Elke nieuwe dag brengt met zich mee dat er iemand slachtoffer is geworden van een cyberaanval. De kosten waarmee we daardoor worden geconfronteerd, zijn enorm: verloren kritieke gegevens, gestolen activa en beschadigde reputaties.
Hoeveel beveiliging “net genoeg” is nodig om dit te voorkomen?
We zijn gewent om beslissingen te nemen op basis van risico. Een effectief risico identificeren en een echt risico identificeren en bepalen hoe dit risico tot een acceptabel niveau kan worden teruggebracht.
Door een acceptabel niveau van cyberrisico’s in te calculeren en inventariseren, wordt cyberbeveiliging een onderdeel van ons dagelijks leven. En de beste manier om dit te doen, is door een risicobeoordeling te maken.
Er zijn simpelweg te veel bedreigingen, te veel potentiële kwetsbaarheden die zouden kunnen bestaan, en simpelweg niet genoeg middelen om een onneembare beveiligingsinfrastructuur te creëren.
Over het algemeen helpen risicobeoordelingen bij het bepalen van beveiligingsrisico’s door het volgende te doen:
Het identificeren, inschatten en prioriteren van risico’s.
Het bepalen van de mogelijke bedreigingen van kwaadwillenden die de vertrouwelijkheid, integriteit of beschikbaarheid van de informatie die we verwerken, opslaan of verzenden in gevaar kunnen brengen.
Identificeren welke maatregelen of controles er zijn om de kritieke activa te beschermen en welke maatregelen/controles ontbreken.
Na het aanbevelen van preventieve maatregelen en het investeren in beveiligingsupgrades om hoge risiconiveaus te verminderen.
Wat betekent dit? Het hangt af van veel dingen. Want niet alle risico’s gelijk.
Een risicobeoordeling zou ons kunnen vertellen waaraan we prioriteit moeten geven, aan preventie om de vertrouwelijkheid van onze gegevens te beschermen met privacygerelateerde controles en andere beveiligingsmaatregelen. De risicobeoordeling kan er ook op wijzen dat we kwetsbaar zijn voor een ransomware-aanval, dus moeten we een herstelplan implementeren en dagelijkse en wekelijkse systeemback-ups maken. Maar de risicobeoordeling kan erop wijzen dat er minder risico is voor de beschikbaarheid of integriteit van onze gegevens, zodat we niet zoveel in deze gebieden hoeven te investeren.
Een risicobeoordeling zet immateriële concepten zoals veiligheid, risico en preventie om in tastbare realiteiten met werkelijke kosten. Onopgemerkte/onvoorziene cyberaanvallen kunnen immers gelijk staan aan financiële rampspoed. En dat is een onvermijdelijkheid in de onderling verbonden wereld van vandaag.
Een wereld waarin onze data een steeds belangrijkere rol heeft zou het beschermen van onze persoonlijke data een hoge prioriteit moeten hebben. Echter ondanks alle goede voornemens zijn onze pogingen tot het beschermen van onze persoonlijke data meestal al gestrand voordat we er echt aan zijn begonnen.
En ondertussen hebben veel van onze apps, bezochte websites en browsers meer informatie over ons dan we zelf op onze harde schijf hebben staan. Daarbij blijken we steeds meer informatie ongewild te lekken aan grote bedrijven die deze persoonlijke data zien als verdienmodel. En daarbij niet schromen om onze inloggegevens te stelen en op te slaan. Als deze gegevens dan ook nog worden gedeeld en samengevoegd ontstaan er profielen die het niet zo nou met de waarheid nemen.
En belanden we op lijstjes op basis van een eenmalige zoekactie of een gekocht item. Soms ook omdat iemand iets verdachts heeft gezien of omdat een van de buren betrokken is geraakt in een onderzoek. Deze informatie is interessant voor cybercriminelen maar ook voor bedrijven, instanties en overheden.
Het verzamelen en delen van persoonlijke data door overheden, organisaties en bedrijven is dus eigenlijk een bedreiging voor onze persoonlijke data. Een risicobeoordeling zou ook hier op zijn plek zijn en zet immateriële concepten zoals vrijheid, veiligheid, risico en preventie om in tastbare realiteiten met werkelijke dreigingen. Onopgemerkte/onvoorziene blijkt het verzamelen en delen van data door overheden, organisaties en bedrijven gelijk kunnen staan aan cyberaanvallen immers gecombineerde data staat meestal ook gelijk aan financiële rampspoed.