Vorige week werd een aantal grote Surinaamse internetsites platgelegd na een cyberaanval door de hackersgroep Anonymous. In het bijzonder was de informatiewebsite van de overheid (www.gov.sr) een van de targets en de hackers eisten een bedrag van 10.000 US-dollars om de sites weer vrij te geven. Ook op de website van De Surinaamsche Bank is een cyberaanval van buiten gepleegd. Uit mediaberichten blijkt dat de bank haar website en internet banking uit voorzorg voor een korte tijd buiten werking had gesteld. In het kader van deze gebeurtenissen werd een interview afgenomen met Anamika Mangroo, Register EDP Auditor, technology advisor en verantwoordelijke voor de service line Technology Advisory Services van BDO Business Advisory N.V. Zij zegt dat de bewustwording ten aanzien van cybersecurity in de Surinaamse maatschappij vergroot moet worden. “Waarom zeg ik bewustwording? Omdat wij allemaal dagelijks te maken hebben met informatietechnologie en zonder dat velen het beseffen, zij ook blootgesteld worden aan risico’s die gepaard gaan met het gebruik van informatietechnologie. Voor heel veel mensen is cybersecurity niet tastbaar, mede vanwege het specialistisch karakter. Omdat het niet tastbaar is, is het niet herkenbaar. Als je het woord cybersecurity hoort, dan heb je het al snel over technisch jargon. Wanneer mensen niet begrijpen wat de impact kan zijn van iets, is men snel geneigd om er niet zoveel aandacht aan te besteden. Verder beseft men niet of niet in voldoende mate wat de gevolgen kunnen zijn”, aldus Mangroo.
Suriname wordt thans geconfronteerd met het fenomeen cyberaanvallen, waarbij velen dachten dat wij geen doelwit zouden kunnen zijn van cyberaanvallen. “In het geval van de cyberaanvallen in ons land van de vorige week, gaat het om DDoS (distributed denial-of-service) aanvallen. Deze aanvallen zijn van buitenaf afkomstig door een hacker. De hacker heeft in dit geval een bepaalde organisatie als target. Er zijn natuurlijk verschillende type hackers, maar degenen waarvoor gevreesd moet worden, zijn hackers die activisten zijn en angst willen zaaien en die vervolgens ook aantijgingen uiten naar bepaalde organisaties toe. Hackers kunnen ook getypeerd worden als georganiseerde misdaad, waarbij zij het gemunt hebben op bedrijven om bedrijfs- of klantgegevens te stelen. Met deze gegevens kunnen hackers een dwangsom eisen of die doorverkopen op bijvoorbeeld het ‘Dark Web’. Dit is een digitale omgeving waar hackers op een georganiseerde wijze praktisch alles kunnen kopen en verkopen. Het Dark Web kan worden gezien als een zwarte markt van alles waar de autoriteiten niet kunnen komen”, zegt de technology advisor.
De hackersgroep Anonymous bestaat uit activisten die tot een van de grootste internationale hackersorganisaties behoren. Deze activisten zoeken targets, in dit geval was voornamelijk de Surinaamse overheid een doelwit, vanwege de slechte economische situatie en doordat de protesten tegen de huidige regering veel media aandacht hebben getrokken. Zo een cyberaanval wordt vervolgens geïnitieerd door middel van verschillende aanvallen, die worden afgestuurd op de target website. Hierdoor is de website vervolgens niet meer beschikbaar.
Cybercrime kun je op verschillende manieren aanpakken. “Het begint bij het beveiligen van je informatie (interne beheersing) en het besef dat alleen traditionele firewalls mogelijk niet voldoende zijn. Een goede beveiliging begint als eerste bij Governance. Hiermee wordt bedoeld dat er beleid en procedures moeten zijn, maatregelen moeten worden getroffen en de juiste kennis en kunde in huis dient te zijn. IT/ Cyber Security is een integraal onderdeel van de risicomanagementstrategie van een organisatie. Daarnaast is de bewustwording en het bewustzijn van de mensen in de organisatie essentieel. Wanneer je een firewall en een monitoringstool hebt die je meldingen geeft om te weten wanneer je wordt aangevallen, wat voor virus wordt gebruikt voor de cyberaanval en wat is geïnfecteerd, heb je de juiste tool om te kunnen monitoren wat precies op je netwerk gebeurt en kun je gepaste maatregelen treffen. Deze taak rust doorgaans bij een information security officer. Indien een website toch wordt gehackt, dan zijn in zo een situatie niet voldoende preventieve- en detectieve maatregelen genomen. Deze maatregelen zorgen ervoor dat een hacker niet voorbij de firewall en de demilitarized zone kunnen. De DMZ betreft een extra beveiligingsgebied op het netwerk, dat voorkomt dat personen van buitenaf op het netwerk van de organisatie kunnen, zodat de informatie van de interne organisatie veilig wordt gesteld”, zegt Mangroo.
Als specialist gaf Mangroo tot slot aan, dat niet elke organisatie hetzelfde is. Daarmee wil zij zeggen dat de maatregelen die je treft voor een kleinere organisatie, anders kunnen zijn dan de aanpak die nodig is in een grotere organisatie. “Cybersecurity opdrachten bij BDO Business Advisory, starten wij allereerst met een initiële beoordeling bij de klant. De beoordeling houdt in het analyseren wat de klant al in huis heeft en wat de bijbehorende risico’s zijn. Vervolgens wordt geïdentificeerd welke aanvullende maatregelen getroffen kunnen (en misschien wel moeten) worden binnen het bedrijf. Daarna wordt, op basis van de omvang van de organisatie, gekeken wat gedaan moet worden aan de security van het IT-landschap. De beveiliging hangt allemaal af van de gevoelige informatie die zo een organisatie beheert. Bij elke beoordeling heeft een organisatie zijn eigen raamwerk. Het team van BDO geeft de nodige begeleiding, zodat de klant er zich van bewust is wat de bestaande risico’s zijn en wat voor aanvullende maatregelen er getroffen dienen te worden.”
BDO Business Advisory
Mangroo is senior manager bij BDO Advisory N.V. BDO Advisory biedt verschillende diensten aan op het vlak van onder andere Governance, risk management, internal audit, begeleiding bij (ISO) certificering, business outsourcing, HRM en IT. Mangroo heeft internationale en regionale ervaring met IT-audits. Tevens is zij expert op het gebied van IT-advies en adviseert zij organisaties op het vlak van informatietechnologie met als aandachtspunten onder andere IT/ Cyber Security, IT-strategievraagstukken en pakketselectie & –implementatie.
-door Gladys Findlay-
