Dit zijn de actuele cyberrisico’s:
- Cybercriminelen kunnen door de maatregelen tegen het coronavirus gemakkelijker binnendringen en maken daar misbruik van.
- Cyberrisico’s nemen verder toe doordat niet alle beheersmaatregelen even goed werken als voor de aanvang van de coronacrisis.
- Organisaties moeten hun cyberbeheersmaatregelen herzien en deze zo goed mogelijk aanpassen aan de veranderende omstandigheden.
Scroll verder voor advies om deze cyberdreigingen af te wenden.
Waarom slaan cybercriminelen juist nu toe?
Het coronavirus ontwikkelde zich in sneltreinvaart tot een pandemie. De (wereld)economie stevent af op een recessie. Sommige markten zijn volledig ingestort, terwijl andere markten overvraagd worden. Daarbij veranderen de spelregels letterlijk van dag tot dag en van land tot land.
Organisaties moeten zich daardoor steeds aanpassen aan de ongekende uitdagingen. Al eerder schreven we over de cyberrisico’s die het op grote schaal thuiswerken met zich meebrengt. Ook andere organisaties zoals het Nationaal Cyber Security Centrum en Europol komen met praktische tips. De implementatie van zulke maatregelen vraagt normaliter al veel tijd, maar momenteel al helemaal.
Cybercriminelen zien onder de huidige omstandigheden hun kans schoon om toe te slaan. Zij maken geen uitzondering op ethische gronden, want voor hen vormt de coronacrisis de ideale afleiding. Ook de onzichtbare cyberoorlog woedt heviger dan voorheen. Daar komt bij dat onder de huidige crisissituatie veel (cyber)risicobeheersmaatregelen niet altijd even effectief zijn of zelfs tijdelijk (mogen) worden omzeild.
Waarom is het belangrijk dat organisaties nu werken aan hun digitale veiligheid?
De huidige situatie vormt een gevaarlijke cocktail van toenemende dreiging op onbekend terrein met verminderde digitale bescherming. Om te voorkomen dat zich bovenop de coronacrisis ook nog een cybercrisis ontwikkelt, is het belangrijk deze situatie te herzien.
Op deze pagina gaan we verder in op de gevolgen van de coronacrisis voor uw cyberrisico’s (onder B) en reiken wij enkele concrete handvatten aan om in deze bijzondere situatie op cyberrisico’s te reageren (onder C). Wij benadrukken hierbij hoe uw organisatie met het juiste beleid en sturing haar cyberweerbaarheid kan verhogen.
Verandering van cyberrisico’s tijdens coronacrisis
Cyberrisico’s bestaan uit vier componenten: (1) dreiging, (2) beheersmaatregelen, (3) cyber-assets en (4) gevolgen. De coronacrisis beïnvloedt alle vier deze componenten, maar met name de dreiging en de beheersmaatregelen.
Wat houdt de huidige cyberdreiging concreet in?
Cybercriminelen gebruiken de onzekerheid, urgentie en nieuwsgierigheid van mensen rondom het coronavirus om - gemakkelijker dan anders - een (digitale) ingang te vinden tot uw computersystemen. Deze ingang wordt vervolgens verzilverd door de lokale data en systemen rustig te verkennen, om vervolgens data te stelen of ransomware te installeren. Dat laatste is een programma dat computergegevens versleuteld waardoor deze onbruikbaar worden en vervolgens geld vraagt om de gegevens weer te ontcijferen.
Juist organisaties die op dit moment een kritieke bijdrage leveren voor de samenleving en daarbij op volle toeren draaien, vormen het doelwit. Immers, zo denkt de cybercrimineel, daar is de betalingsbereidheid en de urgentie het hoogst en kan dus het meest worden verdiend.
Criminelen maken hierbij vaak gebruik van ‘vertrouwde’ vormen van digitale afpersing. Ze vragen bijvoorbeeld losgeld voor het beëindigen van hun Distributed Denial of Service (DDoS) aanval. Daarbij overbelasten ze cruciale systemen. Die vallen tijdelijk uit. Sinds de aanvang van de coronacrisis werden onder meer al Takeaway.com (moeder van Thuisbezorgd.nl) en enkele Franse ziekenhuizen hier slachtoffer van. Tijdens zo’n aanval ontvreemden cybercriminelen vaak alsnog data via de digitale achterdeur. Of ze installeren ransomware.
Cyberaanvallen bieden ook aan statelijke actoren (personen of organisaties die doelstellingen en middelen verkrijgen van hun nationale overheden) en terroristen ongekende mogelijkheden. Bijvoorbeeld om democratieën te destabiliseren of gevoelig intellectueel eigendom te stelen. Cybercriminelen weten dat de controle nu minder goed is en dat tegelijkertijd de gevolgen groter kunnen zijn. Daarbij deinzen deze cybercriminelen er niet voor terug, zich bijvoorbeeld voor te doen als de World Health Organisation of de Belastingdienst.
