Nederlandse bedrijven makkelijk doelwit voor ransomware

Hackers worden door medewerkers binnengelaten

Geschreven door Sophie van der Kroon en Orly Polak

In dit digitale tijdperk worden we als bedrijf, overheid en als mens steeds slimmer, maar ook steeds kwetsbaarder. Cybercrime ligt op de loer en wordt op wereldwijd niveau steeds actueler. We worden er regelmatiger en op grotere schaal mee geconfronteerd waardoor ook de gevolgen toenemen. Ondanks de actuele waarde van deze dreiging wordt er nog te weinig aan gedaan om aanvallen te voorkomen, zowel door de overheid, bedrijven als particulieren. We zoomen dieper in op de achterliggende redenen bij werknemers waardoor er niet voldaan wordt aan de eisen van digitale veiligheid en hoe je dit proces kan doorbreken.

Op 12 mei 2017 werd de wereld opgeschrikt door de grootste cybercrime aanval ooit. In zeker 150 landen werden talloze ICT-systemen en medische instellingen slachtoffer van ransomware-aanval ‘Wannacry’. Ruim 200.000 computers werden ‘gegijzeld’ en pas weer vrijgegeven na het betalen van losgeld. In Nederland bleef de schade beperkt met maar één melding van Q-park. Afgelopen dinsdagmiddag, 27 juni kwam Nederland er minder goed vanaf. Een nieuwe grootschalige, internationale ransomware aanval, genaamd Petya, wist Nederland binnen te dringen bij de Rotterdamse haven, pakketbezorger TNT en medicijnfabrikant MSD.

Het Potomac Institute for Policy Studies rapporteerde naar aanleiding van eigen onderzoek aan de directeur van de Nationaal Coördinator Terrorismebestrijding en Veiligheid afgelopen dinsdag al dat er te weinig wordt geïnvesteerd in cyber security en dat Nederland nog lang niet cyber ready is . Hoewel de oorzaken en gevolgen van cybercrime duidelijk zijn, wordt er niet alleen door de overheid, maar ook door bedrijven te weinig maatregelen genomen om internet veiligheid te verhogen. Er heerst te weinig bekendheid over cybercrime op de werkvloer, terwijl het grootste risico ten aanzien van veiligheid juist door het gedrag van medewerkers wordt gevormd. Bij de meest recente ‘Petya’-aanval sloop het virus bij computers binnen waarop de laatste Windows update nog niet was geïnstalleerd. Deze update had Windows al enkele maanden geleden uitgebracht ter reparatie van een beveiligingsgat. Echter, de meeste medewerkers zien niet in hoe belangrijk deze updates zijn.

Onze kwetsbaarheid voor cybercrime begint al bij het management van bedrijven. Zij geven niet genoeg prioriteit aan cyber security waardoor er onvoldoende cyber awareness onder alle medewerkers heerst. Het gevolg is dat medewerkers zich onvoldoende bewust zijn van de risico’s, onvoldoende kennis hebben en niet risicobeperkend weten te handelen. Zo worden phishing mails niet herkend, updates niet tijdig uitgevoerd of wordt er gebruik gemaakt van onveilige internetverbindingen. Enerzijds is dit topic soms te complex om te begrijpen wat er aan gedaan moet worden. Anderzijds wordt de noodzaak of ernst van de situatie nog te weinig benadrukt vanuit het management van een bedrijf. Medewerkers zijn zich hierdoor onvoldoende bewust van de gevaren en risico’s ten aanzien van cybercrime. Een groot deel van de bedrijven heeft vaak niet eens door dat ze gehackt zijn. De inlichtingendienst AIVD heeft bij één op de drie bedrijven uit de top-25 van meest innovatieve bedrijven al eens spionage ontdekt terwijl zij dit zelf nog niet wisten .  

