Hoe goed zijn jouw ‘VIPS’ digitaal beveiligd?

‘Kans groeit met de dag’

Zodra je aan het roer van een organisatie staat, een bekende tv-persoonlijkheid bent of als strafrechtadvocaat grote figuren uit de onderwereld bijstaat, dan kunnen criminele hackers het op jou hebben gemunt. Maasland stelt dat iedereen met een verhoogd risico-functie een potentieel doelwit voor cybercriminelen is. "Regelmatig zijn individuen het primaire doelwit van criminele hackers om het simpele feit dat ze een opstap naar bedrijfsnetwerken bieden, maar ook om gelijk op de juiste plek uit te komen. Wordt bijvoorbeeld een CEO gehackt, dan zitten cybercriminelen meteen bij de gevoelige informatie en kan er groot geld worden verdiend."

De kans dat je als zogenoemd VIP wordt gehackt, groeit in rap tempo. "Tegenwoordig is gedigitaliseerde criminaliteit (lees: cybercrime) voor een grotere groep mensen bereikbaar geworden”, vertelt de cyberspecialist. “Veel criminele zaken zijn geautomatiseerd. Waar je als hacker vroeger moest kunnen hacken, is dat nu niet meer het geval. Anno nu kunnen ze bijvoorbeeld phishingpagina's via darknet marketplaces kopen, wat maakt dat meer mensen tot dit type criminele tools toegang kunnen krijgen. Dit maakt dat de kans om als persoon met een verhoogd risicoprofiel gehackt te worden, met de dag groeit."

Maasland geeft aan de criminelen wel te snappen: “Want vraag je aan VIPS of ze digitaal ook alles net zo op slot en grendel hebben zitten als hun fysieke spullen, dan zullen er vaak nog open eindjes te vinden zijn."

Motieven om VIPS te hacken

In het algemeen zijn criminele hackers uit op het verdienen van zoveel mogelijk geld met zo min mogelijk moeite. Maasland stelt dat dat lang niet altijd voor het type cybercriminelen geldt die VIPS in het vizier hebben. "Het motief is niet altijd geldgedreven. Er kan namelijk ook uit emotie worden gehandeld, worden gestalkt óf cybercriminelen zijn uit op reputatieschade. Omdat veel mensen VIPS kennen, denken cybercriminelen dat er wat te halen valt." 

Ter illustratie haalt de cyberexpert voetbalwedstrijden aan. "Regelmatig zien we dat als een voetbalclub heeft verloren óf gewonnen er meer digitale aanvallen worden uitgevoerd. Fans plegen dit puur uit emotie." Daarbij zijn er genoeg cybercriminelen die er een schepje bovenop doen en VIPS afpersen. "Zodra criminele hackers toegang tot persoonlijke accounts van VIPS hebben, dan kunnen ze hen afpersen en mogelijk (veel) geld laten betalen. Bij ESET merken we dat veel BN'ers en andere VIPS niet bij deze mogelijke donkere wolk die boven hun hoofd hangt, stilstaan."

Zoals gezegd behoren CEO's ook tot de groep met een verhoogd risicoprofiel. Waarom criminele hackers hun pijlen op hen richten? Maasland stelt dat het bij lange na niet altijd om het geld gaat. "We leven in een tijd dat er van bedrijven wordt verwacht dat ze zich bewust zijn van hun maatschappelijke impact. Dit maakt dat CEO's publieke figuren zijn geworden die niet langer in hun ivoren toren kunnen blijven zitten. Staat bijvoorbeeld de bedrijfsstrategie of een uitspraak niet aan, dan kan dat criminele hackers triggeren. Maar ook informatie vergaren door middel van spionage kan een motief zijn.”

4x maatregelen voor VIPS

Net als bij het hacken van bedrijven, geldt voor VIPS dat ze de 'basishygiëne' op orde moeten hebben. Denk aan het installeren van moderne antivirussoftware, het maken van backups, werken met sterke wachtwoorden en het up-to-date houden van systemen. Volgens Maasland kunnen VIPS naast deze maatregelen extra stappen zetten om de kans op een hack te verkleinen;

• "Breng alle VIPS in kaart en tref extra maatregelen om hen te beschermen. Neem CEO’s. In de basis begint het bij de CEO; wat is de strategie? Wat zijn de bedrijfsdoelstellingen? En wat zijn de risico's die daaruit voortvloeien? Ik zou willen adviseren dat er wordt nagedacht over de combinatie veiligheid en gebruikersgemak. CEO's mogen wellicht bij alle data, maar wie weet is het voor de veiligheid veel verstandiger om juist niet overal bij te kunnen. Is namelijk het persoonlijke account van de CEO gehackt, dan kunnen criminele hackers in een mum van tijd bij alle belangrijke informatie. Lang verhaal kort: ga in gesprek met het IT-team, ga als CEO na wat het risicoprofiel is en of hij / zij wel toegang tot alle data zou moeten willen hebben."

• In principe zouden bekende Nederlanders en andere publieke figuren hun digitale veiligheid op dezelfde manier kunnen aanvliegen. "Elke BN'er is vandaag de dag een soort bedrijf, een merk," aldus Maasland. "Wat we daarbij vaak bij publieke figuren zien, is dat ze het beheer van hun Instagram-account uit handen aan een extern bureau geven." Bij ESET zien ze dat er vaak met slechts één wachtwoord kan worden ingelogd. Geen tweestapsverificatie, geen extra 'veiligheidspoort'. Als soort CEO van je eigen bedrijf kun je nagaan wat je risicoprofiel is en hoeveel risico je wilt nemen. Wil je wel met een externe partij werken? Zo ja, hoe gaat iedereen met de dataveiligheid en privacy om?”

• "Laat het sentiment op social media als VIP monitoren", tipt de cyberexpert. "Slaat het sentiment om, gebeurt er iets of gaat er een gerucht de ronde, dan kan dat met digitale activiteit en dus hacks gepaard gaan. We zien regelmatig dat, zodra een VIP negatief in het nieuws is, het hand in hand met digitale aanvallen gaat. Door het sentiment te monitoren, weet je wat er digitaal speelt en kun je nagaan of dit impact op jouw risicoprofiel heeft."

• Tot slot stipt Maasland aan om te kijken naar geavanceerde instellingen van software. "Veel beveiligingssoftware hebben geavanceerde instellingen. Via deze weg kunnen bepaalde zaken strakker worden ingesteld, waardoor er bijvoorbeeld sneller digitaal een alarm afgaat. Ga dit voor de VIPS binnen jouw organisatie na; niet omdat je ze niet vertrouwt, maar om hen én het bedrijf beter te beschermen."

Gehackt? Zet experts op 'speed dial'

Toegegeven, hacks op VIPS kunnen ondanks voorgaande maatregelen nooit volledig worden voorkomen. Maar wat doe je als VIP als je tóch bent gehackt? Maasland raadt niet aan om de customer support van Instagram, Twitter of een ander gehackt account te benaderen, maar heeft een extra tip. "Voor Twitter ben je geen VIP. Ze zullen dan ook niet gelijk voor jou opspringen om in actie te komen. Dit zien we regelmatig. Opeens sta je er bij een hack alleen voor. Daarom is het belangrijk om - als je een verhoogd risicoprofiel hebt - experts om je heen te verzamelen. Zorg dat je een security-expert in no time aan de lijn kunt hebben. Dit kan de CISO zijn, maar ook medewerkers uit het IT-team of iemand anders met verstand van digitale veiligheid."

Hulp nodig? Digitaal beveiligingsbedrijf ESET helpt bedrijven bij het digitaal weerbaar maken.