In 2018 kregen bedrijven met minder dan duizend werknemers met vijf keer meer incidenten per persoon af te rekenen. Kmo’s denken vaak dat ze geen aantrekkelijk slachtoffer vormen voor cybercriminelen, maar het omgekeerde blijkt waar, zo vertelt Eward Driehuis, Chief Research Officer bij SecureLink.
Techzine sprak met Driehuis naar aanleiding van het jaarlijkse beveiligingsrapport dat SecureLink vandaag heeft gepubliceerd. Dat rapport werd samengeseld op basis van een kwart miljoen beveiligingsincidenten die het Cyber Defense Center van de cybersecurityspecialist het afgelopen jaar heeft geanalyseerd.
De algemene conclusie is dezelfde als eerder ook in de jaarrapporten van Sophos en SecureWorks aan het licht kwam. Cybercriminelen gaan steeds geavanceerder te werk en elk bedrijf loopt risico om gehackt te worden, niet alleen de enterprises. De cijfers van SecureLink ondersteunen dat.
Lees dit: Cybercriminaliteit in 2018: meer opbrengst voor kleinere groep criminelen
73 procent van de securityincidenten gebeurt in grote ondernemingen, omdat ze nu eenmaal meer personeel hebben om te phishen of op een andere manier te misleiden. Wanneer je het aantal incidenten per persoon gaat berekenen, worden kleine bedrijven evenwel beduidend meer getroffen.
“Het totale aantal incidenten ligt natuurlijk hoger bij grote bedrijven, maar als we delen door het aantal werknemers stellen we 7 incidenten per 100 medewerkers vast bij kmo’s, tegenover 1,5 per 100 voor grote ondernemingen”, legt Driehuis uit. “Kleine bedrijven hebben over het algemeen minder processen om met zo’n incidenten om te gaan, dus is de impact vaak groter.”
Supply chain
Driehuis vermoedt dat kmo’s vandaag vaker worden aangevallen dan enkele jaren geleden, omdat cyberciminelen hun aanvalsmodellen zijn verbeterd en beter gericht zijn op kleine bedrijven. “Een bedrijf met 50 medewerkers moet ook op het einde van elke maand salarissen uitbetalen. Criminelen verplaatsen zich beter in hun slachtoffer en begrijpen beter waar ze het geld kunnen gaan halen”, vertelt de CRO van SecureLink.
“APT’s gaan op zoek naar de zwakste schakel in de supply chain van hun slachtoffer. Dat zijn vaak de kleinere bedrijven.”
Een andere reden die hij onderscheidt heeft betrekking tot spionage door zogenaamde Advanced Persistent Threats (APT’s). Dat zijn veelal staatsgebonden partijen, die zich op andere landen of grote organisaties richten. In plaats van rechtstreeks op hun doelwit af te gaan, kiezen deze APT’s er evenwel steeds vaker voor om de supply chain aan te vallen.
“APT’s gaan op zoek naar de zwakste schakel in de supply chain van hun slachtoffer”, verduidelijkt Driehuis. “Dat zijn vaak de kleinere bedrijven, of alleszins bedrijven met minder goede security. Zo worden ook kmo’s een schakel van die aanvalsketting.”
Impact
Bijna alle aanvallen hebben vandaag een meetbare impact op de bedrijfsvoering, financieel of op een andere manier. Driehuis ziet een verschuiving naar het midden toe. “Er zijn niet veel aanvallen meer die geen impact hebben, maar de silver lining is dat ook het aantal aanvallen met echt catastrofale gevolgen afneemt.”
Veel bedrijven denken nog steeds dat het implementeren van technische oplossingen zoals een firewall of antivirusoplossing volstaat, maar dat is al enkele jaren niet meer het geval. “Die technische oplossingen pakken nog wel de bodemlaag van de bedreigingen aan, maar de handmatige aanvallen die we vandaag zien, kan je er niet mee tegenhouden”, waarschuwt Driehuis. “Dat soort aanvallen gebeurt misschien minder vaak, maar hun impact is veel groter. Alleen op techniek vertrouwen is onvoldoende, ook voor kleine bedrijven.”
“Als je vertrouwt op de alertheid van je werknemers om wel of niet gehackt te worden, dan is dat een dunne laag.”
Of het nu gaat om een kleine crimineel of geavanceerde cyberspionage, het begin van een aanval begint bijna altijd op dezelfde manier: je moet een slachtoffer zo ver krijgen om op een link te klikken die de deur naar het netwerk voor jou openzet. Bewustwording creëren bij personeel is daarom belangrijk, maar het mag volgens Driehuis niet de hoeksteen zijn van je securitybeleid.
“We zijn hard wired om op links te klikken. Als je vertrouwt op de alertheid van je werknemers om wel of niet gehackt te worden, dan is dat een dunne laag. Iedereen kan eens een slechte dag hebben.”
Driehuis adviseert daarom meer vangnettten in te bouwen om dat te ondervangen. “Je moet aan detectie en respons doen, en processen bouwen. Dat is een uitdaging voor kleinere bedrijven, want het kost moeite. Je moet er mensen en tijd in investeren, procedures bouwen en die optimaliseren.”