Met het Cyber Security programma helpt Port of Amsterdam de cyberweerbaarheid van jouw organisatie te vergroten. Dit doen we door wekelijks onze kennis en expertise over digitale veiligheid binnen het Noordzeekanaalgebied te delen. In deze update lees je meer over de belangrijkste cybersecurity aanvalsmethoden komend jaar en het meten van bewustzijn.
Een onderzoek van cybersecurity professionals toont aan dat spear phishing, deep fake en ransomware, naar verwachting de drie aanvalsmethoden zijn die cybercriminelen zullen inzetten in 2020.
Daar waar phishing mail, min of meer willekeurig, naar zeer grote aantallen ontvangers wordt gestuurd, in de verwachting dat slechts een klein percentage zal reageren, richt spear phishing zich op een individueel doelwit binnen een organisatie. Met behulp van sociale media en andere openbare informatie maken cybercriminelen een phishing mail op maat. Cybercriminelen proberen dus zoveel mogelijk persoonlijke informatie te winnen over hun doelwit, om de geloofwaardigheid van de e-mail te vergroten. Zodra het slachtoffer klikt op een link in de nep-mail wordt de malware op zijn of haar computer geïnstalleerd. De risicodoelgroepen voor deze vorm van phishing zijn bestuurders, klantcontactcentra en it-experts.
Deep fake is een aanvalsmethode waarbij cybercriminelen gebruikmaken van intelligente technologie om stemmen en video’s van belangrijke personen uit de organisatie na te bootsen. Vorig jaar kreeg een Brits nutsbedrijf hier reeds mee te maken, nadat de Britse topman een telefoontje kreeg van de CEO van zijn moederbedrijf. De Britse collega werd gevraagd om zo snel mogelijk een bedrag van 222.000 euro over te maken naar de rekening van een Hongaarse leverancier. Cybercriminelen wisten hier buit te maken door dezelfde deepfaketechnologie in te zetten en zo de stem van de CEO perfect te imiteren. Ook CISO’s van organisaties zien een stijgende trend van het aantal phishing aanvallen en bijna de helft, zevenenveertig procent, benadrukt het belang om phishing dan ook te houden als een blijvend agendapunt.
Meten is weten
In de praktijk wordt nog te weinig structureel het informatiebeveiligingsbewustzijn onder medewerkers gemeten. Drieënnegentig procent van de cybersecurity experts is ervan overtuigd dat organisaties het bewustzijn ten aanzien van privacy- en informatiebeveiliging structureel moeten meten.
Een voorwaarde voor het meten en het behalen van betrouwbare en valide resultaten is dat het meetinstrument dat in de nulmeting wordt ingezet, bij een volgende meting, hetzelfde blijft. In de praktijk wordt vooralsnog veelal gebruik gemaakt van subjectieve observaties, registratie van incidenten en deelnamecijfers aan awareness programma’s. Kortom, een structureel en wetenschappelijk onderbouw meetmethode ontbreekt. Door middel van de meetresultaten kunnen organisaties gerichte maatregelen treffen en de effectiviteit en voortgang van hun informatiebeveiligingsmanagementsysteem waarborgen en bewaken.