Meer dreiging cybercrime door corona, maar perceptie risico lager

door: Sonny Duijn , Ingrid Laane

De uitbraak van de coronacrisis is een zegen voor cybercriminelen. Vrijwel direct na de uitbraak van het virus nam hun aanvalsdrift toe en er blijft sprake van toegenomen dreiging. Uit onderzoek van ABN AMRO en onderzoeksbureau MWM2 onder 170 bedrijven blijkt dat 7 procent van de bedrijven te maken heeft gehad met een cyberaanval die verband houdt met corona. Door een verschuiving van prioriteiten lijkt de mate waarin bedrijfsdirecties cybercriminaliteit zien als risico voor de eigen organisatie echter juist afgenomen.

Een dieptepunt van de internationale aanvalsdrift is de recente aanval op een ziekenhuis in het Tsjechische Brno. In een tijd waarin de zorg letterlijk de handen vol heeft om met het virus besmette patiënten te helpen, krijgt het ziekenhuis een zogeheten ‘ransomware’-aanval. Dit houdt in dat cybercriminelen schadelijke software installeren waarmee toegang tot cruciale bedrijfsinformatie wordt geblokkeerd. De toegang wordt pas weer hersteld als het bedrijf een geldsom overmaakt naar een bankrekening.

Uitbraak virus gaf cybercriminaliteit meer momentum

De aanval staat niet op zichzelf. Google heeft kort na de uitbraak geconstateerd het aantal actieve wereldwijde phishing-websites sterk is toegenomen. Bij een phishing-aanval worden mensen met valse berichten naar een dergelijke nepwebsite gelokt om hen geld te laten over maken, hun inloggegevens te stelen of om malware te installeren. Dit aantal lag in maart 78 procent hoger dan in februari, waarin al een forse stijging was gemeten ten opzichte van januari.

In de weken kort na de uitbraak van de coronacrisis is cybercriminaliteit direct toegenomen, volgens Europol.[1] Cybercriminelen lokken ondernemers en consumenten onder meer in de val met het online ‘aanbieden’ van zogenaamde vaccins, gezinsmaskers, testmaterieel of donatiemogelijkheden. Volgens deze Europese misdaadonderzoeksorganisatie hebben diverse cyberaanvallen plaatsgevonden, vrijwel direct nadat het coronavirus in Europa arriveerde. Cybercriminelen weten de schok en verwarring die de pandemie teweegbrengt als momentum om aanvallen te plaatsen kennelijk goed te benutten.
Daarbij verandert volgens Europol ook het karakter van de aanvallen. Cybercriminaliteit is door het virus gewiekster geworden. Zo werd de tijd korter tussen het installeren van de malware en het geldverzoek dat met de ransomware gepaard gaat. Ook hebben grote, gecoördineerde phishingaanvallen plaatsgevonden waarbij verschillende cybercriminelen worden gecombineerd.

ABNAmro_diagrammen_dec_web6

Uit onderzoek van ABN AMRO onder 170 bedrijven in mei blijkt dat voor bijna 7 procent van de bedrijven geldt dat ze de afgelopen maanden te maken hebben gehad met cybercriminaliteit die verband houdt met het coronavirus. De daadwerkelijke percentages liggen vermoedelijk hoger, omdat niet elke aanval herkend zal zijn als verband houdend met corona.

Sommige bedrijven zijn in het nieuws gekomen door zogeheten ‘Distributed Denial of Service’ (DDOS)-aanvallen. Daarbij wordt er dermate veel internetverkeer naar de website van bijvoorbeeld een bedrijf gestuurd, dat de servers dit niet aankunnen. Het is te vergelijken met hordes mensen die tegelijkertijd hetzelfde huis proberen in te gaan, waardoor andere bezoekers op een gegeven moment geen toegang meer hebben. Zo kwam maaltijdbezorger Thuisbezorgd na de uitbraak van corona met een dergelijke aanval in het nieuws, evenals ABN AMRO, dat voor het eerst in ruim 1,5 jaar met een geslaagde DDOS-aanval te maken kreeg.

Als tegenreactie op de golf aan cybercriminaliteit na corona hebben diverse cybersecurity-bedrijven de zogeheten ‘Covid CTI League’ opgericht om de krachten te bundelen.

