Danny Mekić over cybercrime
Wat zie je als de grootste dreiging in cybercrime?
“Met technologie die ons op verschillende vlakken met de buitenwereld verbindt creëren we ook meer afhankelijkheden. De dreiging kent twee belangrijke lagen. De technologie zelf en de veiligheid ervan, en de mens die de technologie gebruikt.”
Wat is het probleem met de technologie?
“Er komen steeds meer hardwarecomponenten bij, die allemaal verbonden zijn met het internet en die allemaal hun eigen software hebben. Het ontbreekt simpelweg aan IT-mankracht om de veiligheid daarvan te bewaken. Bovendien zijn de kosten hiervan voor veel bedrijven te hoog.
Het was Sony’s CIO die zei dat het meer kost om alle systemen goed te beveiligen, dan de prijs bedraagt van eventuele schade en vergoedingen, als het een keer mis gaat met de cyberveiligheid. Dat de cybersecurity niet op orde is, komt voor een groot deel door economische afwegingen.”
Wat doet de menselijke factor?
“Je kunt alles beveiligen, maar honderd procent veiligheid bestaat niet. Het probleem is dat er altijd iets fout kan gaan door menselijk handelen. Bijvoorbeeld door iemand die via de telefoon informatie verstrekt waar misbruik van kan worden gemaakt. Of door het verlies van een usb-stick die op een parkeerplaats in verkeerde handen valt.
De meeste aanvallen in cybercrime beginnen door een menselijke fout
Bij ziekenhuizen zie je al grote problemen. Ook daar is er sprake van een verregaande digitalisering en kan menselijk handelen voor problemen zorgen. Iemand kan inloggen in een dossier en vergeten uit te loggen, of een wachtwoord delen met anderen uit gemak. Het is vaak juist dat gemak dat de veiligheid bedreigt en het is altijd de vraag of mensen regels voor veiligheid opvolgen. De meeste cybercrime-aanvallen beginnen door een menselijke fout.”
Zie je trends in cybercrime?
“Wat echt een vlucht neemt, en steeds beter wordt uitgevoerd, is de mail die je krijgt van een collega. Althans, van iemand die zich voordoet als een collega met een verzoek. Het is voorgekomen dat de CFO van een bedrijf in de veronderstelling is dat hij een mail ontvangt van de CEO waarin hem wordt gevraagd een betaling te doen.
Vaak is bij een eerdere hack al toegang verkregen tot de bedrijfssystemen en lijkt de mail in alle opzichten echt, tot aan de juiste roepnaam aan toe. Ik krijg maandelijks mails van mensen die dit is overkomen. Omdat de schaamte bij slachtoffers groot is, heb ik het gevoel dat die groep nog maar het topje van de ijsberg is.”
Is het zo slecht gesteld met de beveiliging van Nederlandse bedrijven?
“Onderzoeken van de Europese Commissie wijzen uit dat Nederland het goed doet in vergelijking met andere landen. We lopen voorop in de aanpak van cybercrime, maar het kan beter. Hoe, ligt een beetje aan de grootte van het bedrijf.
Voor heel grote organisaties zoals multinationals is het belangrijk om echt goede experts in huis te halen. Uiteraard moeten kleinere organisaties ook hun maatregelen nemen voor veiligheid, met onder meer anti-virussoftware, een firewall en bijvoorbeeld de uitschakeling van usb-poorten. Vooralsnog ondernemen bedrijven te weinig actie.”
Wat moet er gebeuren?
“Ik vind dat het afgelopen moet zijn met deze terughoudende houding. Het is simpelweg de plicht en de taak van het bedrijfsleven om belangrijke gegevens te beschermen tegen kwaadwillenden. Ik vind dat we er samen naartoe moeten dat we het gewoon niet meer pikken als bedrijven te makkelijk met cybersecurity omspringen.”
Kan de overheid een rol spelen?
“Beveiliging tegen cybercrime is in eerste instantie de verantwoordelijkheid van het bedrijfsleven. Natuurlijk kan de overheid wel optreden als er wordt verzaakt. Maar nog belangrijker vind ik het dat de overheid zelf het goede voorbeeld geeft.”