Wat je niet ziet, is er niet…

1 min. leestijd

Share

Helaas geldt dit juist niet voor organisaties die te maken hebben gehad met een hack, malware, botnets en meer van dit soort gezellige activiteiten. Het bericht van het CBS, wat gepubliceerd is op 25 september 2017, heeft dan ook nogal wat opschudding veroorzaakt; “één op de vijf bedrijven was in 2016 slachtoffer van een cyberaanval” was de titel van het persbericht, uitgegeven door het CBS. Social media stond er opeens vol mee, het haalde zelfs het NOS nieuws, en het leek wel alsof dit nieuws als een totale verrassing kwam.

Wat dit bericht juist interessant maakt, is dat dit bedrijven betreft die inmiddels weten dat ze aangevallen zijn. Ze hebben meegewerkt aan een enquête en hebben daar met volle overtuiging in kunnen vullen dat ze slachtoffer zijn geworden van deze criminele activiteiten. Echter, wat als je tijdens het invullen van de enquête geen flauw benul hebt wat er allemaal binnen de veilige eigen netwerkomgeving gebeurt? Wat geven deze cijfers dan aan?

Struisvogelpolitiek

Volgens het woordenboek is dit gedrag of beleid waarbij je negatieve effecten niet wilt zien en gewoon doorgaat zoals je deed. Voor bepaalde zaken is dit een prima oplossing, waarbij het probleem zich soms vanzelf oplost. Voor security ligt dit echter anders. Wanneer er een mogelijkheid ontstaat om binnen te dringen binnen een ICT-omgeving dan wordt dit vaak snel opgemerkt. Deze zwaktes binnen een systeem worden ook wel vulnerabilities genoemd, die gelukkig ook vaak snel opgelost worden door de fabrikanten. Hierbij kan gedacht worden aan de welbekende Microsoft security updates die de gatenkaas weer een beetje dichtstoppen. Echter, wanneer deze vulnerability ook bekend is bij kwaadwillenden en hier een mogelijkheid voor ontwikkeld wordt om misbruik van deze zwakte te maken, dan hebben we hier over een exploit. Dat is het moment wanneer het spannend begint te worden en bepaalde mensen liever wegkijken dan dat ze er zich bewust van zijn een doelwit te zijn geworden van cybercriminelen.

De cijfers spreken voor zich, toch?

Het wordt nog interessanter wanneer er in de te raadplegen spreadsheet van het CBS aangegeven wordt dat 41% van de bedrijven met 500 werkzame personen of meer in 2016 te kampen had met één of meer ICT-incidenten door een aanval van buitenaf. Nogmaals, het betreft hier bedrijven die er zich bewust van zijn dat ze aangevallen zijn en hierbij geeft 18% aan dat ze hier ook onvoorziene kosten voor hebben moeten maken. Vaak zijn organisaties hier (nog) niet voor verzekerd en gaat dit ten koste van het ICT-budget of heeft het in ieder geval impact op de winstgevendheid van een onderneming.

Als we dan naar alle bedrijven kijken die met ICT-incidenten te maken hebben gehad, dan heeft exact de helft te maken gehad met uitval door een aanval. Daarnaast heeft 39% van de bedrijven vernietiging of verminking van data door een aanval ervaren, 46% onthulling van gegevens door een aanval en 27% onthulling van gegevens door eigen personeel. Wanneer je al deze percentages zou optellen dan kom je tot de conclusie dat de respondenten van de enquête waarschijnlijk meerdere gevolgen heeft ervaren, omdat je anders boven de 100% uitkomt.

Onwetendheid is een zegen

Terugkomend op de organisaties die nog geen idee hebben of ze wel of niet aangevallen zijn, deze vertonen hetzelfde patroon als bij een leerproces. Vergelijk het maar met bijvoorbeeld het piano leren spelen of leren autorijden. Deze welbekende termen komen in veel (management) training aan de orde, waarbij het ontwikkelingsniveau van een specifieke competentie meetbaar gemaakt wordt. Leg hier de mogelijkheden naast die je als organisatie hebt op het gebied van security en je weet meteen waar je staat.

Het dak repareren als de zon schijnt

Dit is een bekend gezegde in ICT en wordt vaak achteraf gebruikt om aan te geven hoe goed een persoon of organisatie het voor elkaar heeft voordat de hel losbrak. Wat nu als je niet weet wat je kunt verwachten? Hoe kun je je er dan tegen wapenen? Laat staan dat je geen idee hebt hoe je er nu voor staat, vanuit welke situatie begin je dan? Zou het dan niet mooi zijn een oplossing te bedenken die al meerdere malen en bij verschillende uiteenlopende organisaties bewezen resultaat heeft behaald?

Maar dan moet je het wel doen

Wij helpen onder andere Service Providers en Enterprises bij het bepalen wat hun niveau van security op dit moment is, en waar zij wellicht meer aandacht aan zouden kunnen/moeten besteden om hun omgeving nog beter te beveiligen tegen de nieuwste cyberaanvallen. Ik kom graag vrijblijvend bij u langs om de ins en outs te bespreken van onze security check. En als blijkt dat uw organisatie geen enkele securitygap heeft, dan zorg ik ervoor dat de uitkomsten in een toegankelijk rapport kosteloos aan u worden verstrekt en heeft u de bevestiging dat alles goed is ingeregeld. Ik ben benieuwd welke bedrijven de uitdaging aangaan. Klik hier om een Security Assessment aan te vragen.

Meld je aan voor onze nieuwsbrief

Ontvang het laatste security nieuws, inzichten en markttrends in jouw inbox.

Artikelen

Meer updates