1. “Mijn organisatie is niet interessant voor een hacker”

Elke organisatie is interessant voor een hacker. De omvang of aard van het bedrijf doen er niet toe. Het doel van een hacker is geld verdienen en dat kan op veel verschillende manieren. Bijvoorbeeld door bedrijven te chanteren met bedrijfsstilstand en het vragen van losgeld (ransomware). Zo is iedere organisatie waar schermen op zwart gezet kunnen worden een doelwit. Vaak realiseren bedrijven niet hoe waardevol de informatie is voor concurrenten of partijen die op zoek zijn naar (technologische) kennis. Een hacker ook niet. Die zoekt meestal pas een koper op het darkweb, nadat de informatie gestolen is. Aanvallen zijn dus lang niet altijd zo gericht als men denkt. Individuele hacks gebeuren vaak bij grote bedrijven met veel data. Dit zijn de cyberincidenten die het nieuws halen. Maar de meeste bedrijven worden geraakt door aanvallen die op duizenden bedrijven tegelijk worden gedaan. Zo kan een hacker zich bijvoorbeeld richten op bedrijven die gebruikmaken van een specifiek type software, besturingssystem of router. Op die manier kan een hacker veel kleine, ‘oninteressante’ bedrijven tegelijkertijd aanvallen en maakt hij door vele kleintjes toch grote winst.

2. “Mijn ICT-beheerder of IT-dienstverlener regelt alles rond cyber”

Veel bedrijven hebben hun ‘ICT’ uitbesteed, maar weten niet precies wat dit inhoudt. Welke afspraken heeft u gemaakt? Meestal zijn dit afspraken over het beheer en het onderhoud van IT-systemen. Grote kans dat de beveiliging tegen cybercrime daar niet bij zit. Ook wanneer een IT-dienstverlener wijst op de bescherming tegen dit risico, gaan nog veel bedrijven hier niet op in. Daarnaast bestaan er binnen bedrijven veel zwakheden in de zogeheten ‘grijze systemen’. Systemen die ooit zijn aangeschaft, maar uit het zicht zijn geraakt bij IT. Denk bijvoorbeeld aan bewakingssystemen of marketingapplicaties. Deze systemen worden vaak niet beheerd door de IT-beheerder, maar vormen wel een zwakke plek die gebruikt wordt om op het netwerk van de organisatie in te breken. Misschien wel het belangrijkste punt is dat het voorkomen van cyberincidenten lang niet altijd te maken heeft met IT. In de meeste gevallen zijn medewerkers of de processen de zwakke schakel.

3. “Mijn organisatie maakt back-ups, dus een hack raakt ons niet”

Een backup geeft u de mogelijkheid een recente set data terug te plaatsen in uw systeem als data en systemen weer hersteld moeten worden. Maar het effect gaat vaak verder dan alleen dataverlies, bijvoorbeeld bedrijfsstilstand binnen een productieomgeving. Het is de vraag of u dit probleem oplost door alleen een backup. Het feit dat u gegevens uit een backup kunt terugplaatsen, betekent nog niet dat de problemen over zijn. De gegevens zijn mogelijk gestolen en kunnen op straat komen te liggen. Deze kunnen verkocht worden aan criminelen of aan de concurrent. De hacker kan u onder druk zetten om dit te voorkomen. En zelfs als u denkt dat een backup de oplossing is voor alle problemen, dan is het goed te beseffen dat ook back-ups gehackt kunnen worden. Want hoe lang is een hack al gaande op het moment dat u het ontdekt? Een dag? Of een jaar? In het laatste geval betekent dit dat ook uw back-ups aangetast zijn. Helaas, ook back-ups bieden geen garanties.

Nieuwsgierig naar de overige misvattingen? Check ze hier.