Gelukkig beseffen medewerkers, managers en bestuurders tegenwoordig over het algemeen wel dat informatie-, gegevens- en cyberbeveiliging een cruciale kwestie voor de organisatie is. Ze hebben misschien zelfs al strategieën om ermee om te gaan. Veel organisaties zijn bezig met het ontwikkelen van een robuust managementsysteem voor informatiebeveiliging, maar een groot aantal moet de eerste stappen nog zetten. En zelfs voor organisaties die denken alles onder controle te hebben, zijn er valkuilen. Wanneer het voortbestaan van een organisatie wordt bedreigd door iets minder ongrijpbaars dan een cyberaanval, zoals een slinkend klantenbestand of stijgende kosten, dan kan de aandacht verslappen.
En dat kan fataal zijn. Waarom?
Wat de reden voor een cyberaanval ook is – digitaal vandalisme, afpersing, diefstal van klantgegevens, commerciële, industriële of politieke spionage of een ander kwaadaardig doel – het resultaat zal vrijwel zeker een ernstige verstoring zijn, die met schaarse middelen moet worden verholpen.
De gevolgen kunnen economisch, sociaal of technisch van aard zijn – of een combinatie van alle drie. Een aanval die kwetsbaarheden in een informatienetwerk aantoont, vereist bijvoorbeeld technische maatregelen om de oorzaak van het probleem te verhelpen en te voorkomen dat het opnieuw optreedt. In sommige gevallen kan het werk zoveel tijd vergen dat het beter is alle getroffen apparatuur te vervangen om ervoor te zorgen dat de dreiging zich niet kan herhalen.
Dat is de oplossing die een toonaangevende containervervoerder na een ransomwareaanval heeft gekozen. Omdat het boekingssysteem van het bedrijf enkele weken buiten werking was, resulteerde dit in een verlies aan inkomsten. Het opnieuw configureren van het IT-netwerk vereiste dat er 4.000 servers, 45.000 pc’s en 2.500 applicaties moesten worden vervangen. De totale kosten werden geschat op ongeveer $ 300 miljoen.
De gevolgen voor de reputatie van succesvolle aanvallen mogen niet worden onderschat. Klanten hechten waarde aan de veiligheid van hun gegevens, waar die ook zijn opgeslagen. Ze kunnen dan ook besluiten om naar een concurrent over te stappen wanneer organisaties hun gegevens niet kunnen beschermen en hun klandizie om die reden niet waardig zijn.
De organisatie van de containervervoerder is zeer groot en vertrouwt enorm op het IT-netwerk om de boekingen van tientallen miljoenen containers en de exploitatie van bijna duizend schepen te beheren. Voor een kleiner bedrijf zullen de krantenkoppen minder groot zijn, maar die worden niet minder hard geraakt.
Iedereen is een doelwit
Tegenwoordig zijn alle commerciële organisaties, niet alleen ICT-organisaties, een waarschijnlijk doelwit. Zelfs scholen en diensten in de gezondheidszorg zijn getroffen. Met name gezondheidsdiensten worden momenteel aangevallen, mogelijk vanwege de enorme hoeveelheid persoonsgegevens die ze beheren.
In augustus 2022 kreeg het 111-alarmnummer van de Britse National Health Service met een ransomwareaanval te maken. De 111-dienst is een aanvulling op het 999-alarmnummer voor mensen die minder dringende medische hulp nodig hebben. De aanval betekende dat patiënten verstoken waren van hulp en dat anderen onnodig naar huisartsen werden verwezen. Dit was niet de eerste aanval. De NHS was in 2017 slachtoffer van een ransomwareaanval door criminele bendes die naar verluidt meer dan £ 20 miljoen heeft gekost.
De totale kosten
De meeste aanvallen vinden online plaats, vaak door phishing via e-mailsystemen of met gecompromitteerde of gestolen apparaten, bijvoorbeeld laptops of mobiele apparaten die op een netwerk zijn aangesloten. Zelfs USB-sticks kunnen een bron van ellende zijn. In een recente studie meldde ongeveer de helft (49%) van alle organisaties slachtoffer te zijn van een webgebaseerde aanval, 43% noemde phishing, 35% was getroffen door algemene malware en 26% door een SQL-injectie. SQL-injecties infiltreren databases en veroorzaken fouten of downloaden zelfs de hele database naar de computer van een hacker. Eén op de vijf organisaties kreeg te maken met DoS-aanvallen.
In 2021 deed een wereldwijde coalitie van techbedrijven en wetshandhavingsinstanties, waaronder de FBI, Microsoft en Amazon, een oproep tot “agressief en urgent” optreden tegen ransomware. Deze Ransomware Task Force (RTF) beschouwt ransomware als een ernstige bedreiging voor de nationale veiligheid en de volksgezondheid. Deze vorm van malware heeft een enorme impact op de economie en het vermogen van gewone mensen om toegang te krijgen tot cruciale diensten. Volgens schattingen bedroegen de wereldwijde kosten van ransomware, inclusief bedrijfsonderbrekingen en losgeldbetalingen, alleen al in 2020 tussen de $ 42 miljard en $ 170 miljard. Het exacte bedrag zullen we wel nooit te weten komen, omdat veel slachtoffers liever zwijgen over de gevolgen voor hun bedrijfsactiviteiten.
Uw grip verstevigen
Als er zoveel op het spel staat, is het niet verwonderlijk dat organisaties actie ondernemen om het risico te beperken. Sommige organisaties weten echter niet goed waar ze moeten beginnen. De verstandigste manier om een goed risicobeeld te krijgen, om middelen in te zetten om beveiligingsinbreuken te voorkomen en om processen te implementeren om incidenten af te handelen, is ongetwijfeld het ontwikkelen van een managementsysteem voor informatiebeveiliging dat voldoet aan internationale best practices. De meest erkende norm voor dergelijke managementsystemen is ISO/IEC 27001.
Deze norm biedt een gestructureerd raamwerk om processen en beheersmaatregelen voor informatiebeveiliging te ontwikkelen en te implementeren, bijvoorbeeld om managementbetrokkenheid en adequate training van medewerkers te waarborgen.
Veel organisaties beschikken al over managementsystemen voor kwaliteit, milieu of gezond en veilig werken. Het concept en de aanpak zijn hetzelfde en de nieuwe versie van ISO/IEC 27001 volgt de High Level Structure (HLS) van ISO om de integratie met andere managementsystemen te vereenvoudigen.
Daarnaast zorgt certificering op basis van ISO/IEC 27001 door een onafhankelijke externe partij voor interne waarborgen en vertrouwen bij stakeholders dat u beschikt over degelijke systemen om informatie-, gegevens- en cyberbeveiligingsrisico’s te beheersen.