Gedeeltelijke verschuiving naar digitaal en internet

Dat het coronavirus voeding geeft aan cybercriminelen heeft er alles mee te maken dat het doelwit (‘attack surface’) groter is geworden. Immers, met de lockdowns en ‘social distancing’-maatregelen is communicatie meer gedigitaliseerd, bijvoorbeeld omdat veel werknemers vanuit huis werken. “Met name het risico dat is verbonden aan het gebruik van zogeheten ‘elevated accounts’ is door het massale thuiswerken toegenomen”, stelt Rob Bus, directeur van cybersecuritybedrijf SecurIT. “Denk aan de systeembeheerder die hiermee op afstand een computer kan ‘overnemen’. Een cybercrimineel kan dat dus ook. De toegangscontrole en het beheer van dit type account is juist nu extra belangrijk.”

De verhoogde digitale communicatie vergroot de mogelijkheden tot cyberaanvallen. En omdat naar verwachting in ieder geval voorlopig meer geleund wordt op digitale ondersteuning dan voorheen, bijvoorbeeld als het gaat om thuiswerken, blijven cybercriminelen zeker in de komende periode bovenmatig actief. Of de criminaliteit structureel toeneemt, hangt af van mate waarin de huidige impuls aan bijvoorbeeld thuiswerken en onlineshoppen ook na de coronacrisis standhoudt.

Europol verwacht dat een breder pallet aan sectoren met cybercriminaliteit te maken zal krijgen. Waar tijdens de coronacrisis eerst sterk door het virus beïnvloede sectoren als het onderwijs en de gezondheidszorg werden aangevallen, kan het zijn dat allerlei bedrijven die op dit moment versneld digitaliseren mogelijk geraakt gaan worden.

Ondernemers zien juist lager risico

Hoewel cybercriminaliteit door de coronacrisis een impuls heeft gekregen, lijkt het niet zo dat dit bij bedrijven nu hoger op de agenda staat. Uit het genoemde onderzoek van ABN AMRO in mei geeft 31 procent van 170 hiernaar gevraagde ondernemingen aan veel risico op cybercriminaliteit voor de eigen organisatie te zien, zoals blijkt uit onderstaande figuur.

Kort voor aanvang van de coronacrisis in Nederland lag dit percentage aanzienlijk hoger. In een uitgebreider cybersecurity-onderzoek dat ABN AMRO eind januari/begin februari uitgevoerde, gaf 54 procent van de 112 deelnemende directeuren van mkb-bedrijven en grotere ondernemingen aan veel risico op cybercriminaliteit voor de eigen organisatie te zien. Hoewel de omvang van de onderzoekspopulatie van beide onderzoeken verschilt, lijkt de mate waarin cybercriminaliteit als risico wordt gezien sinds de uitbraak van corona dus significant te zijn afgenomen.

Deze afname is goed te verklaren: door de uitbraak van de coronacrisis zal de aandacht – en daarmee ook de risicoperceptie – verschoven zijn naar algehele factoren rondom de bedrijfscontinuïteit. Dat cybercriminaliteit als minder problematisch wordt ervaren staat echter haaks op de werkelijke toename van dreiging van aanvallen.

Jeroen Starrenburg, oprichter van Onegini, bevestigt dat de prioriteiten verschuiven. “Het gebruik van onlinediensten is toegenomen door corona; dit maakt het voor hackers interessanter. Er zijn meer en andere type targets. Tegelijkertijd zijn veel innovatiebudgetten van ondernemingen teruggeschroefd door de crisis, waardoor er minder geld beschikbaar voor cybersecurity.”

Voor de toekomst ziet Starrenburg mogelijkheden. “Het goede nieuws is dat de professionaliteit en toepasbaarheid van oplossingen in rap tempo toeneemt. Onder andere door uiteenlopende vormen van Software-as-a-Service-oplossingen.”

Een ander effect van de coronacrisis is dat er steeds meer tijdelijke samenwerkingen zijn tussen grote cybersecurity-bedrijven en kleine, meer gespecialiseerde nichespelers. Algemeen directeur Joris Den Bruinen zet hier met netwerk The Hague Security Delta (HSD) op in. “Door de coronacrisis zien groeiende bedrijven startups en scaleups, hun zogenoemde ‘salesfunnel’ afnemen. Verkoop starten, relaties opbouwen en deals sluiten is immers lastig in tijden van contact per video.”

De grotere spelers hebben hier doorgaans minder last van, volgens Den Bruinen. “Dat komt doordat zij een bestaand netwerk van klanten en relaties hebben. Wel zijn zij op zoek naar nieuwe manieren om hun klanten te bedienen. Samenwerking tussen deze partijen is dus een typische win-win situatie voor cybersecurity-bedrijven.”

Dreiging cybercriminaliteit relatief hoog

Ook voor corona was cybercriminaliteit al een serieus probleem. Cijfers over cybercriminaliteit worden vooral beschikbaar gesteld door bedrijven die deze criminaliteit tegengaan: de cybersecuritybranche zelf of bedrijven die hier direct aan gelieerd zijn. Uit bestaande internationale onderzoeken lijkt de dreiging in Nederland relatief hoog.

