2. I AM CONVINCED THAT THERE ARE
ONLY TWO TYPES OF COMPANIES:
THOSE THAT HAVE BEEN HACKED
AND THOSE THAT WILL BE.
AND EVEN THEY ARE CONVERGING
INTO ONE CATEGORY: COMPANIES
THAT HAVE BEEN HACKED AND
WILL BE HACKED AGAIN.
Robert Mueller
3.
4. Bron: Ponemon institute (2017) Cost of cybercrime study
2017: 2182 interviews from 254 companies in seven countries—Australia,
France, Germany, Italy, Japan, United Kingdom and the United States.
5. Australië : 5,41 miljard US-dollar schade (vgl. met NL)
Bron: Ponemon institute (2017) Cost of cybercrime study
14. REACTIES VAN SLACHTOFFERS
Bijna kwart bedrijven onderneemt geen actie nadat zij slachtoffer worden
Als ondernemers slachtoffer worden, dan zijn zij zelfredzaam
De grootste groep lost problemen zelf op of treft maatregelen om slachtofferschap in
de toekomst te voorkomen
Reacties zijn cybercrimespecifiek: vooral slachtoffers van cybercrime in enge zin
(malware, hacken) tonen zich zelfredzaam. E-fraude slachtoffers schakelen vaker
derden in
Het vertrouwen in de politie als het gaat om de bestrijding van cybercrime is kleiner
dan de mate van vertrouwen in de politiële aanpak van traditionele criminaliteit.
De politie wordt door het overgrote deel van de ondernemers niet ingeschakeld als zij
slachtoffer worden van cybercrime: o.a. door het gebrek aan ondervonden schade
(Veenstra e.a., 2015)
15. WIE LOOPT HET MEESTE RISICO?
VIVA – Value, Inertia, Visibility, Access
16. VEILIG ONLINE BANKIEREN ?
Technische maatregelen zijn niet voldoende voor veilig online bankieren
Klanten die gebruik maken van online diensten zijn belangrijke factor in de
beveiliging
‘The ultimate success of information security depends on appropriate
information security practice behaviours by the end users’. (Rhee, Kim, and Ryu
(2009, p. 816)
Jansen & Lekfeldt (2018): ‘Klanten nemen actief deel aan de misdrijven
waarvan ze slachtoffer worden’
19. COMPANIES SPEND MILLIONS OF
DOLLARS ON FIREWALLS AND SECURE
ACCESS DEVICES, AND IT'S MONEY
WASTED BECAUSE NONE OF THESE
MEASURES ADDRESS THE WEAKEST
LINK IN THE SECURITY CHAIN: THE
PEOPLE WHO USE, ADMINISTER AND
OPERATE COMPUTER SYSTEMS
Kevin Mitnick
21. END-USER SECURITY BEHAVIORS
Als ik een zakelijk telefoontje ontvang van een
persoon die ik niet ken dan vraag ik eerst naar de
naam, functie en bedrijf van de persoon
Als de persoon aan de telefoon die ik niet ken, mij
vraagt naar bedrijfsgevoelige/interne informatie dan
beantwoord ik deze vragen niet telefonisch, vraag ik
hem/haar deze vragen per mail toe te sturen en
beëindig ik het gesprek
Als de persoon aan de telefoon die ik niet ken, mij
vraagt naar informatie over onze interne
systemen/processen dan beantwoord ik deze vragen
niet telefonisch, vraag ik hem/haar deze vragen per
mail toe te sturen en beëindig ik het gesprek
Als de persoon aan de telefoon die ik niet ken, mij
vraagt handelingen uit te voeren op onze
systemen/processen dan beantwoord ik deze vragen
niet telefonisch, vraag ik hem/haar de opdracht via
mail toe te sturen en beëindig ik het gesprek
Bron: Stanton et al., 2005
Cyber veilig (doel)gedrag
24. Faciliteer het behalen van doelen op een cyberveilige manier,
in plaats van het gedrag proberen te veranderen
25. TAKE HOME MESSAGES
Cybersecurity is afhankelijk van het gedrag van criminelen, slachtoffers en
verdedigers
Cybersecurity is meer dan bescherming alleen.
Banken lopen relatief grote kans op schade
Grootste bedreiging zijn insiders: het eigen personeel, leveranciers, etc.
Zij werken veelal actief mee aan misdrijven
Kennis is nodig over het ontstaan van cyber (on)veilig gedrag
Faciliteer het behalen van doelen op een cyberveilige en makkelijke manier, in
plaats van het gedrag proberen te veranderen
Cybercrime leidt niet per definitie tot schade: ruim twee vijfde van de ondernemers die slachtoffer is geworden van cybercrime is schadeloos.
