De laatste tijd zien we in het nieuws meer en meer berichten rondom cyberaanvallen. Recent was de Universiteit van Maastricht het doelwit van hackers. In eerste instantie niet een doelwit waarbij je zou verwachten dat er veel te halen valt. Wat gegevens van studenten wellicht of documenten van examens.

Maar daar richten de hackers zich niet op. Het ging om het beperken of onmogelijk maken van toegang tot de gegevens. Deze hebben immers waarde voor de eigenaar ervan maar niet persé voor de buitenwereld. De gegevens werden dus gegijzeld. Het gevolg? Net voor kerst lag de e-mail eruit, waren Windows-systemen niet meer toegankelijk en had de universiteit geen toegang meer tot wetenschappelijke gegevens. En veel systemen werkten op 6 januari nog steeds niet. Een aanzienlijke periode waarin studenten in sommige gevallen geen examens konden doen.

Het uiteindelijke doel van de aanval? Geld verdienen. En bij de universiteit was dat met succes. Uit diverse berichten blijkt dat de universiteit een paar ton aan losgeld heeft betaald om de systemen weer vrij te geven en de versleutelde gegevens weer beschikbaar te krijgen. Een dergelijke succes zal voor hackers natuurlijk een prima motivatie zijn om door te gaan met dit soort aanvallen.

Toename in frequentie en omvang

De frequentie van dergelijke cyberaanvallen neemt toe, net als de impact die het heeft op organisaties. Toch blijken veel organisaties onvoldoende maatregelen te nemen om de risico’s van deze aanvallen te beheersen of om de impact ervan te beperken. Vaak geven organisaties aan dat zij denken niet zo’n interessant doelwit zijn voor hackers. Of zijn er van overtuigd dat de informatiebeveiliging al goed genoeg geregeld is. Doordat hackers continu blijven ontwikkelen zullen organisaties dat ook moeten doen. Daar ligt vaak het probleem want het is niet de “kern-activiteit” van de organisatie en daarmee ligt informatiebeveiliging niet op directieniveau op tafel. En dat terwijl de directie wel aansprakelijk zal worden gehouden als het fout gaat.

Het argument van niet zo’n interessant doelwit te zijn kan wellicht het beste worden ontkracht met het volgende voorbeeld. Op 14 januari 2020 berichtte weefgetouwen fabrikant Picanol dat alle productiesystemen waren plat gelegd na een cyberaanval. De productie in zowel China, Roemenië als België werd beëindigd en bijna 2300 medewerkers konden naar huis. De financiële schade is hiermee gigantisch. Niet alleen de herstelkosten maar ook het gemis aan inkomsten. Ook hier was het doel van de aanvallers om geld te verdienen. De hackers hebben losgeld gevraagd maar het bedrijf zou dat hebben geweigerd. Als een dergelijke organisatie doelwit kan zijn, wat voor bedrijf dan niet?

Het nemen van maatregelen

Het weerbaar maken tegen dergelijke bedreigingen zou integraal onderdeel moeten zijn van de businessplannen van een organisatie. En het dient op de agenda te staan van de directie. Door een passend informatiebeveiligingsbeleid te ontwikkelen, een goed patch en systeem management proces te definiëren en een continue verbeterproces toe te passen maak je je als organisatie in ieder geval weerbaarder. En voor de overgebleven risico’s is een cyber-security verzekering een goede aanvulling.