Uit onderzoek van Zembla blijkt dat een groot deel van de Nederlandse vitale bedrijven onvoldoende beschermd is tegen e-mailaanvallen. 43 van de 100 onderzochte bedrijven heeft de e-mailsystemen niet optimaal beveiligd. Tot de 100 zogenoemde vitale bedrijven die Zembla onderzocht behoren banken, energieproducenten, drinkwaterbedrijven, exploitanten van nucleaire installaties, ministeries en vervoersbedrijven.
Voor het onderzoek werd gekeken naar de mate waarin de e-mailbeveiligingsstandaarden DMARC, DKIM en SPF waren geïmplementeerd en geconfigureerd. DMARC (Domain-based Message Authentication, Reporting and Conformance), SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail) helpen organisaties phishing en het vervalsen van afzenders te voorkomen. Overheidsinstanties zijn verplicht deze standaard toe te passen en aan de vitale sector worden deze maatregelen ten strengste aanbevolen.
“In de cybersecurity-branche is het geen geheim dat cybercriminelen zich tegenwoordig richten op de werknemers van een organisatie, in plaats van op de infrastructuur. Meer dan 99% van de huidige cyberaanvallen vereist menselijke interactie om te slagen. In dit opzicht verschilt de vitale sector niet van andere sectoren die dagelijks te maken hebben met social engineering-aanvallen via e-mail”, zo stelt Adenike Cosgrove, Cybersecurity Strategist bij Proofpoint. “Maar de impact van een geslaagde aanval op de vitale sector is voor de bevolking in het algemeen bijzonder hoog. De beveiliging van kritieke infrastructuur moet daarom verder gaan dan netwerkbeveiliging en technische oplossingen. De nadruk moet liggen op beveiliging waarbij de mens centraal staat en op het verminderen van de kwetsbaarheid van mensen.”
Proofpoint onderzocht onlangs nog de cyberkwetsbaarheid van Nederlandse zorginstellingen. Specifiek werd gekeken naar de mate waarin Nederlandse zorginstellingen bescherming bieden tegen e-mailfraude. Daaruit bleek dat een kwart (25%) van de 69 zorgorganisaties die zijn opgenomen in de database op Volksgezondheidenzorg.info (onderdeel van het RIVM), geen DMARC-record heeft gepubliceerd. Hierdoor is de kans groter dat cybercriminelen zich kunnen voordoen als autoritaire personen binnen die zorginstellingen, waardoor patiënten en werknemers een verhoogd risico op e-mailfraude lopen. Aangezien e-mail het voornaamste middel is waarmee cyberaanvallen in alle sectoren worden uitgevoerd, is het cruciaal dat op dit gebied adequate security-maatregelen worden toegepast.
“Organisaties moeten achterhalen welke gebruikers het vaakst worden aangevallen (wij noemen dat 'very attacked people', of VAP's) en wie van hen het meest waarschijnlijk in de social engineering trapt waarop phishing-aanvallen zijn gebaseerd”, vervolgt Cosgrove. “Mensen vormen een cruciale verdedigingslinie tegen phishing. Daarom is het belangrijk dat voorlichting over beveiligingsbewustzijn ervoor zorgt dat iedereen een phishing-e-mail kan herkennen en deze kan melden. We raden ook een gelaagde verdediging aan bij de e-mailgateway, in de cloud en op het endpoint. Daarnaast moeten protocollen voor e-mailauthenticatie, zoals DMARC en SPF, worden geïmplementeerd om de geldigheid te verifiëren van alle e-mails die vanaf een bepaald domein worden verzonden. Maar ook om te voorkomen dat criminelen zich kunnen voordoen als een bepaalde organisatie.”