The Dutch Banking Association defines two types of cybercrime with regard to digital payment systems:
(1) targeted at negatively influencing the availability of digital payment systems; and
(2) targeted at fraud with online banking and/or debit cards (NVB, 2013).
The number of reports about online banking fraud made by the Dutch Banking Association was at its highest level, with respectively 35.0 and 34.8 million euros of direct financial damages in 2011 and 2012.
Since 2013, the reported fraud figures have been declining in the Netherlands.
Various sources report that this decline is due the banks doing a good job in detecting fraudulent attacks in their systems and customers who are more aware of such attacks.
Verklaring: hoe meer mensen, hoe vaker slachtoffer? Zie ook studie van Rutger.
The Dutch Banking Association defines two types of cybercrime with regard to digital payment systems:
(1) targeted at negatively influencing the availability of digital payment systems; and
(2) targeted at fraud with online banking and/or debit cards (NVB, 2013).
The number of reports about online banking fraud made by the Dutch Banking Association was at its highest level, with respectively 35.0 and 34.8 million euros of direct financial damages in 2011 and 2012.
Since 2013, the reported fraud figures have been declining in the Netherlands.
Various sources report that this decline is due the banks doing a good job in detecting fraudulent attacks in their systems and customers who are more aware of such attacks.
Waarom???
Various sources report that this decline (in e-fraud) is due the banks doing a good job in detecting fraudulent attacks in their systems and customers who are more aware of such attacks.
Schade is bovendien delict-specifiek: hacken leidt bijvoorbeeld tot het onbeschikbaar maken, verliezen of beschadigen van gegevens, terwijl e-fraude leidt tot financiële schade. (Veenstra e.a., 2015)
Routine activity theory & ‘cybercrime victimization’
“Spending more time online, and carrying out various kinds of online activities … increased the risk of a malware infection “ (Jansen, 2018)
“It seems that everyone is at risk
Ze geven te makkelijk informatie aan derden, zoals beveiligingscodes.
Dit doen ze omdat ze hiertoe worden verleid door criminelen en omdat ze niet argwanend genoeg zijn.
As mentioned, Cyber security has a large non technical component as well.
When you look at how to protect all these assets, it is not all about ICT
Cyber security includes protecting against harm that may come due to malpractice by insiders (e.g., employees), whether intentional or accidental.
Doel bereiken is vaak belangrijker dan cyberveiligheid/ Mens / gedrag staat veelal aan de basis van een geslaagde cyberaanval.
To become more resilient we need to invest in humans: harden the human firewall.
ways to enhance the ability at all levels of organizations to create processes that are robust yet flexible, to monitor and revise risk models, and to use resources proactively in the face of disruptions
In many ways, this hack began like any other. The cybercriminals sent their victims infected emails — a news clip or message that appeared to come from a colleague — as bait. When the bank employees clicked on the email, they inadvertently downloaded malicious code. That allowed the hackers to crawl across a bank’s network until they found employees who administered the cash transfer systems or remotely connected A.T.M.s.
Then, Kaspersky’s investigators said, the thieves installed a “RAT”— remote access tool — that could capture video and screenshots of the employees’ computers.
“The goal was to mimic their activities,” said Sergey Golovanov, who conducted the inquiry for Kaspersky Lab. “That way, everything would look like a normal, everyday transaction,” he said in a telephone interview from Russia.
Capability is defined as the individual’s psychological and physical capacity to engage in the activity concerned. It includes having the necessary
knowledge and skills. Motivation is defined as all those brain processes that energize and direct behaviour, not just goals and conscious decision-making. It includes
habitual processes, emotional responding, as well as analytical decision-making. Opportunity is defined as all the factors that lie outside the individual that make the
behaviour possible or prompt it. The single-headed and double-headed arrows in Figure 1 represent potential influence between components in the system. For example, opportunity can influence motivation as can capability;
enacting a behaviour can alter capability, motivation, and opportunity.
Doelen zijn veelal belangrijker dan veiligheid: Faciliteer het behalen van doelen op een cyberveilige manier, in plaats van het gedrag proberen te veranderen
Cybersecurity is afhankelijk van het gedrag van criminelen, slachtoffers en verdedigers
Cybersecurity is meer dan bescherming alleen: Ook het vermogen om adequaat te reageren en te leren is van belang
Banken lopen relatief grote kans op schade: er is nog weinig bekend over de factoren die hieraan bijdragen
Grootste bedreiging zijn insiders: het eigen (tijdelijke) personeel, leveranciers en partners.
Zij werken vaak actief mee aan de misdrijven waarvan de organisaties slachtoffer worden
Voor het ontwikkelen van beschermende maatregelen is kennis is nodig over het ontstaan van cyber onveilig gedrag
Faciliteer het behalen van doelen op een cyberveilige manier, in plaats van het gedrag proberen te veranderen