Ook versterken ze graag extreme meningen op sociale media, om de chaos en onzekerheid verder te vergroten. Dit kan hun eigen doelen op een directe manier dienen en leidt bovendien af van andere aanvallen die ze op de achtergrond uitvoeren.
Welke uitdagingen voor cyberveiligheid biedt het thuiswerken?
-
Digitale (thuis) uitdagingen
-
Medewerkers maken vaak gebruik van minimaal beveiligde netwerken met daarop veel apparaten. Deze hebben vaak standaard/ zwakke wachtwoorden, waardoor relatief makkelijk malware wordt binnengebracht. Daar komt nog bij dat sinds 23 maart jl. twee nieuwe kwetsbaarheden in alle Windowsversies zijn gevonden, die het mogelijk maken computers op afstand over te nemen Hiervoor zijn nog geen updates beschikbaar, dus criminelen hebben het zorgwekkend makkelijk.
-
Niet-digitale uitdagingen
-
Als via een laptop toegang wordt verkregen tot bedrijfsservers of (bedrijfs)data in de cloud, dan is de hoop uiteraard dat de (nu ook thuiswerkende) cybersecurity- en IT-collega’s afwijkend digitaal gedrag detecteren, zoals gewoonlijk. Dit wordt bemoeilijkt als zij bijvoorbeeld ziek zijn, worden afgeleid door hun huisgenoten of overbelast zijn met vragen van collega’s over de toegang en applicaties die thuiswerken mogelijk moeten maken. Of omdat cybercriminelen doelbewust juist het thuisnetwerk van cybersecurity- en IT-collega’s op het cruciale moment platleggen met een DDoS-aanval.
-
Crisisteam uitdagingen
-
Als een cyberrisico werkelijkheid wordt dan kan dat betekenen dat het crisisteam op kantoor moet samenkomen om het hoofd te bieden aan de ontstane “cyberbrand”. Ondanks de lokale regels ter bestrijding van het coronavirus. Dit kan gezondheidsrisico’s voor het crisisteam opleveren, bijvoorbeeld omdat ze zich niet aan de vereiste afstand (1,5 – 2 meter) kunnen houden.
Gevolgen van een cyberincident tijdens de coronacrisis
Mochten uw digitale systemen uitvallen als gevolg van een cyberincident, dan zijn de gevolgen waarschijnlijk groter dan normaal gesproken. Zo is het mogelijk dat, indien u een beroep moet doen op hulptroepen van buitenaf, deze minder gemakkelijk ter plaatse kunnen komen dan anders, zeker als ze over landsgrenzen heen moeten. Dit, voor zover ze überhaupt nog beschikbaar zijn – we zien een enorme toename in cyberaanvallen tijdens deze coronacrisis.
Door de coronacrisis is het vertrouwen bovendien al lager dan anders. Daar komt nog bij dat de fysieke afstand de coördinatie bemoeilijkt van crisisteams en overige medewerkers. Mocht het dan tot een grootschalige cybercrisis komen waarbij de kosten flink kunnen oplopen, dan helpt het niet dat in de meeste organisaties minder liquide middelen dan normaalgesproken beschikbaar zijn vanwege teruglopende omzet en/of betalingsachterstanden.
Kortom, tijdens deze coronacrisis is niet alleen de kans op een aanvullende cybercrisis groter, maar is ook de impact ervan waarschijnlijk groter. Alle reden om goed na te denken over aanvullende maatregelen omtrent de cyberweerbaarheid van uw organisatie.
Advies: werk aan uw cyberweerbaarheid met sturing en beleid
De coronacrisis maakt duidelijk hoe complex en volatiel onze wereld is geworden, mede dankzij de digitalisering. De kunst is om op deze snel veranderende omgeving te blijven inspelen. Dat begint bij het in kaart (laten) brengen van de (cyber)risico’s en beheersmaatregelen van uw organisatie.
Maak daarbij gebruik van in- en externe experts op het gebied van digitale systemen en (cyber)risico’s. Zo bereikt u een een optimale kennisdeling en krijgt het bestuur een goed overzicht, zodat zij de juiste beslissingen kunnen nemen – ook in geval van (corona)crisis.
Vraag u daarbij niet alleen af hoe u de risico’s zo goed mogelijk kunt voorkomen, maar ook hoe u moet handelen als de risico’s werkelijkheid worden. In het bijzonder vragen wij u om na te denken over de volgende scenario’s:
- Een mogelijk internationaal cyberincident, waarbij cybercrisisteams moeten samenwerken terwijl men niet mag reizen, maar de uitgewisselde informatie wel vertrouwelijk moet blijven.
- Hoe u de vereiste toestemming van de autoriteiten verkrijgt wanneer dergelijke crisisteams op locatie moeten samenkomen.
- Hoe een cybercrisisteam kan worden voorzien van een veilige werkomgeving, met voorzieningen om het risico op besmetting met het coronavirus in het crisisteam zo veel mogelijk uit te sluiten.
- En ten slotte hoe het team zo te verdelen in sub-teams dat in geval van besmetting de andere sub-teams de meest urgente zaken kunnen opvangen.
