De strijd tegen cybercriminaliteit
In een vorig artikel berichtten we u over de drie meest onderschatte bedrijfsrisico’s. Eén daarvan is cybercriminaliteit, waar we in dit artikel wat dieper op in willen gaan. Cybercrime staat niet alleen in de top drie met meest onderschatte risico’s, maar neemt ook een tweede plaats in qua omvang van schade door cybercriminaliteit. Alleen het instorten van de beurs heeft een grotere economische schade tot gevolg. Waarin schuilen de gevaren en wat kan men daartegen doen? Hoe kunnen we de hoofdzaken van de bijzaken scheiden.
Cybercriminaliteit bestrijkt een enorm breed gebied: van oplichters op consumentensites tot aan grote criminele organisaties die hele bedrijven plat leggen of erop uit zijn om bedrijfsgeheimen of financiële middelen te stelen. Tegen ‘kleinere’ vergrijpen, zoals pishing, virussen e.d., zijn de meeste bedrijven wel goed beveiligd. Maar hoe zit het met de beveiliging van systemen die de bedrijfsprocessen regelen? Of met de hardware die juist de beveiliging en veiligheid van de organisatie moeten garanderen. Alles dat verbonden is door middel van een IP-adres, is tenslotte te hacken.
Data en geld
Het overgrote deel van cybercriminaliteit is erop gericht om geld of data te ontvreemden. Waar het bij consumenten meestal gaat om ontvreemden van geld door middel van skimming, oplichting e.d., gaat het in het bedrijfsleven met name om diefstal van gegevens. Dit lijkt misschien minder schadelijk dan diefstal van financiële middelen, maar kan evenzo grote gevolgen hebben. Door de nieuwe wet bescherming persoonsgegevens (zie voor meer informatie ons artikel over privacywetgeving) bent u verplicht melding hiervan te maken bij de Autoriteit Persoonsgegevens. Een datalek kan leiden tot een forse boete. Ook kan het op ‘straat’ liggen van klant- en gebruikersgegevens leiden tot reputatieschade.
Gerichte aanvallen op processystemen
SCADA, het systeem dat in veel (zware) industrieën wordt gebruikt, regelt de besturing van diverse machines en apparaten. Van sluizen, gemalen en bruggen tot aan gebouwbeheersystemen en van parkeergarages tot aan pompinstallaties in bijvoorbeeld de chemische industrie. SCADA is een belangrijk systeem waarop bedrijfskritische processen draaien. Een succesvolle aanval op dit systeem is dus het laatste wat je wilt. Een dergelijke aanval kan naast het aanrichten van schade aan het bedrijfsproces of de productiemiddelen ook schade berokkenen aan mensen. Denk bijvoorbeeld aan het ontregelen van treinverkeer met ontsporingen of botsingen tot gevolg of aan het dusdanig besturen van een installatie, waardoor er ongevallen kunnen plaatsvinden.
De gevolgen bij een aanval op een SCADA-systeem zijn daarom vele malen groter dan bij een ‘gewone’ cyberaanval en experts verwachten dan ook dat het aantal aanvallen op SCADA-systemen zal toenemen. Het inbreken op SCADA vergt wel behoorlijk wat technische kennis. Cybercriminelen die zich hiermee bezighouden hebben meestal dan ook een andere intentie, dan het ontvreemden van data en geld. Voor dit soort activiteiten moet men eerder denken aan activisten en terroristen.
Hoe veilig zijn uw veiligheid- en beveiligingssystemen?
We zien het vaak in films hoe criminelen videocamera’s uitschakelen of inbreken op een toegangscontrolesysteem om bepaalde toegang te verkrijgen. Ook kan het inbreken op een brandmeldinstallatie ervoor zorgen dat vluchtdeuren worden ontgrendeld. Deze systemen zijn er juist om mens en eigendommen te beschermen en uiteraard beschikken de meeste systemen ook over een goeddoordachte bescherming tegen cyberaanvallen. Wat kan er dan toch nog misgaan? Qua security worden beveiligingssystemen vaak vergeleken met SCADA-systemen, omdat ze een vergelijkbaar risicoprofiel en technische oplossing hebben. Enkele aandachtspunten om deze risico’s voor beide systemen zoveel mogelijk te verminderen, zijn:
- Hoe toegankelijk zijn deze systemen? Kunnen niet geautoriseerde personen makkelijk in de ruimte komen waar de fysieke systemen zich bevinden?
- Is er goed nagedacht over toegangscodes of wachtwoorden om in deze systemen te komen? Te vaak worden er nog codes als 00000 of 12345 gebruikt.
- Zijn alle systemen voorzien van de laatste software-updates?
- Zijn SCADA en uw veiligheids- en beveiligingssystemen direct aan het internet gekoppeld, plaats er dan een extra beveiligingslaag (IDP) tussen.
Het lijkt allemaal zo voor de hand liggend. Toch lijdt het Nederlandse bedrijfsleven jaarlijks nog miljarden euro’s aan schade door cybercriminaliteit. Volgens de ‘Global State of Information Security Survey 2016’ (publicatie door PwC, CIO and CSO) worden werknemers en voormalige werknemers, samen goed voor ca. 60%, genoemd als bron die een cyberaanval mogelijk maakten, zowel bewust als onbewust. Een duidelijk protocol voor medewerkers, hoe zij om dienen te gaan met soft- en hardware, processen, wachtwoorden e.d., mag daarom niet ontbreken.
Voorkomen is beter dan genezen
Althans, volgens dit gezegde; echter 100% veiligheid bestaat niet, omdat er voor elk dichtgetimmerd risico altijd weer een mogelijkheid wordt gevonden om genomen maatregelen te kunnen omzeilen. Identificeer de mogelijke risico’s, stel de maatregelen vast, maak medewerkers bewust van de risico’s en zorg voor duidelijke procedures. Maar bovenal, blijf realistisch en maak een gedegen risicoanalyse wat u wilt beveiligen tegen welke inspanningen en kosten.
Neem contact met ons op.
Bosch Energy and Building Solutions