Dat het risico op cybercriminaliteit groot is, is algemeen bekend. Dat door AI, én helemaal de combinatie van AI en de snelheid van quantumcomputing, die kwetsbaarheden groter worden, is ook een gegeven. De stem van iemand anders en daarmee een deel van zijn of haar identiteit overnemen, is eenvoudig. Phishingmail behoort inmiddels tot het standaard mailverkeer en ga zo maar door.
In het onlangs uitgebrachte jaarverslag van de AIVD stelt deze organisatie: “Veel landen proberen ten koste van andere landen hun positie te versterken. Dat is geen gewapende strijd. Maar er is wel conflict. En het raakt Nederland en zijn belangen. Landen voeren dat conflict door cyberaanvallen uit te voeren op zoek naar economisch voordeel.”
Geen tijd meer voor naïviteit
Kortom, er is geen tijd meer voor naïviteit maar het is de hoogste tijd voor het robuust maken van onze organisaties tegen deze dreigingen. En realiseer je daarbij dat het vaak de mensen zijn die zich bewust of onbewust niet aan de regels houden. Hoe werkt dat laatste dan in de praktijk? Voor de twijfelaars: test het zelf! Er was eens… (geen sprookje of toekomstverhaal maar de harde werkelijkheid). Ik schets u hier een beeld van de praktijk bij een gemiddelde organisatie. En nogmaals: geen sciencefiction.
Bij de organisatie waar dit speelde (een middelgroot adviesbureau) meldde zich bij de receptiebalie een meneer in spijkerbroek en polo met daarop het logo en de naam van een grote landelijke telecomprovider. “Ik kom voor de patchkast van de computer want er is een storing op het systeem gemeld. De hele straat heeft er last van. Ik weet de weg en ben zo klaar.” De man toont ongevraagd een pasje van zijn bedrijf en loopt richting het toegangspoortje.
Wat denkt u dat er in 80 procent van de gevallen en dus ook hier gebeurt? Juist: door het strakke verhaal, het doortastend handelen compleet met pasje en bedrijfskleding krijgt die persoon, tegen de afspraken in, toegang tot het gebouw. En de rest is (zeker voor iemand met ervaring) een peulenschil.
Werp barrières op waardoor onbevoegden uitwijken naar de buren
Als dit geen security-audit of red teaming-test geweest zou zijn, dan waren de gevolgen groot geweest. Immers, er kan van alles aan het systeem gehangen worden waardoor dit gesaboteerd kan worden. Of uit het systeem gehaald om daarna de eigenaar om losgeld te vragen. Daarom moet het beveiligingssysteem structureel getest worden. Dat houdt de organisatie en haar medewerkers scherp op waar het nu net allemaal om draait. Namelijk: altijd voldoende barrières op blijven werpen, waardoor onbevoegden uit gaan wijken. Heel simpel, net als vroeger bij het hang- en sluitwerk van je woning. Doe jij het beter dan de buren dan gaat men daar naartoe.
De proef op de som nemen is testen en maatregelen nemen. Dat voorkomt veel ellende. De moeite van het proberen waard!
Richard Franken is directeur van Franken Security Solutions. Daarvoor was hij directeur bij van Aetsveld, The Hague Security Delta, Trigion en Hoffmann bedrijfsrecherche.
Meer blogs van Richard Franken
Volg Security Management op LinkedIn
;