Ransomware, CEO-fraude… we have a problem

Dagelijks hou ik diverse nieuwsfeeds in de gaten en het valt mij op dat ik veel berichten zie over Amerikaanse overheden, organisaties en gemeenschappen welke slachtoffer zijn geworden van ransomware en ceo-fraude. Het is inmiddels zo ver dat de Amerikaanse overheid de “noodklok” luidt na de vele ransomware gevallen.

Het is niet de eerste keer dat deze onderwerpen passeren én Amerika lijkt wellicht de ver-van-je-bed-show, maar in de digitale wereld is dit toch best wel dichtbij. Boefjes richten zich natuurlijk niet alleen op Amerika en kunnen zich zomaar weer massaal wenden tot Europa. Nu krijgen ze veel aandacht in de Amerikaanse media, maar het is een wereldwijd probleem.

Maar, hoe is dit probleem op te lossen? Hoe kunnen we ervoor zorgen dat er minder slachtoffers zijn van bijvoorbeeld ransomware of ceo-fraude? Eerlijk gezegd zie ik het niet zo snel gebeuren dat we alles tegen kunnen gaan, want de aanvallen worden steeds geraffineerder. Wél kunnen we het aantal geslaagde aanvallen proberen tegen gaan. Hier komt het “magische” woord weer om de hoek: bewustwording. Het begint wellicht een beetje saai te worden, maar de “mens” is nog steeds de belangrijkste factor in het aantal geslaagde acties. Wat mij betreft beperkt dit binnen een organisatie zich niet alleen tot de “mens” als eindgebruiker.

Binnen een organisatie begint het aan de top. De top moet bewust zijn van de gevaren welke een organisatie loopt en resources beschikbaar stellen om maatregelen te kunnen treffen. Dit kan de kans om als organisatie slachtoffer te worden zo klein mogelijk maken. Zij zijn daarin onder andere afhankelijk van mensen die de gevaren herkennen. Dit is een samenspel tussen diverse disciplines en gaat verder dan alleen de techneuten in de organisatie.

Als je als organisatie risico’s identificeert dan kun je hier maatregelen tegen nemen. Betekent dit dat je alle risico’s moet afdekken? Nee, het is aan de organisatie of een risico wordt geaccepteerd of niet. Dit wordt vaak bepaald aan de hand van hoe groot de kans is dat iets voorkomt en wat de gevolgen zijn als het gebeurt. Dit wordt ook wel een risicoanalyse genoemd. Ik breng het nu heel makkelijk, maar een risicoanalyse is best wel een klusje. Dat doe je niet even in een uurtje. Zijn we na het uitvoeren van een risicoanalyse en doorvoeren van maatregelen dan helemaal niet meer kwetsbaar? Nee, het is onmogelijk om alle risico’s voor 100% af te dekken. Maar zo kun je wel het risico zo klein mogelijk maken. Het is en blijft tenslotte mensenwerk.