Het was weer een bewogen week in de wondere wereld van IT-security. Gelukkig voor u houden wij wekelijks alles netjes bij en houden we u zodoende lekker op de hoogte van alle smeuïge flaters en spannende ontwikkelingen. We gaan allereerst even terug naar Florida (waar we vorige week ook al waren) , vervolgens maken we kennis met Elvira Spoelstra, hoofdredacteur van BOVAGkrant en eindigen we dit blog met verontrustende resultaten van een recent onderzoek.
Vorige week hebben we het ruimschoots gehad over de ransomware aanval die Florida teisterde. Echter moet ik een kleine rectificatie toepassen wat betreft die vorige blog, want waar ik slechts één aanval benoemde, waren dat er in werkelijkheid drie. Allemaal gericht op de IT-systemen van verschillende steden in Florida en allemaal met dezelfde ransomware software “Ryuk”. In alle drie de gevallen werd er een aardig bedrag geëist dat uiteindelijk rond de $ 1,500,000 zal uitkomen. Twee van de drie hebben inmiddels betaald om zo weer toegang te krijgen tot hun data en systemen. De reden dat ik dit echter nogmaals benoem zit hem vooral in het feit dat er nog steeds geen les geleerd lijkt te zijn. Zo is het enige daadkrachtige dat er in Lake City is gebeurd, na de aanval en na het betalen van het bedrag, het ontslag van een IT-medewerker geweest. Hier zetten wij zo onze vraagtekens bij. Dit doet ons meer denken aan een wanhopige poging tot het redden van imago dan echt een oplossing voor de gebrekkige IT-security en/of het gebrek aan bewustzijn bij de medewerkers. Je zou toch denken dat je na zo’n aanval juist al je IT medewerkers nodig hebt om de boel te dichten en te verbeteren. Maar voorlopig zijn er nog geen maatregelen aangekondigd vanuit de diverse steden. Want waarom zou je als je ook gewoon een random IT- medewerker de schuld kan geven? Wordt vervolgd..
Elivra Spoelstra. Wellicht zegt de naam u iets, wellicht ook niet. Deze dame kwam recentelijk in het nieuws wegens een phishing aanval. En nee, mevrouw Spoelstra had deze niet uitgevoerd maar was er helaas slachtoffer van geworden. Nu kunt u zichzelf afvragen ; “waarom is dit in vredesnaam speciaal, dit lijkt elke dag te gebeuren”. Het speciale eraan, vinden wij althans, is de manier waarop Mevrouw Spoelstra en het bedrijf BOVAG vervolgens zijn omgegaan met dit hele gebeuren. Zoals u net las in de voorgaande alinea over Florida, stoppen veel organisaties dit soort dingen het liefst zo diep mogelijk in de doofpot, maar BOVAG niet. Zij benaderen dit juist vanuit een “word wakker mensen” perspectief en zoals u inmiddels wel weet, daar houden wij van. De phishing aanval waarmee Elvira, en vervolgens het hele bedrijf, mee te maken kreeg heeft ondanks snel handelen van de IT-afdeling een indruk achter gelaten. Zo probeerden de aanvallers niet alleen toegang te verkrijgen tot bedrijfsdata maar drongen ze ook door tot bijvoorbeeld haar Netflix account. De impact van deze aanval en het immense gevoel van onveiligheid dat daarbij komt kijken heeft haar doen besluiten om dit verhaal te delen met iedereen. Met name om een bepaalde schaamte weg te nemen. Wij applaudisseren Mevrouw Spoelstra en ook BOVAG voor de manier van handelen. Echter benadrukken we nogmaals hier het belang van bewustzijn. Een ongeluk verschuilt zich tegenwoordig in één klik.
Het volgende stuk heeft weinig woorden nodig, eigenlijk is het enige wat u hoef te doen het bestuderen van deze infographic. Dit zijn de resultaten van een onderzoek dat werd uitgevoerd door Hoffman Cybersecurity in samenwerking met een aantal psychologen. Dit onderzoek, gedaan onder 100 werknemers, belicht de correlatie tussen gedrag en bewustzijn. Uit het onderzoek blijkt, voornamelijk, dat iemand zich prima bewust kan zijn van eventuele cyber dreigingen maar dat het er naar gedragen een stap te ver is. Uit het onderzoek blijkt dat de belangrijkste redenen hiervoor zijn een gebrek aan motivatie, onderschatting van risico’s en een werkomgeving die er niet goed op in is gericht. Toch hopen wij bij Rootsec dat ook deze mensen langzamerhand het risico wel gaan in zien. Elke dag komen er weer nieuwe manieren van aanvallen bij en de hele “dit overkomt mij niet” gedachtegang is alles behalve nog van toepassing. Laten we hopen dat we met dit blog toch weer een stukje bewustzijn hebben gebracht.