Moeten verzekeraars stoppen met uitbetalen van ransomeware-losgelden? Moet er een wet komen die het uitbetalen verbiedt? Aan deze vragen zitten zoveel haken en ogen dat we rustig kunnen stellen dat die hier onmogelijk te beantwoorden zijn. Maar ze houden ons als verzekeraar natuurlijk wel enorm bezig. Zo werken we uiteraard mee aan het ontwikkelen van preventieve maatregelen in allerlei denktanks, samen met diverse stakeholders. Een voorbeeld daarvan is de risicoklassenindeling digitale veiligheid van het CCV. Los daarvan schets ik hieronder graag enkele gedachten die kunnen helpen in de strijd tegen cybercrime.
Ransomware neemt een enorme vlucht. Daarom staat bij veel organisaties een cyberverzekering hoog op de agenda. Verzekeraars stellen steeds hogere eisen aan de cyberhygiëne bij organisaties, zoals een goede bescherming van endpoints (lap- tops, tablets et cetera) en data, en een gedegen patch-, backup- en toegangsbeleid. Deze eisen zijn veelal tot stand gekomen doordat verzekeraars een steeds beter beeld krijgen van de werkwijze van cybercriminelen.
Verzekeraars stellen steeds hogere eisen aan de cyberhygiëne bij organisaties
Een van de meest gebruikte technieken van cybercriminelen om in te breken op het netwerk is het verzenden van phishing-e-mails. Vaak wordt een medewerker verleid tot het invullen van gebruikersnaam en wachtwoord op een goed nagemaakte inlogpagina. Nadat de nietsvermoedende medewerker zijn gegevens heeft ingevuld, worden gebruikersnaam en wachtwoord keurig afgeleverd bij de cybercrimineel. Een belangrijk middel om misbruik van inloggegevens te voorkomen is multi-factor-authenticatie. Het gebruik van een wachtwoord als het enige authenticatiemiddel is onvoldoende en zelfs onveilig als een gebruiker via het internet inlogt. Het inloggen wordt veel veiliger als bijvoorbeeld een code die via een apart kanaal als SMS komt, moet worden ingevuld als extra authenticatie.
Een nog veiligere methode is het gebruik van push-authenticatie. Er wordt dan een pushmelding rechtstreeks naar een beveiligde applicatie op een apparaat van de gebruiker gestuurd om te waarschuwen dat er een authenticatiepoging plaatsvindt. De gebruiker kan de authenticatiegegevens bekijken en de toegang goed- of afkeuren. Deze vorm van authenticatie wordt onder andere gebruikt bij online bankieren.
Op dit moment is de veiligste manier inloggen zonder password, waarbij een wachtwoord niet meer nodig is. Microsoft en Google bieden een authenticator-app aan die als extra authenticatiefactor kan worden gebruikt. Een andere mogelijkheid is inloggen via gezichtsherkenning of een vingerafdruk, mits de hardware dit ondersteunt.
Kortom, multi-factor-authenticatie moet een standaard worden voor iedereen. Hierdoor zijn we veel beter bewapend tegen misbruik van inloggegevens.
Sander Verloop is Risk Engineer bij HDI Risk Consulting