‘Cybersecurity-onderzoek Zembla kort door de bocht maar wel waardevol’
Volgens BDO zijn de onderzoeksjournalisten van televisieprogramma Zembla met hun uitzending over cybercriminaliteit “wat te kort door de bocht” gegaan. Niettemin heeft Zembla wel een belangrijk onderwerp aangekaart, aldus het accountants- en adviesbureau.
In een onderzoek van Zembla – uitgevoerd in samenwerking met belangenorganisatie Internet Cleanup Foundation – kwam naar voren dat 43% van de Nederlandse bedrijven “hun e-mailprogramma’s onvoldoende hebben beschermd tegen cybercriminaliteit, zoals phishing, spoofing en ransomware”, aldus de journalisten.
De experts van BDO laten in een artikel over de uitzending weten dat de claim van Zembla wat al te gortig is. Volgens het accountants- en adviesbureau gaat het niet om alle drie de vormen van cybercriminaliteit, “maar alleen om bescherming tegen spoofing”.
En spoofing, dat is?
Spoofing is het vervalsen van kenmerken met als doel om tijdelijk een valse identiteit aan te nemen. Dit kan onder andere gaan om e-mail, website, IP-adres, telefoonnummer en biometrische kenmerken. “Door spoofing lijkt een e-mail afkomstig van het e-mailadres van een betrouwbare organisatie”, licht BDO toe.
En wat is daarvan precies het probleem? In het bijzonder dat spoofing het voor normale computergebruikers zeer moeilijk maakt om zogenaamde phishingmails te herkennen en daarmee de kans vergroot “dat de ontvanger gevoelige gegevens prijsgeeft”, aldus de onderzoekers van BDO.
Er bestaan verschillende e-mailbeveiligingsstandaarden om je tegen spoofing te beschermen, zoals Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting, and Conformance (DMARC). “Zonder deze maatregelen is het makkelijker voor cybercriminelen om spoofing te laten plaatsvinden”, stelt BDO.
In de uitzending van Zembla ontbrak het bij een deel van de onderzochte organisaties aan standaarden zoals SPF, DKIM en DMARC. Deze instellingen hebben op zichzelf echter “niet direct te maken met ransomware of phishing”, maar “zijn slechts een onderdeel van de totale beveiliging”, aldus BDO, dat daarom concludeert dat Zembla’s stelling dat 43 van de 100 onderzochte bedrijven hun e-mail onvoldoende hebben beschermd tegen cybercriminaliteit zoals phishing, spoofing en ransomware “wat kort door de bocht” is.
Zeer zeker van toegevoegde waarde
Niettemin laten de specialisten van BDO weten dat het onderzoek wel degelijk van toegevoegde waarde is. Zo zet de tv-uitzending aan tot denken: “Het roept de vraag op welke beveiligingsrisico’s nog meer worden gelopen als deze (schijnbaar basale) beveiliging niet op orde is.”
Derhalve laten de onderzoekers van het adviesbureau weten dat een diepgaander cyberveiligheidsonderzoek een logische vervolgstap zou zijn. “Het zou ons ook niet verbazen als meer bedrijven naar hun cyberveiligheid zullen laten kijken naar aanleiding van dit onderzoek.”
