Dit zijn de online risico’s die bedrijven bedreigen in 2020

Hacks door buitenlandse overheden, multivector-aanvallen en nieuwe gevallen van ceo-fraude; er zijn nogal wat bedreigingen waar organisaties zich tegen moeten wapenen komend jaar.

Cybercriminelen halen bijna iedere dag het nieuws met steeds geavanceerdere aanvallen op individuen en organisaties. Met name grote bedrijven, waar veel te halen valt, zijn geliefde doelwitten. Daar zal in 2020 niets aan veranderen. Maar de manier waarop hackers toeslaan – en door wie ze worden aangestuurd – verandert wel.

Enterprises moeten op hun hoede zijn voor nieuwe bedreigingen en voor een aantal oude bekenden in een nieuw jasje. Allereerst wil ik wijzen op het gevaar van multivector-aanvallen. Dit zijn complexe aanvallen, bedoeld om door de verschillende beveiligingslagen van organisaties heen te komen. Omdat de bestaande beveiliging niet opgewassen is tegen een combinatie van aanvallen via verschillende ingangen (bijvoorbeeld via phishing of niet geüpdatete software) is het voor cybercriminelen een succesvolle methode om netwerken binnen te dringen.

Spierballen

Ook de introductie van IoT in een zakelijke context brengt gevaren met zich mee. Slecht geconfigureerde en niet goed beveiligde IoT-infrastructuur zal leiden tot meer datalekken en verstoringen op de werkvloer. Bij de adoptie van nieuwe technologie komt functionaliteit nu eenmaal eerst en is beveiliging een tweede stap; cybercriminelen gaan deze beginfase in hun voordeel gebruiken. Ik verwacht dat dit komend jaar gaat leiden tot een aantal grote IoT-hacks. Het is niet ondenkbaar dat de hacks afkomstig zijn van buitenlandse overheden. China, Rusland of Noord-Korea willen daarmee hun spierballen laten zien.

Kwaadwillende mogendheden zijn bovendien vaker geneigd gebruik te maken van medewerkers als wapen. Saudi-Arabië wist recent twee personeelsleden van Twitter te rekruteren om persoonsgegevens van dissidenten door te spelen. Zeker in het geval van enterprises die hun cybersecurity goed op orde hebben, kan het voor buitenlandse overheden en geheime diensten makkelijker en goedkoper zijn om een medewerker van de tot doelwit gemaakte organisatie voor hun karretje te spannen. In 2020 zal er dan ook meer aandacht zijn voor de menselijke factor in het beveiligingslandschap. Een datasecuritybeleid is essentieel om te bepalen wie toegang heeft tot welke informatie. Daarnaast willen en moeten organisaties inzetten op een veiligheidscultuur die zowel fysieke als online bedreigingen het hoofd kan bieden.

Grote sommen geld

Want ook phishing, ransomware en ceo-fraude blijft veelvuldig voorkomen. De e-mails die beoogde slachtoffers ontvangen worden steeds persoonlijker en venijniger; bovendien zien we dat cybercriminelen een tijd lang e-mails meelezen om de juiste toon aan te slaan, de relevante leidinggevenden te noemen en op het juiste moment een (transactie)verzoek te doen. Opnieuw gaan we horen over directieleden van bekende bedrijven die grote sommen geld hebben overgemaakt naar criminelen.

De risico’s nemen helaas alleen maar toe. Organisaties zullen in alle lagen een groot veiligheidsbewustzijn nodig hebben om aanvallen succesvol af te weren. Het goede nieuws is dat het bewustzijn te trainen is. Als ik één advies mag geven voor 2020: zorg dat de mensen het bedrijf veilig houden, en vertrouw niet alleen op technologie.

Over de auteur: Jelle Wieringa werkt als Technical Evangelist voor KnowBe4.