Geruststelling is geen maatregel
Geautomatiseerde aanvallen zoeken geen grote doelen. Ze zoeken open deuren. Uw grootte is geen bescherming. Meer een motivatieposter.
Wanneer heeft u voor het laatst gecontroleerd of uw beveiliging klopt voor wat uw organisatie nu is — niet voor het bedrijf dat u drie jaar geleden was?
De ondergrens voor georganiseerde cybercriminaliteit daalt radicaal. Wat dat voor uw organisatie betekent, weet u waarschijnlijk niet. Niet uit onwil, maar omdat het niemand zijn favoriete agendapunt is. Uw IT-leverancier verkocht een firewall. Uw verzekeraar verkocht een polisblad. Niemand zei dat een aanvaller vandaag voor weinig geld technieken koopt waar drie jaar geleden een team voor nodig was. Dat is niet hypothetisch. Dat is de marktprijs.
AI heeft cybercriminaliteit gedemocratiseerd. Phishing-mails klinken nu als uw collega. Stemmen klinken als uw directeur. Scripts tasten uw infrastructuur af terwijl u slaapt. Dit zijn geen toekomstscenario's. Dit gebeurt bij bedrijven van uw omvang, in uw sector, in uw stad. De waarheid staat zelden in een LinkedIn-post. Daar is hij te weinig positief voor.
Het probleem met veel security-advies is dat het u verdedigt tegen het verleden. Lijsten met bekende kwetsbaarheden. Certificeringen die meten of uw papierwerk klopt. Audits die beschrijven wat zes maanden geleden mis was. Het verleden is overzichtelijk. Daarom staat het zo goed in rapporten.
De aanname dat u "te klein bent om interessant te zijn" is precies waarom u interessant bent. Automatisering zoekt geen prestige. Het zoekt toegang. Uw medewerkers zijn vaak die toegang. Niet omdat ze slecht opletten, maar omdat niemand hen laat zien hoe een aanval er nu uitziet. Een training uit 2021 telt alleen als archeologie.
Kern
“Alle oorlogvoering is gebaseerd op bedrog.”
— Sun Tzu, De Kunst van Oorlog — ~500 v.Chr.
De gevaarlijkste aanval is de aanval die normaal oogt. Beveiliging die dat niet begrijpt, bewaakt vooral de vorige versie van het probleem.
Er is geen pitch terug. Er is een antwoord.