Dat is geen toeval: Nederland is een internetknooppunt en loopt voorop met digitale toepassingen. Uit data van statistiekbureau Eurostat blijkt dat binnen Europa alleen IJslanders en Noren gemiddeld meer bedreven zijn in digitale communicatie. Digitalisering biedt duidelijke voordelen, maar leidt tegelijk dus tot meer gevoeligheid voor cybercriminaliteit.

Accountantsbureau Deloitte heeft in 2016 becijferd dat het Nederlandse bedrijfsleven jaarlijks zo’n 10 miljard euro verliest als gevolg van cybercriminaliteit, wat neerkomt op circa 1,5 procent van het bruto binnenlands product. Het genoemde percentage wordt bevestigd door cyberbeveiliger McAfee enkele jaren eerder. Het bedrijf toont in een onderzoek bovendien dat Nederland in internationaal opzicht relatief hard wordt geraakt door cybercriminaliteit.

Verschillen per sector

Het effect en karakter van die schade verschilt per sector. Volgens de studie van Deloitte zijn bijvoorbeeld de technologiebranche, defensie en luchtvaart, de overheid en de financiële sector relatief kwetsbaar voor cyberaanvallen. In een aantal sectoren krijgt die schade vorm doordat ICT-systemen plat komen te liggen, waarmee tevens de operationele werkzaamheden worden gehinderd. Bij defensie en luchtvaart hangt de potentiële schade vooral samen met verlies van strategische informatie. Bij zakelijke en financiële dienstverleners is vooral het lekken van informatie over derde partijen een risico. Dit kan tot verlies van klanten en werknemers leiden.

Hiscox, de Britse verzekeraar van onder meer cyberschade, concludeerde in 2019 dat vooral de gezondheidszorg, leisure en de financiële sector te maken hebben met relatief grote schadeposten per cyberaanval. Die gemiddelde schade loopt in de tonnen, al laat de precieze omvang zich per geval moeilijk kwantificeren. Immers, de immateriële schade die samenhangt met bijvoorbeeld reputatieschade, klantverlies en het missen van zakelijke kennis, is moeilijk te schatten. Bedrijven uit bijvoorbeeld de TMT-sector en Transport & Logistiek hebben maken met aanvallen via de ‘supply chain’, de toeleverketen waar diverse bedrijven bij betrokken zijn. De dreiging van dergelijke aanvallen is toegenomen door de toegenomen verwevenheid van bedrijven door digitalisering, outsourcing en globalisering. Een aanval via ransomware, die onlangs werd uitgevoerd op handelsbedrijf Reesink, kan in sterk samenhangende ketens gevaarlijk zijn. Hoewel Nederland relatief vaak te maken heeft met meldingen die voortkomen uit een lek bij een derde partij, menen wij dat bij meeste mkb-bedrijven de veiligheid van data bij extern beheer meestal groter is.

Totaaloplossing voor bescherming tegen cybersecurity van belang

De recente ontwikkelingen maken eens te meer duidelijk dat cybersecurity van groot belang is en blijft. Zo is het bijvoorbeeld van belang om een protocol voor veilig IT-gebruik van werknemers te hebben, zoals we ook constateerden in ons rapport ‘Cybersecurity gebaat bij openheid bedrijfsleven’ in 2015.

Het vastleggen van zo’n protocol is in het ideale geval onderdeel van elke organisatie. Een goede bescherming tegen cyberaanvallen vereist namelijk meer dan een eenmalige investering in software. Vaak is menselijk falen de zwakke schakel, wanneer bijvoorbeeld de privémail wordt gebruikt voor het versturen van belangrijke documenten of wanneer per ongeluk wordt geklikt op een link of bijlage in een phishing mail.

Bij het mkb kunnen de kosten een drempel zijn om veel aandacht aan het probleem te geven. Zij kunnen bijvoorbeeld terecht bij securitybedrijven die zich specifiek op dit segment richten, bijvoorbeeld via specifieke software of databeheer in de ‘cloud’.

Dat de risicoperceptie in tijden van corona wat lager is, is goed te verklaren. Toch is het van belang te realiseren dat er sprake is van toegenomen dreiging. Cybercriminelen hebben daarbij meer mogelijkheden om aanvallen te plaatsen omdat communicatie in toenemende mate digitaal verloopt. Daarom is het belangrijk dit onderwerp ook in economisch zwaardere tijden op de agenda te houden en zoveel mogelijk in de bedrijfscultuur te integreren.

[1] Europol, Beyond the Pandemic, April 2020