Home Blog Cyberrisk & Cybercrime: voor iedereen van belang
5 maart 2016

Cyberrisk & Cybercrime: voor iedereen van belang

Wat is Cyberrisk?
Cyberrisk is een algemene term voor financiële schade die wordt veroorzaakt door, met of via ICT. Dit uit zich bijvoorbeeld door een onverwachte kostenpost en bedrijfsstagnatie, doordat gegevens onbedoeld openbaar geworden zijn of een derde uw bedrijf aansprakelijk gesteld heeft, of het computersysteem niet goed meer werkt. Dit kan veroorzaakt worden door een technische storing, een fout van een eigen medewerker of dienstverlener, of door een criminele oorzaak: Cybercrime.

Cybercrime is criminaliteit met ICT als middel en doelwit. Niet alleen computers met internetaansluiting zijn vatbaar, ook telefoons, bankpassen en pinsystemen kunnen worden gemanipuleerd. Volgens onderzoek zijn al 40% van de Nederlandse ondernemers slachtoffer geweest van dit soort praktijken, vaak nog onbewust.
Onderstaand een uitgebreide toelichting over dit toenemende fenomeen.

Zie ook het confronterend youtube filmpje  van de Kamer van Koophandel waarin een professionele hacker uitlegt hoe makkelijk dit ook u kan overkomen.

Mogelijke vormen van Cyberrisk en Cybercrime

Computervirussen

Een computervirus is een vorm van schadelijke software. Het is een programma dat zich in een bestand kan nestelen, bijvoorbeeld in bestanden van een besturingssysteem. Computervirussen worden als schadelijk beschouwd omdat ze schijfruimte en computertijd in beslag nemen van de besmette computers. In ernstige gevallen kunnen virussen binnenin de computer schade aanrichten, bijvoorbeeld het wissen en verspreiden van gevoelige gegevens. In zeer ernstige gevallen kan de gebruiker zelfs de totale controle over de computer verliezen.

Hackers

Een hacker is iemand die zich interesseert in de beveiliging van een computersysteem. Iemand die creatief is en op die manier op zoek is naar gaten in de beveiliging van een systeem en daar ook gebruik van zal maken. Het verschil zit hem alleen in het uiteindelijke doel van de hacker: iemand kan een systeem binnendringen met de bedoeling daar zoveel mogelijk schade aan te richten, maar iemand kan ook een bepaald systeem bestuderen en de gaten in de beveiliging melden aan de betreffende systeembeheerder.

Wormen

Een computerworm is een zichzelf vermenigvuldigend computerprogramma. Via een netwerk worden kopieën van deze worm doorgestuurd zonder een tussenkomst van een tussengebruiker. Een worm is geen virus want hij heeft geen programma nodig om zich aan vast te hechten. Men kan stellen dat een worm schade toebrengt aan een netwerk, waar een virus een gerichte aanval op een computer doet.

D-DOS aanvallen

In de praktijk is een DDoS een aanval waarbij de getroffen server zoveel verzoeken vanaf meerdere computers te verwerken krijgt dat de dienst (vaak de website) niet meer te bereiken is en in sommige gevallen de achterliggende server zelfs crasht.

Trojaanse paarden

Een Trojaans paard is in de computerwereld een functie die verborgen zit in een programma dat door de gebruiker wordt geïnstalleerd. Deze functie kan toegang tot de geïnfecteerde computer verschaffen aan kwaadwillenden en zo schade toebrengen aan de computergegevens of de privacy van de gebruiker. Trojaanse paarden worden vaak verstuurd als bijlage bij een email of verstopt zitten in programma’s die gedownload worden van een website.

Zombienetwerken

Een botnet alias zombienetwerk is een netwerk van computers welke op afstand bestuurd worden door cybercriminelen. De computers versturen spam zonder dat de eigenaren het weten of worden gebruikt om andere computers aan te vallen,

Logische bommen

Een verstopte functionaliteit van een programma, welke is ingesteld om op een bepaalde tijd/datum een bepaalde actie uit te voeren. Hierbij worden vaak gegevens gewist of het programma buiten werking gesteld. Logische bommen worden vaak gemaakt door programmeurs die een onenigheid hebben met de opdrachtgever en die er niet voor schuwen om schade aan te richten bij klanten van de opdrachtgever.

Defacing

Bij defacing veranderen cybercriminelen de inhoud van je content (bijvoorbeeld een webpagina), zonder dat jij dat wil. Een bekend voorbeeld is dat een hackersgroep (zoals Anonymous) je website hackt, om vervolgens groot in beeld ‘U BENT GEHACKT’ te brengen of de gegevens op je webpagina te veranderen.

