Bron: Nieuwsplatform Securitas
U hebt het goed voor elkaar; de mooiste hardware, de slimste software én een beveiligd bedrijfsnetwerk. Toch bent zelfs u kwetsbaar. Want bij bedrijfsspionage is niet het systeem, maar de mens de zwakste schakel, stelt Mark van den Wijngaard, veiligheidsdeskundige bij Securitas en docent op de opleiding Risicomanager.
Gevaren bedrijfsspionage
Het Nederlandse bedrijfsleven is zich volgens Mark van den Wijngaard nauwelijks bewust van de gevaren van bedrijfsspionage. ‘Bedrijven beseffen pas achteraf dat bedrijfsgevoelige informatie is verdwenen. De financiële schade loopt hierdoor in de miljarden en reputatieschade ligt op de loer.’
Cyberrisico’s
Uit een studie van Deloitte naar cyberrisico’s in Nederland van april dit jaar blijkt dat cybercriminaliteit organisaties maar liefst 10 miljard euro per jaar kost. Uitgaande van een worst case scenario kan het verlies voor individuele bedrijven oplopen tot achttien keer meer dan het waardeverlies dat ze mogen verwachten.
Verstoring van operationele continuïteit
Een groot risico op waardeverlies (ruim 40%) komt voort uit het onderbreken van de operationele continuïteit. Dit is het gevolg van gerichte aanvallen door partijen die uit zijn op verstoring, maar ook een bijkomend gevolg van breder gerichte cybercriminaliteit. Verstoring raakt bijna alle organisaties. Een ander groot waardeverlies (bijna 40%) komt voort uit het kwijtraken van intellectueel eigendom, strategische informatie en verminderde betrouwbaarheid van producten en diensten.
Verlies van bedrijfsgevoelige informatie
Bedrijfsgevoelige informatie is volgens Mark van den Wijngaard vaak slecht beveiligd met als gevolg dat concurrenten er met ideeën vandoor gaan of dat data simpelweg kwijtraken. ‘Cyber- en fysieke beveiliging hangen nauw met elkaar samen’, zegt hij. ‘Je kunt alles perfect technisch hebben dichtgetimmerd, maar als er vervolgens via de HR-afdeling een kwaadwillende als sollicitant binnenkomt, dan werkt zelfs de beste beveiligingstechnologie niet meer.’ Een ander voorbeeld is het onbewaakt verrichten van onderhoud aan servers in bijvoorbeeld datacenters. ‘Het kan ronduit gevaarlijk zijn om externen alleen te laten met waardevolle data. Beter is het ‘vier-ogen-principe’ en noodzakelijk onderhoud onder toezicht laten verrichten.’
Social engineering
Voorafgaand aan een (cyber)aanval wordt vaak gebruik gemaakt van social engineering. Daders vergaren gevoelige informatie via lokmails of door onder valse voorwendselen medewerkers te bellen en gebruikersnamen en wachtwoorden te ontfutselen. Daarnaast winnen ze via het internet informatie in over medewerkers van een bedrijf. Mensen delen veel over zichzelf op sociale netwerken als LinkedIn en daar wordt gretig misbruik van gemaakt. ‘Social engineering is een bijzondere tak van sport waartegen maar weinig mensen zijn bestand’, zegt Mark van den Wijngaard. ‘Mensen worden zo gemanipuleerd dat ze toegang geven tot vertrouwelijke gegevens. Daders maken gebruik van psychologische trucs. Een compliment geven bijvoorbeeld is een veel gebruikte tactiek, dat werkt altijd. Of ze spelen in op je nieuwsgierigheid. Mensen zijn in het begin vaak nog wel alert, dat hebben ze geleerd. Maar zodra ze het gevoel hebben dat iemand vertrouwd is, dan geven ze je alles.’
Informatie prijsgeven
Zo blijken medewerkers van salarisadministraties bereid telefonisch een burgerservicenummer door te geven als ze denken met een medewerker te maken te hebben die het hard nodig heeft, concludeerde Mark van den Wijngaard uit eigen onderzoek. En ook via email geven mensen gemakkelijk informatie prijs, merkte hij. ‘In een gecontroleerde bedrijfsomgeving stuurden we als test een Arbo-enquête rond met daarin allerlei vragen over werkomstandigheden. Het thema hadden we expres gekozen. Veel mensen vinden het prettig als het over henzelf gaat. Als ze iets kunnen zeggen over hun eigen omstandigheden.’
Pure misleiding
‘In feite was het pure misleiding, een afleidingsmanoeuvre’, vervolgt hij. ‘Het enige wat wij écht wilden weten was de informatie onder het kopje van de enquête: de naam, functie, standplaats en personeelsnummer. Om te kijken hoe scherp mensen waren schreven we dat de vragenlijst van hun eigen HR personeelsafdeling afkomstig was, maar stuurden we de email en bijlage via een hotmailaccount.’
