“Om te beginnen gaat het aanvallers meestal niet om specifieke bedrijven, maar om de digitale kwetsbaarheden”, vertelt Post in zijn deelsessie. Cybercriminelen scannen het internet continu. Geautomatiseerd zoeken ze naar zwakke plekken in systemen. En waar een opening zit, proberen ze binnen te komen om data zoals persoonlijke gegevens van klanten buit te maken.
Data als brandstof voor aanvallen
Hij vervolgt: “Als data zijn gestolen, kunnen aanvallers er vervolgens veel mee. Dat zie je terug in hoe aanvallen tegenwoordig worden opgebouwd. De buitgemaakte gegevens worden online gezet en allerlei criminelen kunnen informatie vervolgens combineren, waardoor bijvoorbeeld phishing e-mails steeds geloofwaardiger en effectiever worden. Dus het idee dat data op zichzelf weinig waarde hebben, is een misvatting. Niet één gegeven is het probleem, maar de combinatie ervan.”
“Verder is het niet langer de einzelgänger op zolder”, merkt hij op. “Achter cybercriminaliteit zit inmiddels een heel businessmodel. Zo zijn op het darkweb al complete toolkits beschikbaar waarmee binnen korte tijd aanvallen kunnen worden opgezet. Daardoor zijn phishing, fraude en andere vormen van cybercrime nu veel toegankelijker. En dat betekent ook dat bedrijven meer worden aangevallen.”
Meer dan alleen financiële schade
De impact van succesvolle cyberaanvallen is volgens Post drieledig. Organisaties raken geld kwijt, de bedrijfsvoering komt stil te liggen én het vertrouwen van klanten, partners en toezichthouders neemt af.
Hij ziet dat op dat laatste komt steeds meer nadruk komt te liggen. Toezichthouders pakken een actievere rol en leggen vertrouwen vast in wetgeving. Met richtlijnen en verordeningen als NIS2 en DORA worden organisaties verplicht om hun digitale weerbaarheid op orde te brengen en te houden. Daarbij worden ook steeds vaker maatregelen verbonden aan het behouden van dat vertrouwen. Want een geslaagde cyberaanval treft niet meer alleen één organisatie, maar heeft steeds vaker ook impact op andere bedrijven in de waardeketen en op hun klanten.
“Want data die aanvallers ergens buit maken, zetten ze vervolgens ergens anders weer in. Dat is een steeds groter wordend probleem waarbij ketenpartners allemaal een rol kunnen spelen om het te stoppen”, vindt Post.
Van papieren proces naar digitaal vertrouwen
Cybercriminelen buiten de deur houden, is overigens geen makkelijke opgave. Bedrijven digitaliseren en werken steeds vaker datagedreven. Onboarding, claims, uitkeringen: het wordt allemaal online afgehandeld. Dat levert snelheid en gebruiksgemak op. Maar het brengt ook risico’s met zich mee, want Post weet uit ervaring dat de digitale processen nog vaak gebaseerd zijn op oude werkwijzen.
Post: “Veel digitale oplossingen zijn nog tekenen van een tussenfase. Het voelt vertrouwd, maar het is eigenlijk geen échte digitale manier van werken. Formulieren worden als PDF ingevuld, ondertekend en teruggestuurd. Inloggen gebeurt met gebruikersnaam en wachtwoord, aangevuld met gegevens zoals een geboortedatum.”
Door papieren processen over te nemen in een digitale omgeving, ontstaat ruimte voor fraude en misbruik. De uitdaging ligt volgens Post daarom in het opnieuw ontwerpen van processen. Niet uitgaan van papier, maar van de digitale werkelijkheid. “Dat vraagt ook om andere keuzes in samenwerking. Security, IT en business werken nog te vaak naast elkaar, terwijl juist daar de oplossingen ontstaan.”
Begin klein
Daarnaast legt hij uit dat het speelveld nu nog ongelijk is. Aanvallers kijken van buitenaf naar alle ingangen tegelijk, terwijl organisaties intern met losse processen en systemen werken. “Het gaat altijd wel ergens mis,” concludeert Post. “Soms klikt iemand op een link, soms zit het in een misconfiguratie. Maar het laat vooral zien dat je veiligheid niet alleen bij mensen kunt neerleggen. Juist daarom moet je systemen zo inrichten dat één fout niet direct grote gevolgen heeft.”
Volgens Post vraagt dat ook om duidelijke keuzes binnen organisaties. Wie is waarvoor verantwoordelijk? En hoe kom je samen tot een besluit? Daarbij is het belangrijk om niet alleen naar risico’s voor de organisatie te kijken, maar ook naar de impact voor de klant. Dat bepaalt welke stappen je zet en wanneer extra controle nodig is.
“Begin daarom klein,” besluit hij. “Kijk in je organisatie welke processen je echt wilt digitaliseren. Waar je de stap wilt maken van papier en PDF naar een manier van werken die echt digitaal is.”
Het Centrum Bestrijding Verzekeringscriminaliteit (CBV) ondersteunt verzekeraars bij het aanpakken en voorkomen van verzekeringscriminaliteit.
Lees meer