Als bestuurslid van een organisatie moet u voldoende inzicht hebben in cyberbeveiliging zodat u een vloeiend gesprek kunt voeren met uw experts.
Wat is cyberbeveiliging?
Cyber Security is het beschermen van apparaten, diensten en netwerken – en de informatie daarover – tegen diefstal of beschadiging via elektronische middelen.
Wat moet ik weten over cyberveiligheid?
Er zijn drie veel voorkomende mythes over cyberveiligheid. Als u begrijpt waarom ze onjuist zijn, kunt u een aantal belangrijke aspecten van cyberveiligheid beter begrijpen.
Mythe 1: Cyber is complex, ik zal het niet begrijpen.
De realiteit: Je hoeft geen technisch expert te zijn om een geïnformeerde beslissing over cyberveiligheid te nemen.
We nemen elke dag beveiligingsbeslissingen (bijvoorbeeld of we het alarm aan moeten zetten) zonder dat we per se weten hoe het alarm werkt. Boards nemen regelmatig financiële of risicobeslissingen zonder dat ze de details van elke rekening of factuur hoeven te kennen. Het bestuur moet vertrouwen op zijn Cyber Security-deskundigen om inzicht te geven, zodat het bestuur weloverwogen beslissingen kan nemen over Cyber Security.
Mythe 2: Cyberaanvallen zijn geavanceerd, ik kan niets doen om ze te stoppen.
De werkelijkheid: Een methodische aanpak van Cyber Security en het doorvoeren van relatief kleine veranderingen kan het risico voor uw organisatie sterk verminderen.
Het overgrote deel van de aanvallen is nog steeds gebaseerd op bekende technieken (zoals phishing-e-mails) waartegen men zich kan verdedigen. Sommige dreigingen kunnen zeer geavanceerd zijn, waarbij gebruik wordt gemaakt van geavanceerde methoden om in te breken in extreem goed beveiligde netwerken, maar normaal gesproken zien we alleen dat niveau van betrokkenheid en expertise bij aanvallen door natiestaten. De meeste organisaties zijn waarschijnlijk geen doelwit voor dit soort aanhoudende inspanningen, en zelfs degenen die dat wel zijn, zullen merken dat zelfs de meest geavanceerde aanvaller zal beginnen met de eenvoudigste en goedkoopste optie, om hun geavanceerde methoden niet aan het licht te brengen.
Mythe 3: Cyberaanvallen zijn doelwit, ik loop geen risico.
De realiteit: Veel cyberaanvallen zijn opportunistisch en elke organisatie kan worden beïnvloed door deze ongerichte aanvallen.
Het merendeel van de cyberaanvallen is ongericht en opportunistisch van aard, waarbij de aanvaller hoopt te profiteren op een zwakheid (of kwetsbaarheid) in een systeem, zonder rekening te houden aan wie dat systeem toebehoort. Deze kunnen net zo schadelijk zijn als gerichte aanvallen; de impact van WannaCry op wereldwijde organisaties – van de scheepvaart tot de NHS – is hier een goed voorbeeld van. Als je bent aangesloten op het internet dan ben je blootgesteld aan dit risico. Deze trend van ongerichte aanvallen zal waarschijnlijk niet veranderen omdat elke organisatie – ook de uwe – waarde zal hebben voor een aanvaller, zelfs als dat gewoon het geld is dat u zou kunnen betalen in een ransomware-aanval.
De bevindingen van het Cyber Security Breaches Survey hieronder laten zien hoeveel organisaties onder cyberaanvallen komen te staan en hoe organisaties op dit risico reageren. Meer informatie vindt u in het volledige rapport.
Hoe werken cyberaanvallen?
Een goede manier om uw kennis over Cyber Security te vergroten is om voorbeelden te bekijken hoe cyberaanvallen werken en welke acties organisaties ondernemen om deze te beperken. Het beoordelen van incidenten die zich binnen uw organisatie hebben voorgedaan is een goed uitgangspunt om mee te beginnen.
Over het algemeen kennen cyberaanvallen 4 stadia:
- Onderzoek het onderzoeken en analyseren van de beschikbare informatie over het doelwit om potentiële kwetsbaarheden te identificeren.
- Aflevering het punt bereiken waarop u een eerste voet aan de grond krijgt in een systeem.
- Inbreuk de kwetsbaarheid/kwetsbaarheden uitbuiten om een of andere vorm van ongeoorloofde toegang te krijgen.
- Affect het uitvoeren van activiteiten binnen een systeem die het doel van de aanvaller bereiken.
