zo succesvol. Slachtoffers moeten namelijk zowel betalen om de data terug te krijgen als om de sleutel tot de data te krijgen. De aanval op de pijplijn is hier een goed voorbeeld van. Op basis van de data denk ik niet dat wij het hier in Nederland veel beter op orde hebben. Er moet hier meer aandacht voor komen en er zouden meer assessments en simulaties moeten plaatsvinden. We moeten wel een onderscheid maken tussen opportunistische hackers, zogeheten script kiddies, en staatshackers. Het is vooral die laatste groep die zich richt op kritische infrastructuur.”

Hoe kunnen organisaties zich hier het beste tegen verdedigen?

“Ze moeten zorgen dat ze de basis op orde hebben. Cybercriminelen zijn nog altijd uit op het ‘laaghangende fruit’. Ze hoeven niet eens een zeer complexe aanval uit te voeren om succesvol te zijn. Je kan de slagingskans een stuk kleiner maken door simpele controles te implementeren. Zorg in ieder geval voor multifactor-authenticatie. Daarnaast moeten gebruikers alleen toegang hebben tot informatie die ze echt nodig hebben. Bedrijven moeten het niet alleen technisch goed regelen, maar er ook met monitoring op toezien dat alles goed georganiseerd is. Bij het recente datalek van de GGD moest er bijvoorbeeld snel worden opgeschaald. Daardoor hadden mensen toegang tot informatie die niet voor hen bestemd was.”

Tot slot, zie je nog verschillen tussen verschillende soorten bedrijven en sectoren?

“Zeker, er zijn grote verschillen tussen de verschillende branches. In de financiële en verzekeringssector bijvoorbeeld had 83 procent van de gelekte data betrekking op persoonlijke data. In de professionele, wetenschappelijke en technische dienstverlening was dit slechts 49 procent. En de gezondheidszorg wordt bijvoorbeeld traditioneel geteisterd door persoonlijke fouten, zoals het versturen van documenten naar de verkeerde persoon. We zien ook dat de grotere bedrijven hun verdediging vaak beter geregeld hebben dan kleine bedrijven. Dit is niet gek, omdat zij hier vaak meer budget en geschikt personeel voor hebben. Ik raad daarom alle organisaties aan zich te richten op de dreigingen die voor hen het meest relevant zijn.”