De beveiliging van een organisatie is nu eenmaal net zo sterk als zijn zwakste schakel. Nu blijkt uit het onlangs verschenen Verizon’s Data Breach Investigations Report 2019 dat vooral de mensen aan de top kwetsbaar zijn voor cyberdreigingen. Het rapport toont aan dat topfunctionarissen die leiding geven, de sleutelfunctionarissen, steeds vaker proactief het doelwit zijn van inbreuken voor financieel gewin.
De beveiliging van een organisatie is nu eenmaal net zo sterk als zijn zwakste schakel. Nu blijkt uit het onlangs verschenen Verizon’s Data Breach Investigations Report 2019 dat vooral de mensen aan de top kwetsbaar zijn voor cyberdreigingen. Het rapport toont aan dat topfunctionarissen die leiding geven, de sleutelfunctionarissen, steeds vaker proactief het doelwit zijn van inbreuken voor financieel gewin. Verizon ontdekte zelfs dat leidinggevenden twaalf keer zo vaak het doelwit zijn bij aanvallen rond social engineering en negen keer zo vaak het mikpunt zijn van sociale inbreuken in vergelijking met hun collega’s. Laten het nu juist ook de leidinggevenden zijn die toegang hebben tot de meest kritieke systemen van het bedrijf en daarmee ook tot gevoelige informatie. En wanneer deze informatie makkelijker terug te vinden is, kunnen indringers die ook vinden. Daarom is het juist zo belangrijk dat het gevaar van de zwakste schakel wordt aangepakt.
Waarom zijn leidinggevenden het grootste doelwit?
Leidinggevenden, en dan met name sleutelfunctionarissen, zijn ‘populair’ bij cyberaanvallen omdat ze de goedkeuringsbevoegdheid en bevoorrechte toegang hebben tot kritieke systemen. Daarnaast zijn er een aantal logistieke redenen die hen een makkelijk doelwit maken. Zo zijn ze vaak onderweg, waardoor ze snel beslissingen nemen over belangrijke zaken via een kleine interface en werken met een homogene workflow op een mobiel apparaat. Daarnaast zijn de meeste sleutelfunctionarissen ook publieke figuren, waardoor hun persoonlijke informatie en e-mailadressen direct beschikbaar zijn via open source intelligence (OSINT), wat weer leidt tot een hoger risico op sociale inbreuken.
Uit het rapport van Verizon blijkt dat deze leidinggevenden gevoelig zijn voor BEC-fraude (Business E-mail Compromise). Een van de belangrijkste redenen voor de toename van dit soort aanvallen is dat de dreiging zich nu grotendeels afspeelt rondom het misbruik van gestolen aanmeldgegevens.
Leidinggevenden blijken in de praktijk vaak de laatste te zijn die tweefactor-authenticatie (2FA) volledig implementeren en zichzelf op die manier beschermen. Om de ernst van deze situatie aan te geven: er zijn nu in feite meer gestolen gegevens dan dat er mensen op aarde zijn.
Met andere woorden: kwaadwillende figuren hebben een enorme hoeveelheid aanmeldgegevens die hen helpen bij het organiseren van een aanval. En omdat het leven en de bewegingen van leidinggevenden via OSINT gemakkelijk te achterhalen zijn, is het voor cybercriminelen gemakkelijk om een social engineering- of spear phishing-aanval op te zetten die er geloofwaardig uitziet.
Leidinggevenden hebben ook de neiging om te denken dat cybersecurity voor hen niet belangrijk is. Ze verwaarlozen hun kennis rondom beveiliging, omdat de gevaarlijke gedachte leeft dat hun IT-personeel alle verdachte activiteiten kan afhandelen of oppakken. Er is ook een zekere mate van ontkenning onder leidinggevenden, in de zin dat ze denken dat ze niets hebben wat een cybercrimineel mogelijkerwijs zou willen stelen. Dit geven ze keer op keer aan en dat is opvallend omdat leidinggevenden vaak meer geld verdienen en over het algemeen een groter doelwit voor afpersing of identiteitsdiefstal zijn dan andere werknemers. Kortom: leidinggevenden hebben meer te verliezen in hun persoonlijke en professionele leven dan de meesten van hun collega’s.
De opkomst van BEC
Er zijn tal van redenen die ervoor hebben gezorgd dat BEC een beproefde aanvalsmethode van cybercriminelen is geworden. BEC-fraude focust zich op e-mailcontact binnen bedrijven. Criminelen doen zich bijvoorbeeld voor als de leidinggevende door e-mailadressen te hacken en het online gedrag van de leidinggevende te kopiëren. Om te beginnen is dit een relatief eenvoudige manier om een leidinggevende financieel af te persen. Of het nu gaat om een simpele diefstal van bedrijfsgeheimen of zakelijke beslissingen, een cybercrimineel kan gemakkelijk de beurs bespelen met de informatie die via BEC’s is verzameld. Ook kan er winst worden gemaakt door informatie te verzamelen over de productie, prijs, roadmap of inventaris van een productlijn. BEC kan ook worden gebruikt om wachtwoorden te resetten in bedrijfsapplicaties of persoonlijke financiële applicaties. Een gehackt e-mailaccount geeft aanvallers toegang tot veel verschillende toepassingen, omdat het e-mailaccount ook vaak wordt gebruikt bij de registratie van andere services. Bij cyberaanvallen wordt BEC vaak gebruikt om e-mails te sturen naar ondergeschikten met het expliciete verzoek om een bepaalde actie uit te voeren die een transactie met fraude vervolgens vergemakkelijkt.
