Het is een trieste constatering, maar van alle digitale dreigingen steekt ransomware er anno 2021 met kop en schouders bovenuit. Niet alleen is het aantal aanvallen in het afgelopen jaren geavanceerder van aard, maar ook de hoogte van het losgeld neemt (te) grote vormen aan. En als gevolg van corona – ook in de bouwsector werkt bijna al het kantoorpersoneel vanuit huis – voeren cybercriminelen nu steeds frequentere aanvallen uit waarbij ze trachten bij ‘de zwakste schakel’ toe te slaan. Het cybergevaar ligt op de loer en is meedogenloos.
Ransomware is niet meer alleen weggelegd voor cybercriminelen pur sang. Sterker nog: deze losgeldtechnieken worden tegenwoordig als Ransomware-as-a-Service (RaaS) aangeboden en zijn daarmee gemeengoed geworden. Cybercriminelen bieden hackoplossingen aan die ook te gebruiken zijn door cybercrimineeltjes die zich met hun aanvallen richten op het midden- en kleinbedrijf. Ergo: ook bouwbedrijven, ongeacht de bedrijfsgrootte, vormen hiermee een potentieel doelwit.
“Ransomware-as-a-Service wordt door ‘criminelen’ ingezet bij wie cybercrime niet per se in het bloed hoeft te zitten”, zegt John Veldhuis die als Senior Sales Engineer bij Sophos dagelijks tegen het digitale kwaad vecht. “Middelen om systemen via spam-e-mails binnen te dringen, worden soms geleverd met een toolkit, een handleiding en een helpdesk: iedereen kan er eigenlijk mee aan de slag. ‘RaaS’ is een makkelijke manier om je eerste stappen binnen de lucratieve wereld van cybercrime te zetten. Kinderspel, maar wel met grote gevolgen voor een (bouw)bedrijf dat er opeens achter komt dat data zijn versleuteld en deze pas terug hoopt te krijgen wanneer er losgeld wordt betaald. Een nachtmerrie voor elke ondernemer.”
Dreiging uit het Oosten
Maar ransomware is niet het enige waar sectoren met bedrijfsgevoelige informatie zorgen over moeten maken, zegt Veldhuis. “Onlangs kopte het Financieele Dagblad over Chinese en Russische spionnen die op dit moment in het vizier van onze nationale veiligheidsdiensten liggen. Als we ons als economie niet goed beschermen tegen het rode gevaar, kunnen ‘onze’ gevoelige concepten en plannen – 100% made in Holland – zomaar in handen vallen van cybercriminelen. Stel dat je al heel lang werkt aan en bepaald project en deze gegevens worden onder je neus gekaapt door cybercriminelen die bereid zijn ze terug te geven na betaling van losgeld? Uit onderzoek blijkt dat een op de drie bedrijven toch over stag gaat en de criminelen betaalt waar ze om vragen. En dan is het nog maar afwachten of je daadwerkelijk je data terugkrijgt en/of deze aan derden wordt doorverkocht. Het is een schimmig spel waar je liever geen onderdeel van wilt uitmaken.”
Geen remedie
De Silver Bullet waarmee je vampiers kunt doden, bestaat helaas niet. En ook in de wereld van cybercriminaliteit is niet geen remedie voorhanden om het digitale gajes buiten de bedrijfsmuren te houden. Er zijn echter wel aanzienlijke stappen die bedrijven (binnen de bouwsector) kunnen ondernemen. “Bewustwording is een eerste stap: niet alleen voor jezelf maar ook voor alle medewerkers die door een simpele muisklik cybercriminelen via de computer onbedoeld en onbewust toegang verlenen tot het bedrijfsnetwerk. Niemand zal dit bewust doen maar het is wel belangrijk om je personeel te trainen bij het herkennen van ransomware en phishing. Er zijn speciale simulatieprogramma’s die kunnen worden uitgerold om zo je medewerkers te trainen. Sophos Phish Threat is er daar een van.”
Bewustwording en meer
Het ‘opleiden’ van personeel is een, maar het daadwerkelijk buiten de deur houden van the bad guys is een ander verhaal. Veldhuis besluit: “Zorg voor een Security Operations Team (SOC) dat around the clock het bedrijfsnetwerk in de gaten houdt. Kun je je dat niet veroorloven of vind je niet het juiste personeel voor, besteed het dan uit aan bijvoorbeeld een Managed Threat Response-team. En als laatste: vergeet je software, ook browsers én mailprogramma, niet te standaardiseren. Het komt nog te vaak voor dat medewerkers eigenhandig, met alle goede bedoelingen van dien, software installeren op hun computer. Dat mag eigenlijk niet gebeuren. Binnen de bouw zijn er al initiatieven om bedrijven tegen cybercrime te beschermen. Zo hebben branchevereniging Bouwend Nederland en Digital Trust Center de krachten gebundeld om ondernemers binnen de bouw te ondersteunen bij digitale veiligheid. De website www.digitaltrustcenter.nl is geschikt om bewustwording rondom dit onderwerp te creëren. Op deze site kunnen bedrijven ook een zelfscan uitvoeren om er zo achter te komen hoe hun organisatie er qua ‘securitylevel’ voor staat.
Bekijk de volgende websites voor meer informatie:
Wat is phishing?
Phishing is een van de manieren waarop criminelen met een e-mail naar een valse website te lokken. Daar eenmaal aangekomen stelen ze uw gegevens (of geld). Omdat de criminelen steeds gehaaider worden, lijkt het alsof de betreffende mail ook daadwerkelijk van de bank, telecomprovider of een andere instantie afkomstig is. Nu is het alleen zo dat over het algemeen grote bedrijven (en zeker banken niet) dergelijke mails naar hun klanten sturen.
Daarom is het heel belangrijk om de links in een phishing-mail niet aan te klikken, ook al lijkt het echt. Vul nooit paspoort- of creditcardgegevens in. En om het hele bedrijf te beschermen, is het raadzaam een dergelijke mail ook meteen bij de IT-afdeling te melden. Zij kunnen dan een goede inschatting maken en ernaar handelen.