Met de antwoorden op zak kon een vervolgactie niet uitblijven. Mark van den Wijngaard deed zich voor als medewerker en belde de salarisadministratie met het verhaal dat hij zijn burgerservicenummer nodig had voor het afsluiten van een hypotheek. ‘Tot mijn verbazing gaven sommige medewerkers het direct, anderen vroegen naar mijn personeelsnummer en dat had ik natuurlijk. Het bleek kinderlijk eenvoudig om informatie los te peuteren.’
‘De nep-enquête werd ondanks de signalen door veel mensen geopend’, zegt Van den Wijngaard. ‘Dat toont aan hoe naïef we zijn en hoezeer we bereid zijn antwoord te geven op de vragen die ons worden gesteld. Ook al ben je nog zo goed beveiligd, als mens ben je kwetsbaar.’
Informatie is het nieuwe goud
‘Cybercrime, identiteitsfraude en bedrijfsspionage vormen de top drie van huidige dreigingen’, weet de veiligheidsspecialist. ‘Informatie is het nieuwe goud en daarvan komt steeds meer beschikbaar. Tegelijkertijd is bedrijfsspionage gemakkelijker geworden. Voor kwaadwillenden is het slechts een kwestie van de puzzelstukjes verzamelen om een compleet beeld te verkrijgen.’
Volgens Mark van den Wijngaard is het belangrijk dat risico’s beter worden geïnventariseerd en dat medewerkers worden getraind in het herkennen van verdachte mails en telefoontjes. Ook moeten bedrijven ervoor zorgen dat medewerkers afwijkende situaties eenvoudig kunnen melden en dat er duidelijke veiligheidsrichtlijnen zijn.
‘Het veiligheidsbewustzijn binnen een organisatie is pas effectief wanneer dit wordt gewaarborgd in een continu proces’, zegt hij. ‘Dat betekent dat organisaties het risico van bedrijfsspionage en van cybercrime moeten opnemen in hun risicoprofiel. Zij moeten accepteren dat het gebeurt om het vervolgens in securityplannen te kunnen vertalen in maatregelen.’
Need to know of nice to know?
Belangrijke maatregelen zijn volgens hem awareness-programma’s voor medewerkers. Daarnaast moeten organisaties nadenken over de waarde van hun informatie. ‘Informatiebeveiliging is tegenwoordig het belangrijkste wat er is. Je moet dus goed weten wie je toegang geeft tot welke informatie. Is er sprake van need to know, of nice to know? Dat is de vraag die je jezelf moet stellen. Het kan nuttig zijn om informatie te kwalificeren en zo te bepalen tot welk niveau medewerkers toegang krijgen tot bepaalde informatie. Een ander belangrijk thema is een zorgvuldige screening van mensen. Zeker op vertrouwensposities’, zegt Mark van den Wijngaard. ‘Er wordt slecht gescreend, referenties worden vaak nauwelijks gecheckt.’
Awareness-programma’s
Hoewel Securitas niet actief is in ICT Beveiliging, speelt awareness wel een belangrijke rol in awareness-programma’s. ICT komt daarin zeker aan bod. ‘In dit soort programma’s leren we mensen hoe belangrijk het is om zelf na te denken en afwijkingen te signaleren. Daarmee voorkom je narigheid op veel vlakken, fysiek én digitaal. Via bedrijfsspionage kunnen kwaadwillenden sociale interventies uitvoeren op de mensen achter de systemen’, zegt hij. ‘Awareness-programma’s maken mensen bewust. Ze leren bijvoorbeeld dat je bij normafwijkingen nooit privacygevoelige informatie moet prijsgeven. Als je gebeld wordt door de ING bijvoorbeeld, dan moet er een alarmbelletje afgaan. Is een aanbieding te mooi om waar te zijn? Dan klopt het vaak niet.’
De oplossing?
Dat het veiligheidsbewustzijn omhoog moet staat vast. Gemakkelijk is dat echter niet, waarschuwt Mark van den Wijngaard. ‘Het lastige is dat alles wat we denken, doen en uitvoeren gebaseerd is op onze eigen ervaringen. Zolang mensen zelf geen slachtoffer worden is het moeilijk om dit bewustzijn tussen de oren te krijgen. Mensen vormen daardoor de sterkste, maar tegelijkertijd de zwakste schakel.’
Meer weten?
Op de opleiding risicomanager leert u hoe u uw organisatie beschermt tegen mogelijke risico’s.
Op de cursus Cyber Security leert u hoe u uw organisatie beschermt tegen cybercrime en datalekken.
Op de cursus Wetgeving & Security leert u wat de juridische mogelijkheden en onmogelijkheden zijn op het terrein van security.