Sommige opvattingen over cyber security staan echte veiligheid in de weg. Maar dat wil niet zeggen dat er niets van waar is. In dit stuk bekijken we wat mensen meestal denken over cyberbeveiliging en gaan we na wat daarvan klopt: en wat niet.
1.Ik ben geen interessant doelwit
Niet-gerichte cyberaanvallen komen verreweg het vaakst voor. Dus ja, deels klopt het dat hackers u misschien niet snel als doelwit uitkiezen. Dat betekent alleen niet dat u nooit in aanraking komt met cyberdreiging. In tegendeel.
De meeste hackers vallen namelijk meerdere organisaties tegelijk aan, zonder te kijken naar sector of omvang. Schieten met hagel dus. En de bedrijven die kwetsbaar blijken? Die krijgen de volle lading.
Vaak is er ook nog eens meer te halen dan u denkt. Misschien zijn er geen kroonjuwelen zoals het geheime recept van Coca-Cola te stelen, maar wel klantgegevens. Ook doen aanvallers geregeld aan digitale gijzeling voor losgeld, waardoor belangrijke bestanden en betaalsystemen vergrendeld raken. Dan ligt de core business in één keer plat.
2. Alleen onoplettende bedrijven/mensen worden gehackt
Het is zeker waar dat een succesvolle cyberaanval sneller op de loer ligt bij slapende gebruikers die in phishing-acties trappen. Maar: letterlijk iedereen is wel eens onoplettend. Slachtoffers hoeven zich dus echt niet te schamen.
Hackers weten gewoon enorm goed in te spelen op menselijke en technische kwetsbaarheden. Daarnaast blijft de geavanceerdheid van aanvallen groeien, wat het de verdediging ook steeds moeilijker maakt.
Het is dan vooral belangrijk om niet te lang in de schaamte te blijven hangen, mocht het u ooit eens overkomen. Het is juist reddend om in gesprek te gaan met experts. Vaak beperkt dat de schade enorm.
3. Iedereen kan phishing makkelijk herkennen als ‘ie oplet
Goed opletten kan inderdaad veel voorkomen. Toch zijn er ingrijpende veranderingen gaande in phishingwereld. Waar een phishingmail eerder te herkennen was aan gek taalgebruik en een phishingpagina aan scheve huisstijlelementen, is het nu niet altijd zo duidelijk meer.
Hackers zijn tegenwoordig een stuk beter in het opzetten geloofwaardige phishingacties. De ontwikkeling van AI draagt hieraan bij: een ChatGPT prompt als “Schrijf een direct mail over een winactie in de stijl van bedrijf X” levert mooie resultaten op.
Dus ja, weten waar u op moet letten én continu alert blijven, helpt echt. Maar dat phishing makkelijk te herkennen is, is helaas en mythe. Tegenwoordig kost het net wat meer moeite.
Wederom: schaamte is niet nodig als u eens (bijna) in een phishingactie trapt. Maar trek wel op tijd aan de bel om het op te lossen!
4. Cyber security werkt vertragend voor de workflow
Deze opvatting is er niet voor niets. Toch is het geen feit. We vermoeden dat mensen cyber security in het verleden als vertragend hebben ervaren doordat een oplossing bijvoorbeeld niet goed geïmplementeerd was. En oké, de klassieke 2FA is/was inderdaad een extra stap.
Maar: een goed uitgedachte cyber security architectuur hoort in de praktijk geen impact te hebben op de workflow. Zeker met de security tools van nu is het gewoon mogelijk veiliger te werken zonder workflow impact.
5. Cyber security is duur
Een auto mag vaak wat extra kosten. Waarom? Omdat er direct een beloning aan vast hangt! Hoe meer geld, hoe mooier de auto, hoe groter waarschijnlijk het plezier (voor wie een autoliefhebber is dan, hè). Het is volkomen logisch dat we liever wat meer geld uitgeven aan iets leuks, dan aan iets waar de beloning minder zichtbaar van is. Zelfs als het goedkoper is dan die auto, voelt het alsnog duurder.
Toch is met een rekensom snel te achterhalen dat de kosten van cyber security eigenlijk wel meevallen. Niet omdat het om een paar tientjes gaat, maar omdat het iets dat nog véél meer geld kost, voorkomt. De gemiddelde data breach zou namelijk – wereldwijd gezien – goed zijn voor een schade van 3.68 miljoen dollar(!)
Daarbij komt een professioneel cyber security bedrijf altijd met proportionele oplossingen. Zo adviseren we enkel investeringen die passend zijn voor de grootte en sector van uw organisatie.
6. Een cyberaanval valt op
In de praktijk hoeft het niet zo te zijn dat u (als gebruiker) direct iets door hebt tijdens een cyberaanval. Hackers willen namelijk helemaal niet gepakt worden. Het liefst stelen ze de data zo onopvallend mogelijk, wissen ze sporen en gaan ze er weer vandoor.
Nu is dat natuurlijk niet altijd het geval, want een aanvaller die ransomware implementeert en om losgeld vraagt, gaat minder onzichtbaar te werk. Maar ook in dat geval is een gedeelte van de aanval onopgemerkt verlopen. Het komt geregeld voor dat hackers een aantal weken al toegang hebben tot uw infrastructuur, voordat ze de data gaan gijzelen.
Met een SOC bent u trouwens wel op de hoogte van de onzichtbare acties van hackers.
7. Een cyberaanval is altijd van buitenaf
Vertrouwen is de basis van elke relatie: ook werkrelaties. Als u ervan uitgaat dat die nieuwe collega data gaat stelen, dan komt ‘ie waarschijnlijk niet door de proefperiode heen. Dat maakt alleen ook dat de meeste eigenaren en managers niet berekend zijn op een in inbreuk van binnenuit. Toch komt het geregeld voor.
Soms is een kwade medewerker de oorzaak. Maar vaak gaat het om een menselijke fout van een personeelslid dat doorgaans gewoon te vertrouwen is. Bijvoorbeeld doordat ze zich niet houden aan het securityprotocol en ongeautoriseerde software installeren om een taak te volbrengen.
Cyber security is nooit zwart-wit
Een cyberaanval komt soms van buitenaf, soms van binnenuit. Soms valt de aanval direct op en soms blijft ‘ie onzichtbaar. Er is altijd een grijs gebied. Kijk dus vooral samen met een cyber expert naar wat voor uw organisatie realistische maatregelen zijn!