Beveiligingsincidenten hebben in 2022 een recordhoogte bereikt, met als belangrijkste bedreigingen datalekken en ransomware, financiële fraude en verliezen door losgeld.
Het aantal bekende malware-aanvallen neemt steeds toe. Een recent rapport van het Britse IT Governance identificeerde 112 openbaar gemaakte beveiligingsincidenten in augustus 2022 in de Verenigde Staten, het VK, Europa, Zuid-Amerika en elders. Deze beveiligingsinbreuken resulteerden in 97.456.345 gecompromitteerde records. Bekende malware-aanvallen in 2022 kosten bedrijven miljoenen dollars. In de eerste helft van 2022 waren er volgens Statista in totaal 236,1 miljoen ransomware-aanvallen wereldwijd. Hackers maken vaak gebruik van slimme phishing-campagnes om toegang te krijgen tot de inloggegevens van werknemers om deze aanvallen te starten.
Social engineering
Er zijn momenteel veel verschillende hacktrucs, maar social engineering moet bovenaan de lijst van groeiende bedreigingen van elke CSO staan. Deze hacks kunnen alles omvatten, van nepberichten van banken met spamlinks, verdachte FB-directe berichten van vrienden tot kwaadwillende acteurs die de inloggegevens van werknemers phishing om toegang te krijgen tot bedrijfssystemen.
Het azen op en het bedriegen van nietsvermoedende werknemers is een van de gemakkelijkste manieren geworden voor hackers om toegang te krijgen tot bedrijfssystemen. Vind een nietsvermoedende werknemer, verkrijg toegang tot de inloggegevens van die werknemer en steel de sleutels van het koninkrijk. Zoals het gezegde luidt, is het gemakkelijker om binnen te komen door de sleutels van de voordeur te gebruiken dan via een achterdeur binnen te komen.
Gezamenlijk moeten we een modernere en veiligere manier omarmen om de identiteit van een persoon te verifiëren en voorbij de oude manieren van meerdere gebruikersnamen en wachtwoorden te gaan en beveiligingsvragen te beantwoorden. Zelfs MFA is niet langer onfeilbaar.
Uber, Twillio, Mailchimp-hacks
Elke organisatie loopt het risico op een datalek of inbreuk op de beveiliging. Dit is wat Uber afgelopen zomer is overkomen. Een hacker heeft de inloggegevens van een Uber-medewerker social-engineered en kreeg toegang tot het interne Uber-intranet, het Slack-systeem van het bedrijf, de Google Workspace-beheerder, de AWS-accounts van Uber, financiële dashboards en meer.
Een ander prominent voorbeeld vond plaats eerder in 2022 toen beveiligingsbedrijf Group-IB ontdekte dat medewerkers van Twilio, MailChimp en Klavioyo de onwetende slachtoffers waren van een massale phishing-campagne. Deze aanval bracht bijna 9.400 accounts in meer dan 130 organisaties in gevaar. Veel van deze medewerkers waren in de VS gevestigd en gebruikten Okta’s veelgebruikte Identity and Access Management-service.
Er zijn eerder dit jaar ook andere aanslagen geweest. Ik heb hierover in juni bericht in mijn CIO-column. Bij de Lapsus$-hack waren bijvoorbeeld bedrijven Cisco, NVIDIA, Samsung, T-Mobile, Vodafone en mogelijk andere opmerkelijke organisaties betrokken.
En CSO’s, houd er rekening mee dat zelfs de platforms die zijn ontworpen om u en uw werknemers te beschermen, worden gehackt. In augustus maakte wachtwoordbeheerbedrijf LastPass bekend dat zijn systemen waren gehackt.
CSO’s en systeembeheerders dachten dat MFA (multi-factor authenticatie) of 2FA (2-factor authenticatie) ideale oplossingen waren. Maar nu worden zelfs die processen gehackt en krijgen kwaadwillenden ongeautoriseerde toegang tot gebruikersgegevens en informatie.
Opkomende wetgeving
Nu mensen het slachtoffer worden van phishing-/fraudeaanvallen, nemen wetgevers in zowel het VK als de VS nota. Er is een voorstel in het VK dat banken en andere financiële instellingen slachtoffers van online fraude zou laten vergoeden.
De Payment Systems Regulator kondigde in september aan dat het wil dat de betalingssector de manier verandert waarop het APP (Authorised Push Payment) oplichting beheert. De voorgestelde maatregelen verplichten banken om gestolen bedragen van meer dan £ 100 terug te betalen aan slachtoffers van fraude.
In het VK gevestigde banken zullen verplicht zijn een klant te compenseren, zelfs als het was een phishing-aanval die mogelijk werd gemaakt door de onwetendheid van de bankklant. De bank zal nog steeds verplicht zijn om te helpen bij het terugbetalen van het verloren geld.
In de Verenigde Staten dringt Elizabeth Warren, senator uit Massachusetts, ook aan op soortgelijke wetgeving in de nasleep van haar analyse van Zelle-klanten die gestolen geld meldden.
Financiële instellingen moeten strikte aandacht besteden aan frauderegelingen om hun klanten beter te beschermen. Door hun klanten te beschermen, beschermen banken ook hun bedrijfsresultaten. Cyberbeveiligingsproblemen zijn niet alleen een beveiligings- of merkprobleem; ze worden ook een punitief financieel probleem.
Hoe maatschappelijke organisaties terug kunnen vechten
CSO’s moeten dubbel inzetten op het voorkomen van phishing-pogingen in en rond interne systemen. Het is een van de meest kritieke acties om aan te pakken. Niet alleen worden uw klanten gehackt en wordt hun informatie openbaar gemaakt, maar nu zijn zelfs de bedrijven die inloggegevens en toegangscontrole beheren (Duo, OKTA, LastPass) gecompromitteerd, wat het probleem nog verergert.
De voordeur op slot doen is nog steeds de beste manier om deze bedreigingen het hoofd te bieden. Het is een goed begin om een meerlagige benadering te volgen om de identiteit van uw medewerkers, partners en klanten te heroverwegen. Als u dit nog niet overweegt, is het tijd om te gaan kijken naar de volgende generatie producten voor identiteitsbeheer en toegangscontrole die op de markt worden geïntroduceerd.
Deze innovatieve systemen kunnen niet alleen de identiteit van het apparaat dat inlogt beter vaststellen, maar ook de identiteit van de persoon die het apparaat gebruikt. Daarnaast moet identiteit een continu issue zijn, niet alleen aan het begin van de dag, dienst of online sessie. Nieuwere op AI gebaseerde systemen kunnen dit bereiken zonder vervelende pop-ups van continue herauthenticatie te creëren, door een verscheidenheid aan gedrags- en mogelijk biometrische signalen in realtime te combineren.
Zero Trust is een veelgebruikte uitdrukking in de branche geworden, maar het is nu tijd om oplossingen te gaan implementeren waarmee u als CSO echt kunt vertrouwen wie toegang heeft tot uw netwerken en gegevens.