E-fraude

Bij e-fraude handelen internetcriminelen in valse goederen of diensten, zonder daarvoor te betalen of tegenprestaties te leveren. Ook valse financiële transacties, verzoeken tot dubieuze betalingen of oplichting via Marktplaats (een baksteen in een pakketje of helemaal geen pakketje) vallen onder e-fraude.

Identiteitsfraude

Criminelen misbruiken je bedrijfsgegevens om producten of diensten te bestellen, creditcards of uitkeringen aan te vragen.

Phishing

Via een vervalste website of e-mail wordt om je persoonlijke gegevens gevraagd. Een internetcrimineel die uit jouw (bedrijfs)naam een mail naar je klanten stuurt en hen persoonlijke gegevens afhandig maakt, valt ook onder phishing.

Ransomware / cyberafpersing

Ransomware is een aggresieve variant op rogueware, die bestanden op je computer ‘gijzelt’ door ze te versleutelen. Het programma vraagt om losgeld om weer bij de bestanden te kunnen komen. Meestal wordt de toegang tot die bestanden echter nooit gegeven en is je losgeld verloren.

Etc, Etc……….

Meldplicht datalekken

Ter bescherming van persoonsgegevens zijn strenge regels opgelegd aan het bedrijfsleven; bedrijven die een fout maken of gehackt worden, moeten de kosten van de inbreuk betalen.

Op 1 januari 2016 is de meldplicht datalekken ingegaan. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding moeten doen bij de Autoriteit Persoonsgegevens zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt)

Financiële gevolgen van Cyberrisk

De kosten van Cyberrisk kunnen aanzienlijk zijn, te denken valt aan:

  • Een  inbreuk of een datalek, forensisch onderzoek
  • Melden en Inlichten van gedupeerden
  • Kosten voor public relations en crisismanagement
  • Ransomware betalingen door cyberafpersing
  • Kosten van herstel van ICT-systemen
  • Bedrijfsschade wegens niet operationeel zijn
  • Boetes
  • Financieel nadeel als gevolg van contractbreuk met partijen
  • Etc etc

 

Verzekeringsoplossingen: Cyberriskverzekering

Er zijn verschillende verzekeraars die producten hebben samengesteld om deze risico’s af te dekken. Niet alleen nadelige gevolgen van cybercriminaliteit zijn te verzekeren, ook de gevolgen van onachtzaamheid van eigen medewerkers binnen de organisatie.

Schadevoorbeelden

Detailhandel: In een winkel wordt het POS-systeem gehackt waardoor de nummers van betaalpassen en creditcards van duizenden klanten op straat komen te liggen. De winkel koet de uitgevers van de kaarten inlichten, de kosten voor vervanging betalen en fraudecontrolediensten aanbieden aan gedupeerden.

Productie: Een uitvinder geeft een fabrikant de opdracht een beperkt aantal producten te vervaardigen waarop nog geen octrooi is verleend. Een werknemer van de fabrikant verstuurt per ongeluk een emailbericht met product specificaties aan potentiele concurrenten. De fabrikant wordt voor de rechter gedaagd wegens schending van de geheimhoudingsovereenkomst.

Adviesbureau: Bij een bureau voor personeelsadvisering raakt iemand een laptop kwijt. Namen, adressen en BSN-nummers van honderden contractmedewerkers waren er in opgeslagen. Ongeacht of de informatie ooit wordt verspreid moet het bureau dit melden en fraudecontroles uitvoeren.

Reclamebureau: een reclamebureau zet een nieuwe reclamecampagne op voor een prominente klant. De campagne lekt uit voor de geplande lanceringsdatum, reden voor de klant om het bureau voor de rechter te dagen.

Ontwikkelaars van websites: Een ontwikkelaar ontwerpt een nieuwe website voor een e-commercebedrijf. De site gaat de lucht in maar crasht daarna onmiddellijk. De ontwikkelaar doet er 3 dagen over om het probleem op te lossen. Ondertussen ligt het bedrijf stil. Het bedrijf stelt de ontwikkelaar aansprakelijk wegens gederfde inkomsten.

Bouw: De vertrouwelijke ontwerpplannen voor een project voor de ontwikkeling van multifunctionele gebouwen worden door een ontevreden medewerker van de aannemer die de bouwopdracht heeft binnen gehaald, gelekt naar een concurrent. De projectontwikkelaar daagt de aannemer vanwege het schenden van de geheimhoudingsovereenkomst.

 

 

 

 

 

 

 

Taged in
Binnen kijken