Recente hacks in binnen- en buitenland: wat kun en moet je doen als het gaat om security?
De grootschalige hack bij Odido ligt nog vers in ons geheugen, en toch zijn sindsdien meerdere grote incidenten een feit. Rituals moest onlangs klanten informeren over een “ongeautoriseerde download” van ledengegevens (naam, adres, geboortedatum). ChipSoft, het bedrijf verantwoordelijk voor het Elektronisch Patientendossier (EPD), meldde een ransomware-incident waarbij patiëntgegevens werden gestolen. En zelfs in de entertainmentwereld duiken datalekken op. Als gevolg van een hack bij Paramount Global werd de verwachte kaskraker “Avatar, the legend of Aang” volledig gelekt. Compleet verschillende bedrijven die leerden: niemand is veilig. Wat kun en moet je doen?
Zelf zien we dat ook kleinere organisaties slachtoffer worden. Die komen weliswaar niet in het nieuws, maar kloppen bij ons aan nadat hun systeem is gehackt. Het bewijst dat elk bedrijf doelwit is. Johan Voerman, Business Expert Security bij Fellowmind, volgt dit soort incidenten op de voet en ziet dezelfde patronen terug bij organisaties in vrijwel elke sector. “Aanvallers schieten ook gewoon met hagel en zien altijd mogelijkheden om geld te verdienen. Geen enkel bedrijf is zomaar veilig.”
Gevaarlijke aannames over kwetsbaarheden
Twijfelen of je doelwit bent maakt je dus al kwetsbaar. Combineer dit met misvattingen en aannames, bijvoorbeeld dat omdat je een grote organisatie bent en het dus wel op orde hebt, en het risico is compleet. In de praktijk worstelen namelijk juist grotere omgevingen met de complexiteit van verouderde IT. “Juist die legacy-systemen is killing als je veilig wilt zijn.” zegt Johan. “Je bent minder wendbaar en moet meer werk verzetten om de juiste maatregelen te treffen. Onlangs lanceerde Anthropic het AI-model Mythos, een model dat op kwetsbaarheden checkt. Dit gaat vele malen sneller en beter dan mensen dat kunnen. Maar al die kwetsbaarheden moet je wel oplossen, en dat is mensenwerk. Hoe langer een organisatie bestaat, hoe ouder systemen vaak zijn en hoe meer kwetsbaarheden deze bevatten. Dat vraagt om acute aandacht.”
Hoe langer een organisatie bestaat, hoe ouder systemen vaak zijn en hoe meer kwetsbaarheden deze bevatten. Dat vraagt om acute aandacht.
De tweede misvatting gaat over waar cybercriminelen naar zoeken en dit raakt organisaties van elke grootte. “Ze zoeken niet altijd wachtwoorden of betaaldata. Het is juist onschuldiger. Naam, woonplaats en geboortedatum is vaak al genoeg. Ze gaan geraffineerd te werk en doen hun huiswerk. Ze hebben, net als een volwassen marketingteam, een flow waarin ze mensen volgen, benaderen en opvolgen. Simpele persoonsgegevens zijn daardoor al genoeg om mensen geloofwaardig te benaderen.”
Waarom worden organisaties getarget?
Het simpele antwoord op de vraag waarom je wel of geen doelwit bent, is dit: omdat data en toegang geld waard zijn. Naast dat er rechtstreekse, 'traditionele' hacks zijn, waar 1 partij rechtstreeks bij de getargete organisatie binnendringt, beschrijft Johan een volwassen criminele keten waarin twee groepen criminelen 'samenwerken': “Zogenaamde harvesters, verzamelen op grote schaal identiteitsgegevens en inlogcombincaties, bijvoorbeeld via phishing of infostealer-malware. Deze gegevens verkopen ze via marktplaats voor een klein bedrag aan de tweede groep cybercriminelen: gespecialiseerde aanvallers. Soms mikken ze op data-exfiltratie, soms op afpersing, soms op financiële fraude via e-mail.”
De gelaagde impact van een security hack: schade op vele fronten
We denken al snel aan financiële impact, zoals een organisatie die losgeld moet betalen om weer toegang tot haar systemen te krijgen of afpersing: betalen om te voorkomen dat data verkocht wordt. Maar de impact wordt snel groter: administratief en imago-technisch. Denk aan herstelkosten, downtime, forensisch onderzoek, meldplichten en intensieve communicatie met klanten en toezichthouders. Juist die communicatie bepaalt vaak het vertrouwen: “In het geval van Odido was juist die communicatie was heel slecht,” merkt Johan op. “Een merknaam ligt zo al snel te grabbel.” Maar niet altijd blijft het beperkt tot reputatieschade.
Voorkomen, want kun je wel genezen?
Van sommige dingen kun je moeilijk terugkomen. “Inmiddels is bekend dat een grootschalige claim wordt ingediend namens tenminste 350.000 gedupeerden. Los van of Odido de zaak wint of verliest: die klanten zijn ze zeer waarschijnlijk kwijt. Wil je de impact van een hack of grootschalig securityincident voorkomen, dan is het noodzaak misbruik structureel lastig, zo niet onmogelijk te maken.” Daarmee doelt Johan op sterke e-mailbeveiliging, strakke policies en procescontroles. Een praktisch voorbeeld hiervan is een alert instellen wanneer iemand een rekeningnummer wijzigt, zodat een tweede paar ogen kan nagaan op basis waarvan deze wijziging wordt doorgevoerd en je voorkomt dat facturen voortaan direct aan criminelen worden betaald. Hij vult aan: “Kijk ook nadrukkelijk naar je keten. Daar is ook de NIS2-wetgeving voor. Deze legt extra nadruk op leveranciersbeheer en aantoonbare grip op ketenrisico’s.”
Wil je de impact van een hack of grootschalig securityincident voorkomen, dan is het noodzaak misbruik structureel lastig, zo niet onmogelijk te maken.
Maak je organisatie weerbaar met kleine en grote stappen
Fellowmind helpt klanten onder meer met een Email Security deployment package. Denk aan zaken als e-mailauthenticatie (SPF, DMARC, DKIM), anti-phishing/anti-spam/anti-malware en het blokkeren van verouderde verificatie, gebaseerd op Microsoft Defender for Office 365. De aanpak is pragmatisch en gefaseerd: van kick-off met security scan en design workshop tot uitrol en hypercare. Dit borgt dat security en operatie in balans blijven. “Je wilt niet de continuïteit van je business verstoren. Daarom werk je aan de veiligheid terwijl de winkel open is. En dat is misschien niet altijd even makkelijk, maar met de juiste hulp absoluut haalbaar.”
Elk risico uitsluiten? Begin met de security checklist.
