'Cybercriminelen spelen steeds vaker in op de onwetendheid van medewerkers'

Cybercriminelen maken steeds vaker misbruik van zwakheden van mensen om IT-systemen van grote bedrijven binnen te dringen. De beveiliging van dit soort systemen is namelijk steeds vaker op orde, waardoor cybercriminelen hier nauwelijks zwakheden in kunnen vinden. Door in te spelen op de onwetendheid van medewerkers weten zij de IT-beveiliging alsnog te omzeilen. Dit heet ook wel social engineering.

De Cyber Security Raad, een strategisch adviesorgaan voor het kabinet, stelt dat dit soort gecombineerde aanvallen zeer succesvol zijn. Het bewustzijn onder Nederlanders over social engineering is namelijk laag. Werknemers zijn zich niet bewust dat zij doelwit kunnen worden van een hacker die hen om de tuin probeert te leiden. Nederlanders bieden dan ook nauwelijks weerstand tegen deze vorm van cybercrime.

Gratis USB-sticks
Ethische hacker Henri Hambartsumyan noemt een aantal voorbeelden van aanvallen waarbij zwakheden van mensen worden uitgebuit. Denk bijvoorbeeld aan USB-sticks die voor de deur van een kantoorpand gratis worden uitgedeeld. Werknemers nemen deze USB-sticks maar al te graag aan, zonder te realiseren dat deze sticks geïnfecteerd kunnen zijn met malware. Zodra de USB-stick in een machine op kantoor wordt gestoken wordt ook deze machine geïnfecteerd met malware en kan de cybercrimineel toegang verkrijgen tot het bedrijfsnetwerk.

Klantvriendelijkheid is daarnaast van groot belang. Receptionistes zijn hierdoor doorgaans vriendelijk en zeer behulpzaam. Cybercriminelen maken hier handig gebruik van en kunnen vaak eenvoudig toegang verkrijgen tot een bedrijfspand. Eenmaal binnen zijn zij voorbij de firewall en kunnen zonder problemen kwaadaardige software op machines van medewerkers installeren. Tot slot wijst Hambartsumyan ook op phishing-mails met malafide linkjes, waar medewerkers nog steeds met regelmaat op klikken.

'Koppel fysieke en digitale veiligheid aan elkaar'
Tijdens de masterclass van de Cyber Security Raad op de Haagse Hogeschool betoogt hij dat het relatief makkelijk is om mensen te manipuleren om zo langs de technische beveiliging te komen. “Ben je fysiek binnen, dan ben je de firewall voorbij en kun je aan de slag.” Samen met Rob Bertholee, hoofd AIVD en lid van de Cyber Security Raad, pleit hij er voor fysieke en digitale veiligheid te koppelen. “Die noodzaak is er.” Maar er is nog een lange weg te gaan voor het zover is. Het bewustzijn en de weerstand in Nederland als het gaat om digitale risico’s is volgens Bertholee namelijk laag. “Iedereen is zo gewend aan computers, apps en digitale toepassingen, dat het heel gewoon is om ze te gebruiken. Daardoor staat niemand meer stil bij de risico’s.” En die risico’s zijn er, blijkt uit onderzoek van de AIVD. Bedrijven en overheden krijgen veel cyberaanvallen te verduren, NGO’s en wetenschap in verhouding minder. De meeste pijlen zijn echter gericht op de doorvoer van interessante data, zoals het geval is bij havens, vliegvelden, computerservers en internationaal internetverkeer dat via ons land loopt.

Bertholee roept overheden, het bedrijfsleven en de wetenschap op op alle niveaus hun verantwoordelijkheid te nemen. Zij moeten de bewustwording omtrent digitale risico’s in hun eigen organisatie en in de maatschappij op korte termijn flink verhogen. Tineke Netelenbos, voorzitter ECP en lid Cyber Security Raad, stelt het debat met studenten dat de huidige generatie leiders in politiek en bedrijfsleven nauwelijks een idee hebben van wat er aan de hand is en wat ze er tegen kunnen doen. “Zo is er wel extra geld beschikbaar voor muziek in het onderwijs, maar niet voor het opleiden van onze kinderen voor de digitale samenleving.” Eén van de studenten noemt dit onbegrijpelijk en zegt in een reactie: “Ouderen denken altijd dat ze meer levenswijsheid hebben. Op dit vlak moeten ze het lef hebben om naar jongeren te luisteren. Hier weten wij toch echt veel meer van af!”