De financiële impact van cybercrime kan een bedrijf kapotmaken

De financiële impact van cybercrime kan een bedrijf kapotmaken

3508 2339 PE-café

De financiële impact van cyberaanvallen op bedrijven kan desastreus zijn. Het financiële team moet volgens Michel Schaalje (Cisco) zich dat realiseren, temeer daar het risico op een aanval groter wordt doordat cybercriminelen nu snel professionaliseren. ‘Ze werken echt met een businessmodel.’

Volgens IT-dienstverlener Cisco heeft meer dan een derde van de organisaties die in 2016 te maken heeft gehad met een securitydoorbraak, aanzienlijke schade geleden. Deze organisaties hebben een verlies gezien van meer dan 20 procent van hun omzet, van hun klantenbestand en van hun zakelijke kansen. De financiële impact van aanvallen op bedrijven, van mkb tot enterprise, is dus groot. Niet verwonderlijk dat negentig procent van deze organisaties na de aanval werkt aan een betere verdediging tegen dreigingen en processen.

Bij meer dan de helft van de bedrijven die met een securitydoorbraak te maken kregen, is deze doorbraak in de openbaarheid gekomen. Operationele en financiële systemen werden het meest getroffen, verder werd de merkreputatie aangetast en liepen klanten weg. ‘Cybercrime is een feit,’ zegt Michel Schaalje, technisch directeur bij Cisco. Met cybercrime verdienen mensen veel geld, het is een ‘markt’ van een paar miljard. Steeds vaker ligt er ook een echt businessmodel aan ten grondslag. Er is geen ontkomen aan, het gebeurt je vroeg of laat gewoon. Dus moet je goed voor ogen hebben wat je kan overkomen.’

Moet de financiële afdeling trillen zodra ze zulke cijfers horen?
‘Het zijn ook de financiële afdeling en de operationele tak die het meest aangevallen worden en door cybercriminelen worden onderzocht op gaten. Voor hen valt daar vaak de meest waardevolle informatie te halen. Stap één is dat deze afdelingen zich dat bewust moeten zijn. Je zult als organisatie deze afdelingen dus moeten wijzen op de risico’s. Maar voor stap twee, de daadwerkelijke beveiliging, zijn ze meestal afhankelijk van de IT-afdeling. Als een organisatie zich wil wapenen tegen cybercrime gaat niet alleen om IT-medewerkers, maar ook om de andere werknemers.’

Wat is de financiële impact?
‘Die impact hangt af wat een hacker probeert te bereiken. Is hij eropuit om betaald te krijgen na een aanval met ransomware, of werkt hij voor een concurrent? De Amerikaanse overheid heeft bijvoorbeeld de F35 straaljager laten ontwikkelen. De geheime dienst had een analyse gemaakt en stelde vast dat die F35 zo’n 10 tot 15 jaar voorop liep op de Chinezen, qua kennis. Die straaljager kwam beschikbaar en enkele maanden later kwam de Chinese overheid met eenzelfde soort vliegtuig. Als je ze naast elkaar zou zetten, zie je identieke vliegtuigen. Fabrikant Lockheed was gehackt, de bouwtekeningen waren gestolen. Is dat in geld uit te drukken? De impact kan immens zijn. Zoiets kan niet alleen de fabrikant fataal worden, maar zelfs van invloed zijn op het machtsevenwicht in de wereld.’

Het is toch schrikbarend dat dergelijke impact mogelijk is?
‘Het is maar net waar hackers op uit zijn. Een inbreker richt zich op de kluis en is niet geïnteresseerd zijn in wat er in het keukenkastje staat. In die kluis liggen geld, kostbaarheden, blauwdrukken van nieuwe producten, concurrentiegevoelige plannen, enzovoort. Wie bij de financiële afdeling weet in te breken kan niet alleen informatie wegsluizen, maar ook geldstromen beïnvloeden. Dat kan dus een gigantische impact hebben op een organisatie, maar denk ook aan de reputatie en het vertrouwen die geschaad worden.’

Ontkennen van de ernst van cybercrime kan niet langer, nu zeker een derde van de organisaties hiermee kampt.
‘Je ziet steeds vaker voorbeelden dat het elke organisatie kan overkomen. Een paar weken terug was een hotel in Oostenrijk het slachtoffer van ransomware. Alle deuren gingen op slot en de gasten konden hun kamer niet in. Er moest losgeld in bitcoins betaald worden om de deuren weer te openen. Betalen was voor het hotel de snelste oplossing, de gasten moesten immers zo snel mogelijk hun kamers in kunnen. Het betalen van een fee is volgens ons nooit de goede oplossing. Daarmee houd je juist de cybercrime-industrie in stand. Maar ja, als jouw pc thuis gehackt wordt en al je foto’s staan erop, welke beslissing neem je dan? Het hotel wil natuurlijk graag imagoschade voorkomen en zo snel mogelijk de gasten weer van dienst kunnen zijn. Tja, al snel bleek dat het al de zoveelste keer was dat het hotel getroffen werd door cybercrime…’

‘Er zijn talloze oplossingen te bedenken, maar helemaal voorkomen lukt nooit. Het is net als bij de ouderwetse inbreker. Je moet zorgen dat inbreken moeilijker bij jou is dan bij je buurman, zodat ze naar je buurman gaan.’

Organisaties willen zo snel mogelijk die fee betalen. Dat duidt op paniek. Is dat geen gebrek aan awareness?
‘Het is een verkeerde risicoafweging geweest. Neem het hotel als voorbeeld. Klanten hebben een kamer, ze zijn er op vakantie. De server was gehackt. Er moest een ingenieur langskomen, het hele systeem resetten. Dat duurde veel te lang. Die hebben het losgeld betaald. Awareness dat het hotel doelwit zou kunnen zijn was er in dit geval zeker. Maar of het management zich gerealiseerd heeft dat hackers alles op slot zouden kunnen doen?’

Wat kunnen financial teams doen om een effectieve aanpak vast te stellen?
‘Een effectieve aanpak is niet zozeer de taak van het financial team. Je moet als organisatie als eerste een beveiligingsplan opstellen. Welke informatie hebben we, welke waarde vertegenwoordigt die, wat is al goed beveiligd en welke info vormt geen risico als die in handen van derden valt. Aan de hand daarvan ga je bepalen wie toegang heeft tot welke informatie, vanaf welk device, wanneer en vanaf welke locatie. Daar richt je de beveiliging op. Vervolgens moet je die van tijd tot tijd toetsen, want door verdere digitalisering wordt je organisatie in principe ook kwetsbaarder. Laat ethical hackers proberen in te breken. Dan weet je waar de eventuele zwakke plekken zitten.’

Na alle onheilspellende geluiden: zijn er ook lichtpunten?
‘Digitaliseren brengt voor ons allemaal enorme voordelen met zich mee. Kijk hoe we tegenwoordig leven. Waar we internet voor gebruiken, hoe we communiceren. Het is absoluut niet allemaal kommer en kwel op het internet. Zoals we elke dag zien kun je veel goede dingen doen met internet, maar ook kwade. De kwade geesten moet je er dus uitfilteren, dat is de uitdaging.’

Bron: www.cmweb.nl