Ransomware is niet meer alleen weggelegd voor cybercriminelen pur sang. Sterker nog: deze losgeldtechnieken worden tegenwoordig als Ransomware-as-a-Service (RaaS) aangeboden en zijn daarmee gemeengoed geworden. Cybercriminelen bieden hackoplossingen aan die ook te gebruiken zijn door cybercrimineeltjes die zich met hun aanvallen richten op het midden- en kleinbedrijf. Ergo: ook bouwbedrijven, ongeacht de bedrijfsgrootte, vormen hiermee een potentieel doelwit.
Nachtmerrie
“Ransomware-as-a-Service wordt door ‘criminelen’ ingezet bij wie cybercrime niet per se in het bloed hoeft te zitten”, zegt John Veldhuis die als Senior Sales Engineer bij Sophos dagelijks vecht tegen het digitale kwaad. “Middelen om systemen via spam-e-mails binnen te dringen, worden soms geleverd met een toolkit, een handleiding en een helpdesk: iedereen kan er eigenlijk mee aan de slag.
‘RaaS’ is een makkelijke manier om je eerste stappen binnen de lucratieve wereld van cybercrime te zetten. Kinderspel, maar wel met grote gevolgen voor een (bouw)bedrijf dat er opeens achter komt dat data zijn versleuteld en losgeld moet worden betaald om ze weer terug te krijgen. Een nachtmerrie voor elke ondernemer.”
Dreiging uit het Oosten
Maar ransomware is niet het enige waar sectoren met bedrijfsgevoelige of essentiële informatie zich zorgen over moeten maken, zegt Veldhuis. “Onlangs kopte het Financieele Dagblad over Chinese en Russische spionnen die op dit moment in het vizier van onze nationale veiligheidsdiensten zijn.”
Veldhuis: “Als we ons als economie niet goed beschermen tegen het rode gevaar, kunnen ‘onze’ gevoelige concepten en plannen – 100 procent made in Holland – zomaar in handen vallen van cybercriminelen. Stel dat je al heel lang werkt aan en bepaald project en deze gegevens worden onder je neus gekaapt door cybercriminelen die bereid zijn ze terug te geven na betaling van losgeld? Uit onderzoek blijkt dat een op de drie bedrijven toch overstag gaat en de criminelen betaalt waar ze om vragen. En dan is het nog maar afwachten of je daadwerkelijk je data terugkrijgt en/of deze aan derden wordt doorverkocht. Het is een schimmig spel waar je liever geen onderdeel van wilt zijn.”
Geen remedie
De Silver Bullet waarmee je vampiers kunt doden, bestaat helaas niet. Ook in de wereld van cybercriminaliteit is geen remedie voorhanden om het digitale gajes buiten de bedrijfsmuren te houden. Er zijn echter wel stappen die bedrijven zelf kunnen zetten.
“Bewustwording is een eerste stap: niet alleen bij jezelf, maar ook bij alle medewerkers die door een simpele muisklik cybercriminelen via de computer onbedoeld en onbewust toegang verlenen tot het bedrijfsnetwerk. Niemand zal dit bewust doen, maar het is wel belangrijk om je personeel te trainen in het herkennen van ransomware en phishing. Er zijn speciale simulatieprogramma’s die kunnen worden uitgerold om medewerkers te trainen. Sophos Phish Threat is daar een van.”
Bewustwording en meer
Het ‘opleiden’ van personeel is een, maar het daadwerkelijk buiten de deur houden van the bad guys is een ander verhaal. Veldhuis: “Zorg voor een Security Operations Team (SOC) dat continu het bedrijfsnetwerk in de gaten houdt. Kun je je dat niet veroorloven of vind je daar niet het juiste personeel voor, besteed het dan uit aan bijvoorbeeld een Managed Threat Response-team.”
“Zo’n MTR-team ondersteunt een organisatie met een gespecialiseerd team van ‘threat hunters’ en responsdeskundigen die namens die organisatie gerichte acties onderneemt om zelfs de meest geavanceerde (beveiligings)dreigingen te neutraliseren. En als laatste: vergeet niet je software, ook browsers én mailprogramma, te standaardiseren. Het komt nog te vaak voor dat medewerkers eigenhandig, met alle goede bedoelingen van dien, software installeren op hun computer. Dat mag eigenlijk niet gebeuren.”
Binnen de bouw zijn er al initiatieven om bedrijven tegen cybercrime te beschermen. Zo hebben branchevereniging Bouwend Nederland en Digital Trust Center de krachten gebundeld om ondernemers binnen de bouw te ondersteunen bij digitale veiligheid. De website www.digitaltrustcenter.nl is geschikt om bewustwording rond dit onderwerp te creëren. Op deze site kunnen bedrijven ook een zelfscan uitvoeren om er achter te komen hoe hun organisatie er qua ‘securitylevel’ voor staat.
Eventueel te raadplegen sites:
www.sophos.com
www.digitaltrustcenter.nl
www.bouwendnederland.nl/cybersecurity
Wat is phishing?
Phishing is een van de manieren waarop criminelen personen met een e-mail naar een valse website lokken. Daar aangekomen, stelen ze gegevens (of geld). Omdat de criminelen steeds gehaaider worden, lijkt het alsof de betreffende mail ook daadwerkelijk van de bank, telecomprovider of een andere instantie afkomstig is.
Nu is het alleen zo dat over het algemeen grote bedrijven (en zeker banken) dergelijke mails nooit naar hun klanten sturen. Daarom is het heel belangrijk om de links in een phishing-mail niet aan te klikken, ook al lijkt de e-mail echt. Vul nooit paspoort- of creditcardgegevens in. Om het hele bedrijf te beschermen, is het raadzaam een dergelijke mail ook meteen bij de IT-afdeling te melden. Zij kunnen dan een goede inschatting van de risico’s maken en ernaar handelen.
Auteur: Jacob-Jan Esmeijer