Cybercriminaliteit levert serieuze risico’s op voor organisaties. Preventie is niet alleen een taak van de IT-afdeling, vertelt hoogleraar Marianne Junger van de Universiteit Twente. ‘Bewustwording heeft veel meer aandacht nodig.’
Cybercriminaliteit kan grote impact hebben op organisaties en bedrijven. Denk maar aan de kleine 2 ton losgeld die de Universiteit Maastricht betaalde toen hackers alle waardevolle informatie op hun systemen in gijzeling namen. Beveiliging tegen dit soort virtuele inbraken lijkt misschien vooral een taak van de IT-afdeling, maar dat is een misvatting, benadrukt hoogleraar cyber security en business continuity Marianne Junger van de Universiteit Twente. ‘Een aanval begint vaak met phishing: valse e-mails. Er hoeven maar 1 of 2 mensen op een link in zo’n mail te klikken en het gaat mis. Het probleem is dat mensen phishing vaak niet goed herkennen. Ze weten niet hoe ze moeten beoordelen of een mail echt is of niet.’
Preventie begint met bewustwording
Cybercriminaliteit voorkomen begint dan ook met bewustwording bij alle medewerkers. Met kennis over phishing en de risico’s van klikken op de verkeerde links. Junger: ‘Zorg ook voor een duidelijk aanspreekpunt op dit gebied, waar mensen altijd terechtkunnen met vragen. En geef openheid van zaken. Als er ergens fysiek is ingebroken, wordt dat meteen besproken. De politie komt langs, er volgen maatregelen en iedereen weet wat er aan de hand is. Maar voor phishing is er meestal een geheimhoudingsbeleid. Daardoor realiseren mensen zich niet hoe vaak dit eigenlijk voorkomt.’
Training voor medewerkers
Het nadeel is wel dat er nog weinig ervaring is met oplossingen voor dit probleem, weet Junger. ‘Je kunt bijvoorbeeld een anti-phishingtraining inkopen voor je medewerkers, maar hoe weet je dan of die het geld waard is? Het is ook lastig om dat te onderzoeken. Eigenlijk zou je grote groepen tegen elkaar af moeten zetten waarbij de een wel training krijgt en de ander niet. Maar daar is niet veel geld voor. Bovendien is er medewerking van organisaties nodig om zulke onderzoeken te kunnen uitvoeren. Maar dat bewustwording veel meer aandacht nodig heeft, staat vast.’
Breed veiligheidsbeleid
Natuurlijk zitten er ook technische aspecten aan cybersecurity. Zo waren bij de Universiteit Maastricht de beveiligingsupdates niet op orde. Junger: ‘Daar waren wel redenen voor, maar die kunnen nooit doorslaggevend zijn. Het beleid moet zijn om updates altijd te installeren.’ Beleid moet dus technische en niet-technische elementen combineren. Dat betekent ook dat cybersecurity slechts een onderdeel is van veiligheid in bredere zin. Daar hoort bijvoorbeeld ook toegangsbeleid bij. Dat vraagt wel om een investering. Junger: ‘Security wordt vaak als kostenpost gezien die niks oplevert. Het management denkt dat het allemaal wel losloopt. Dat resulteert in slordige beveiliging en dat maakt organisaties kwetsbaar.’
Dreiging verschilt per sector
Waar die kwetsbaarheid precies zit, verschilt per sector. In de academische wereld is het bijvoorbeeld gebruikelijk om allerlei gegevens online te zetten. Overal staan mailadressen onder. Dat blijft altijd een opening voor cybercriminelen. Junger adviseert organisaties om na te gaan voor welk soort fraude zij het meest gevoelig zijn. ‘In juridische termen: zoek naar de link tussen type slachtoffer en type delict. En kijk wat er bij vergelijkbare organisaties om je heen gebeurt. Zo vorm je een zogeheten dreigingsbeeld, de basis voor beleid.’
Meer informatie
Een van de interessantste master courses die Marianne Junger geeft is de deeltijd cursus Cybercrime, Cybersecurity & Risk Management. Deelnemers krijgen hier principes en tools aangereikt om de risico’s van cybercrime in te schatten en op basis daarvan preventiebeleid te ontwikkelen.