Een gestructureerde herziening van uw risicobeleid
Als uw organisatie al een risicobeleid heeft, dan kunt u met een gestructureerde herziening bepalen hoe dit beleid aan de huidige omstandigheden moet worden aangepast. Heldere interne communicatie stelt de verantwoordelijken in staat om, waar nodig, aanvullende maatregelen te treffen om zo de cyberveiligheid van de organisatie te versterken.
Interne communicatie van het risicobeleid
Houdt in uw interne communicatie zo veel mogelijk een en dezelfde afzender aan, maak de boodschap concreet en integreer deze waar mogelijk met andere informatie voor de ontvangers. Het kan voor uw medewerkers toch al lastig zijn om de grote hoeveelheid informatie te verwerken en daarbij ook nog onderscheid te maken tussen betrouwbare en niet-betrouwbare informatie.
Wees daarbij zo duidelijk mogelijk. Zeg bijvoorbeeld “Open geen e-mails van onbekende afzenders en klik zeker geen links aan” in plaats van “Wees bedacht op een toename in phishing aanvallen”. Benut deze crisis om het bewustzijn van uw medewerkers ten aanzien van cyberdreigingen te vergroten en hun verantwoordelijkheid daarin te benoemen.
Communiceer het risicobeleid met cyber- en IT-teams
Benadruk juist ook bij de verschillende cyber- en IT-teams het belang voldoende rust in te bouwen en de reguliere verantwoordelijkheden niet uit het oog te verliezen in de hoos van uitzonderingen die nu op hen afkomt. Wellicht blijkt het na een risicoanalyse cruciaal om de frequentie waarmee patches (stukjes software om fouten op te lossen of functionaliteit uit te breiden) worden uitgerold iets omlaag te brengen. Dan kan IT de systemen stabiel houden en de monitoring juist intensiveren.
Stem daarbij met de verschillende security- en IT-partners af welke verwachtingen er over en weer zijn, juist ook als zich bij een van de partijen onverhoopt een cybercrisis zou aandienen. Stel bijvoorbeeld de volgende vragen:
- Welke processen, data en applicaties zijn cruciaal en hoe houdt u deze in stand als bepaalde servers of zelfs het internet lokaal (tijdelijk) zouden uitvallen?
- Welke opties zijn er om uit te wijken naar andere locaties (zoals van een IT-leverancier) of gebruik te maken van andere toepassingen en omgevingen (zoals mobiele telefonie, WhatsApp of de Google Cloud)?
- Worden deze opties onder extreme omstandigheden toegelaten?
- Zijn er alternatieven voor specifieke IT-diensten (zoals bijvoorbeeld VPN) en hoe lang duurt het voordat deze operationeel zijn?
De capaciteit van uw organisatie en een eventuele cybercrisis
Denk tot slot ook aan de capaciteit van uw organisatie om een eventuele cybercrisis operationeel en financieel het hoofd te bieden. Wie maakt als het nodig is de afwegingen rondom complexe zaken als het wel of niet betalen van losgeld of het overgaan op een andere leverancier van IT-diensten als de huidige leverancier (tijdelijk) niet levert?
Dat de instabiliteit en onzekerheid toenemen maakt beslissen over dergelijke zaken niet eenvoudiger. Welke informatie is hierbij nodig en wie kan deze aanleveren? Hoe werkt dit in een internationale context, als bijvoorbeeld juist de communicatiemiddelen haperen? Met welke security- en Incident-Response-leveranciers is al voldoende vertrouwen opgebouwd om hen direct in te zetten; en wat als die niet beschikbaar zijn? Wat kunt u doen als alternatieve leveranciers vragen stellen bij de solvabiliteit of liquiditeit van uw organisatie?
Een cyberverzekering kan u in dit soort omstandigheden veel zorgen uit handen nemen, omdat een groot aantal van deze vraagstukken daarin al worden ondervangen.
Samenvattend adviseert Aon u de volgende concrete stappen voor uw risicobeleid:
- Voer een (cyber)risicoanalyse uit of herzie deze in het licht van de coronacrisis.
- Laat een onafhankelijk assessment uitvoeren om te bepalen of uw cyberbeheersmaatregelen voldoen (Aon heeft hiervoor een zeer efficiënte tool beschikbaar).
- Neem de uitkomsten van deze risicoanalyse en het assessment mee in de scenario’s die uw crisisteam bespreekt.
- Deel de uitkomsten van deze scenariobespreking met de cyber- en IT-teams in uw organisatie en vraag hen op basis hiervan aanvullende maatregelen te treffen, waar nodig.
- Vertel uw medewerkers hoe wel en niet te handelen, om de risico’s van phishing zo veel mogelijk te beperken.
- Cyberrisico’s doen qua omvang niet onder voor brandrisico’s, dus sluit een cyberverzekering af om (een deel van) de schade op te vangen als zich een incident voordoet.
- Evalueer de genomen maatregelen na afloop van de coronacrisis en herzie deze waar nodig.