Criminelen leren vrij snel dat het compromitteren van het systeem niet nodig is om leidinggevenden zover te krijgen dat ze bijvoorbeeld losgeld betalen. Waarom zouden criminelen dan complexe technische manoeuvres uithalen, zoals het installeren van ransomware die hard drives versleutelt, als ze ook gewoon een eenvoudige e-mail kunnen samenstellen waarmee ze invloed kunnen uitoefenen op een leidinggevende? Financieel gemotiveerde aanvallers weten dat ze de kortste weg moeten nemen, met de grootste kans op succes en de minste risico’s. Dit komt neer op een eenvoudige, goed samengestelde e-mail met een duidelijke vraag.
Topniveau beveiliging voor leidinggevenden
Gelukkig hoeven leidinggevenden niet echt bang te zijn, er zijn immers veel oplossingen om zich te beschermen tegen de opkomst van BEC en andere social-engineering aanvallen. Denk bijvoorbeeld aan tweefactor-authenticatie (2FA). Dit proces, waarbij de identiteit van de gebruiker via twee verschillende factoren wordt vastgesteld, kan de bescherming garanderen van kritieke systemen, e-mails en andere zaken. 2FA kan makkelijk worden gekoppeld aan bijna elk apparaat dat men gebruikt. Zodra een gebruiker een mobiel apparaat via 2FA registreert, krijgt hij toegang tot kritische systemen door zijn gebruikelijke wachtwoord in te voeren via een geregistreerd apparaat en zich op die manier te identificeren. Dit voorkomt frustratie die optreedt bij een complex aanmeldproces en dit vermijdt de noodzaak om pincodes te onthouden. In de praktijk is de gebruiker slechts één klik verwijderd van toegang tot de systemen via een manier waarbij de set-up geen IT-ondersteuning vereist.
Een ander voorbeeld om je berichtgeving te versleutelen is BBM Enterprise: een veilige oplossing voor de communicatie. Het is een bedrijfsbreed berichtenplatform met end-to-end beveiliging en privacy. Deze tool is vooral nuttig voor gebruikers die onderweg zijn, zoals leidinggevenden, omdat ze daarmee kunnen doen wat nodig is, maar met het grote voordeel van krachtige versleuteling en beveiliging. Tools als BBM Enterprise bieden ondersteuning op meerdere platforms met krachtige controles en IT-beleidsbeheer vanaf één enkele, op locatie of in de cloud gebaseerde oplossing.
Tot slot, voor een extra beveiligingslaag rond e-mail, zouden bedrijven de beveiligde BlackBerry Work-app kunnen overwegen. Via deze app heeft men toegang tot de zakelijke e-mail, de agenda en documenten via een veilig en mobiel personeelsbestand.
Onderwijs en bewustwording zijn belangrijk, maar technologie is het antwoord
Bewustwording en voorlichting zijn nog steeds belangrijk, maar het is niet voldoende om te voorkomen dat moderne bedreigingen schade veroorzaken. Gebruikers, met name zakelijk leidinggevenden, zullen vroeg of laat op een kwaadaardige link of bestand klikken, want we zijn nu eenmaal allemaal mensen. Desalniettemin is het noodzakelijk dat leidinggevenden de risico’s begrijpen die zijn verbonden aan hun status. Ze moeten beseffen dat de cybergevaren om hen heen toenemen, zowel qua volume als in complexiteit. Wanneer dit besef neerdaalt kunnen leidinggevenden een cybersecuritystrategie neerzetten waarmee ze zowel zichzelf als hun organisatie beschermen. Daarbij kan ook gedacht worden aan nieuwe technologieën, zoals Artificial Intelligence (AI) dat voorspellende bescherming tegen bedreigingen mogelijk maakt. Cybersecurity zal daardoor meer voorspellend worden in plaats van reactief.
Wees proactief, maar plan en oefen voor alle noodgevallen
De bovengenoemde diensten stellen een organisatie in staat om proactief bedreigingen zoals BEC tegen te gaan, maar uiteindelijk komt het altijd neer op het volgende: plan A moet altijd een proactieve beveiliging zijn, maar besef als organisatie dat er ook een plan B moet liggen. Oefen dus met het aanpakken van noodgevallen, want het is belangrijk dat aanvallen in toom gehouden kunnen worden. Deze strategie zal een organisatie alleen maar meer bescherming bieden om de informatie zo veilig mogelijk te houden.
Tot slot: het is toe te juichen dat informatie steeds beter wordt bewaard, maar zorg er wel voor dat je informatiebeveiliging onderdeel maakt van je informatiehuishouding om jezelf en anderen te beschermen.
Scott Scheferman
Senior Director Global Services bij BlackBerry Cylance
