Het Nationaal Cyber Security Centrum (NCSC) publiceert sinds 2011 ieder jaar het Cybersecuritybeeld Nederland. Dit rapport geeft inzicht in de ontwikkelingen, belangen, dreigingen en weerbaarheid die voor Nederland spelen op het gebied van cybersecurity. De vijf kernbevindingen in deze publicatie tonen de ‘highlights’ van 2015 aan. Tenminste, voor zover er over highlights gesproken kan worden. Een belangrijke highlight wordt namelijk vergeten in het Cybersecuritybeeld: de menselijke factor.
Laten we de twee opvallendste kernbevindingen eens nader onder de loep nemen. Voor wie de ontwikkelingen op het gebied van cybersecurity op de voet volgt, zal de kernbevinding 'cryptoware en andere ransomware is het cybercriminele businessmodel bij uitstek' niet verrassend zijn. Criminelen zetten steeds vaker cryptoware (gijzelvirussen) in om hun doelen te bereiken: het buit maken van bedrijfskritische data. Die data dienen vervolgens als inzet in een spel tussen de gehackte organisatie en de hackers. Het kan dan gaan om onder andere losgeld, uitruil van informatie en (voorkomen van) media-aandacht.
De kernbevinding 'kwetsbaarheden in software zijn nog altijd de achilleshiel van digitale veiligheid’ vind ik daarentegen verrassend. Deze bevinding suggereert dat het succes van digitale veiligheid alleen van technologische aspecten afhangt. Daarmee wordt de andere succesfactor van informatiebeveiliging, de menselijke factor, tekort gedaan. Bij een technisch probleem is het wijzigen van een instelling of het aan- of uitzetten van een vinkje vaak genoeg voor de oplossing. Het gedrag van je personeel op het gebied van beveiliging laat zich echter niet beïnvloeden door vinkjes en instellingswijzigingen.
Organisaties doen er dan ook verstandig aan hun medewerkers beter bewust te maken van de gevaren van een verdacht mailtje of dubieuze website. Alleen zo realiseer je een doeltreffend securitybeleid. Nodig bijvoorbeeld een ‘ethische’ hacker uit, die uw collega’s laat zien hoe één klik op een onschuldig ogend linkje de deur openzet voor virussen, malware, cryptoware en andere ransomware. Daarmee leren uw collega’s waar het fout kán gaan. Grote kans dat ze voortaan wel drie keer nadenken voordat ze op een linkje in een mailtje klikken.
Natuurlijk moet u blijven investeren in de technische kant van de beveiliging van uw ICT-omgeving. Dagelijkse updates van de anti-malwaresoftware, periodieke preventieve scans: ze zijn en blijven hard nodig. Al die ‘technische’ investeringen zijn echter zinloos als je het menselijke aspect niet meeneemt in je beveiligingsbeleid. Maak uw collega’s dan ook weerbaar tegen verdachte mailtjes en websites. Die inspanningen zijn waardevoller dan alle investeringen in geavanceerde firewalls en inlogtokens bij elkaar.
‘Digitale dienstverlening moet uitmuntend zijn, ónze oplossingen geven het beste voorbeeld.’
Jaap van Dijk, Managing Director Proces & Services
