Reportage: 'Cybercrime gaat uit de hand lopen'

Deze week presenteerde Cisco bij de The Hague Security Delta een grootschalig onderzoek over cybercrime in Nederland, dat is uitgevoerd in samenwerking met TNO Cyberlab. Ondanks de aandacht die cybercrime krijgt blijkt nog steeds het grootste probleem te liggen in de bewustwording van de gebruikers over de gevaren van cybercrime. “Security moet de boardroom in.”

Fred Noordam, Security Lead bij Cisco Benelux, is nauw betrokken geweest bij het onderzoek. Hij constateert uit de bevindingen dat mensen in veel gevallen nog steeds niet bereid zijn te conformeren aan security-regels. Of ze zien het gewoon niet. “De bottom line is: we weten het wel, maar we doen er niet genoeg aan. ”

Hij ziet een opvallende discrepantie wanneer de uitkomsten van diverse onderzoeken naar security naast elkaar worden gelegd. “Uit ons Annual Security Report komt uit dat negentig procent van de geïnterviewden zegt vertrouwen te hebben in de genomen beveiligingsmaatregelen. Maar aan de andere kant blijkt dat honderd procent van onze klanten wel eens is gehackt. Daar moet dus iets in veranderen. Security moet gezien worden als mensenwerk.”

Bad guys

Hij herhaalt het veelgehoorde mantra: er zijn twee soorten bedrijven, de ene helft is gehackt, de andere helft ook maar weet het niet. “Dat is de realiteit waar we inleven. De impact is groot Na het hacken kunnen binnen enkele uren de data uit je netwerk zijn. Soms heb je de bad guys een jaar lang in je netwerk zonder dat je het weet. Het is net als bij het bellen van een ambulance na een ongeluk: wanneer je snel bij de patiënt bent heb je de meeste kans op overleven.”

Hacking industrialiseert in hoog tempo. “Een aantal jaren geleden ging het nog om bijvoorbeeld het verminken van een website. Dat heeft zich ontwikkeld van virussen, naar worms, naar spyware tot advanced threats. Daar wordt ondertussen heel veel geld mee verdiend, het is heel professioneel geworden. Cybercrime komt op een hoger niveau. het wordt politiek, het wordt een wapen. Het gaat uit de hand lopen.”

Connected gevaar

Hij ziet connected things als een nieuw gevaar. “Ondanks dat we heilig geloven in The Internet of Things gaat het ook nieuwe gevaren en loopholes opleveren. Datzelfde geldt voor mobiele betalingen. Om dit aan te pakken is één zaak essentieel: security moet de boardroom in. En we moeten definitief weg van al die point-producten. Soms wordt security met veertig tot vijftig producten ingericht. Maar het is uiteindelijk allemaal mensenwerk.”

“De mens moet het hart zijn van iedere security-strategie, de technologie moet dat vervolgens invullen. Bewustwording blijft dus onverminderd belangrijk. “Je schrikt van het aantal mensen dat bijlagen in mailtjes opent, of een gevonden USB-stick in de computer stopt. En spearfishing werkt. Als je een mail van je HR-manager krijgt met een bijlage open je die, want het kan over je salaris gaan.”

Poezenplaatje

Daarom blijft hij hameren op die C-level buy in. “Want nog steeds zijn er grote bedrijven die security bij de netwerkbeheerder hebben zitten. Haal dat uit die IT, en zet dat bij de board op de agenda. Ken het probleem, weet wat het risico is, weet wat je kroonjuwelen zijn, ken de regelgeving en weet waar je het geld voor je bescherming moet uitgeven. Security mag geen blokkade zijn, maar het is in ieder geval zaak om daar op het juiste niveau aandacht aan te besteden, vooral aan de menselijke aspect. Want we kunnen nog zoveel investeren in technologie, als de gebruiker op ieder poezenplaatje klikt werkt het niet.”