Het informeren van personeel ter preventie van cybercrime is een goed begin, maar lang niet voldoende. Werknemers weten vaak wel wat ze zouden moeten doen, zoals regelmatig back ups maken, maar doen dit toch niet. Om digitaal veilig te kunnen werken moet als eerste het bestuur van een bedrijf het voortouw nemen in cyber secure werken en het goede voorbeeld uitstralen naar de rest van het bedrijf. Digitale veiligheid hoort één van de belangrijkste waarden van het bedrijf te zijn. Stel daarbij regels op met betrekking tot cyber security en maak die kenbaar aan al het personeel. Belangrijker nog, zorg ervoor dat het management zich aan die regels houdt.

Hierna volgt het veranderen van de houding en het gedrag van werknemers ten opzichte van digitale veiligheid. Eenmalige communicatieve uitingen hierin zijn te beperkt om gedrag te veranderen. Gedragsverandering bereik je alleen door de gehele mindset te veranderen van zowel medewerkers als leidinggevenden. Leidinggevenden moeten continu blijven sturen op bewustzijn over internetveiligheid waardoor dit een leidend thema met bijbehorende normen en waarden wordt. Herhaling van communicatieve prikkels is hierbij van groot belang. Het gaat hierbij om het regelmatig doorgeven van dezelfde boodschap; elke werknemer is verantwoordelijk voor de digitale veiligheid van het bedrijf. Werknemers prikkelen kan op tal van manieren. Het belangrijkste is dat je het brein van de medewerkers gaat conditioneren, waardoor de mindset verandert. Dit kan door middel van campagnematige acties. We geven alvast een paar voorbeelden.

1. Bouw een campagne en sterke brand omtrent cyber secure werken. Maak het thema herkenbaar door een geschikte term, slogan en beeldmerk te gebruiken die ernaar refereren. Communiceer aan het personeel dat je begint met een campagne voor veilig digitaal werken en op welke manier je die gaat uitvoeren.

2. Zorg ervoor dat het thema visueel aanwezig is in het pand. Deel bijvoorbeeld beveiligde USB-sticks uit, print je beeldmerk met waarschuwende tekst op koffiemokken. Communiceer de boodschap via informatieschermen, posters en kaarten door het bedrijf heen.

3. Bedenk een guerilla-actie. Een voorbeeld, stuur nep phishing mails met een linkje naar je personeel. Als ze erop klikken zien zij dat ze ‘gehackt’ zijn, en zie jij welk deel van je personeel hier vatbaar voor is. Tegelijkertijd maak je je medewerkers bewust van het gevaar van één klik. Nog een voorbeeld, laat een gast hacker alle zwakke plekken binnen het bedrijf opzoeken en toon dit op een visuele manier aan je personeel. Of laat een acteur door het bedrijf heen lopen en alle rondslingerende hardware ludiek ophalen en naar een verzamelpunt binnen het bedrijf brengen. Dit kunnen onbeheerde objecten zijn zoals harde schijven, usb sticks, toegangspasjes en telefoons.

4. Maak van cyber security een vast onderwerp op de vergaderagenda. Bespreek waarom het belangrijk is, wat de actuele status van het bedrijf is, hoe de veiligheid verhoogd kan worden, welke maatregelen genomen moeten worden en wie hierin welke verantwoordelijkheid en taken heeft.

Cruciaal in het veranderen van de mindset is het uitspreken van de verwachting: elke medewerker is verantwoordelijk voor de internetveiligheid van het bedrijf. Leidinggevenden zijn vaak de dragers van gedragsverandering. Zij kunnen ervoor zorgen dat er maatregelen genomen worden en dat cybercrime in al haar aspecten bespreekbaar is en blijft. Met deze acties wordt cybersecurity top of mind, waardoor iedereen erover nadenkt en veilig werken opneemt in zijn of haar arbeidsethos. Elke werknemer moet de risico’s herkennen en daarbij zijn of haar eigen verantwoordelijkheid voelen. Te vaak nog hebben werknemers het idee dat de internetveiligheid van een bedrijf alleen de taak van de werkgever of van de ICT-afdeling is. De digitale veiligheid van een bedrijf ligt in de handen van elke werknemer. Willen we cybercrime beheersen? Dan is veranderen van de mindset essentieel.