Lees jou gunsteling-tydskrifte en -koerante nou alles op een plek teen slegs R99 p.m. Word 'n intekenaar
Finweek
kubermisdaad: te min klem op dié gevaar?
7 Maart 2019

In die Wêreld- Ekonomiese Forum (WEF) se “Global Risk Report 2019” was tegnologiese onstabiliteit ’n beklemtoonde risiko.

Massiewe databedrog en -diefstal is tans vierde op die wêreldrisiko-ranglys (oor ’n 10 jaar-horison) en kuberaanvalle is vyfde op die lys.

In die WEF-verslag se “Global Risks Landscape”-kwadrant, is kuberrisiko’s langs omgewingsrisiko’s in die hoë-impak en hoogswaarskynlike kwadrant geplaas. Met ander woorde, daar is goeie rede om bekommerd te wees . . . Terwyl sommige waarnemers dalk skepties kan wees, is dit allermins akademiese histerie.

Kuberaanvalle en datadiefstal

Wanneer gekyk word na die omvang van kuberaanvalle en datadiefstalle wat in 2018 plaasgevind het, het die wêreldwye kuberbedreiging ’n aaklige werklikheid geword. Die WEF-verslag toon voorbeelde soos die inbraak op die Indiese regering se ID-databasis, Aadhaar, wat onder verskeie inbrake deurgeloop het wat potensieel die data van al die 1,1 miljard geregistreerde burgers in gevaar gestel het.

Buiten dit, het persoonlike data-inbrake sowat 150 miljoen gebruikers van die MyFitnessPal-toepassing en sowat 50 miljoen Facebook-gebruikers geraak.

2018 was ook die jaar waarin die kuberbedreiging verby sagteware en in die verraderlike ruimte van hardeware inbeweeg het: Die Meltdown- en Spectre-bedreigings het swakhede in rekenaarhardeware betrek wat potensieel elke Intel-verwerker wat in die afgelope 10 jaar gemaak is, besmet.

In Suid-Afrika waarsku kundiges dat die bedreiging nog nooit so groot was nie – met besighede van elke grootte en oor sektore heen wat die risiko loop om aangeval te word deur toenemend vaardige kuberskelms.

Sabric berig dat kuber- en digitale bankmisdade tussen Januarie en Augustus 2018 gelei het tot meer as R183 miljoen in verliese, met mobielebankverliese wat met 100% toegeneem het.

Volgens die Suid-Afrikaanse Bankrisiko-inligtingsentrum (Sabric), het Suid-Afrika tans die derde hoogste getal kubermisdaadslagoffers wêreldwyd en verloor ons ’n geskatte R2,2 miljard per jaar aan kuberaanvalle.

Sabric berig dat kuber- en digitale bankmisdade tussen Januarie en Augustus 2018 gelei het tot meer as R183 miljoen in verliese, met mobielebankverliese wat met 100% toegeneem het. Aanlyn-bankbedrog het tot die grootste verlies (R89,3 miljoen) in dié tydperk gely, het die organisasie gesê.

Probleem ernstig onderskat

Die statistieke kan dalk net die spreekwoordelike oortjies van die seekoei wees. Die meeste plaaslike kundiges wys daarop dat die meerderheid kuberaanvalle op klein, medium- en mikrogrootte-ondernemings (KMMO’s) nie oor berig word nie. Gevolglik is daar geen betroubare manier om te meet hoeveel skade, of dit finansieel, reputasiegewys, of andersins, regtig aangerig word nie.

“Kubermisdaad word steeds enorm onderberig in Suid-Afrika,” sê Aaron Thornton, besturende direkteur van Dial a Nerd, ’n plaaslike IT-konsultantskap. “Ander lande het noodlyne en ander inisiatiewe om te probeer tred hou met die aantal aanvalle.

Ons het dit nie, en niemand meld oortredings by die polisie aan nie.” Volgens Thornton, kan dit toegeskryf word aan ’n wesenlike gebrek aan vertroue in plaaslike geregstoepassers.

Maatskappye en sakeleiers is bang dat as hulle kubermisdaad by dié owerhede aanmeld, hulle nie anoniem sal bly nie. Die reputasierisiko weeg dus swaarder as enigiets anders, omdat, die aanname is dat as kliënte sou uitvind daar was ’n inbraak, die onderneming die risiko van ondergang sou loop.

Plaaslike KMMO’s word amper daagliks oorval met kuberdreigemente en bedrog, maar daar is geen steun of aanspreeklikheid vir ondernemings van dié grootte in Suid-Afrika nie.

“As ’n IT-konsultasiefirma vra ons kliënte ons vir hulp uit pure desperaatheid,” voeg Thornton by. “Ons is nie ’n IT-sekuriteitmaatskappy nie, maar KMMO’s sien omtrent geen ander bron vir hulp nie, omdat hulle nie die dienste van die groot IT-maatskappye kan bekostig nie en hulle nie na die polisie toe sal gaan nie.

Plaaslike KMMO’s word amper daagliks oorval met kuberdreigemente en bedrog, maar daar is geen steun of aanspreeklikheid vir ondernemings van dié grootte in Suid-Afrika nie.”

Maatskaplike manipulasie en seksafdreiging

Op KMMO-vlak, is die dreigemente grootliks in die vorm van uitvissing (phishing), waar skelms probeer om niksvermoedende individue te kul om op ’n kwaadwillige URL of e-posaanhangsel te klik om hulle aanmeldbesonderhede te steel.

Rudi Dick, direkteur van The Cyber Academy

Hulle gebruik dit dan om ongemagtigde toegang tot die slagoffer se finansiële rekeninge of interne maatskappynetwerke te kry. “Besighede met minder as 500 werknemers word beduidend meer geraak as hul groter eweknieë deur ’n reeks van kuberaanvaltegnieke, wat skadelike epos-programmatuur, losprysprogrammatuur en eenvoudige uitvissing insluit,” sê Graham Croock, direkteur van BDO South Africa se It Advisor Services.

Vandag se uitvisaanvalle neem toenemend die gedaante aan van een of ander soort maatskaplike manipulasie, waar krakers persoonlike inligting van sosialemedia-rekeninge soos LinkedIn en Facebook verkry om “geloofwaardigheid” aan die aanval te verleen.

Deur eenvoudig deur jou sosialemedia-rekeninge te gaan, kry krakers besonderhede soos jou verjaardagdatum, jou vriende se name, jou maatskappy en jou ligging.

In 2018 het plaaslike KMMO’s ’n toename beleef in seksafdreiging-aanvalle en -bedrogspulle – waar krakers beweer dat hulle ’n blaaigeskiedenis, video’s of beelde van ’n seksuele aard het en dreig om slagoffers aanlyn bloot te stel.

‘Kuber-tornado’s’ neem toe

Vir groter besighede en keurmaatskappye beteken gesofistikeerde interne IT-sekuriteitspanne en gevorderde tegnologie dat hulle minder blootgestel is aan uitvissingaanvalle, seksafdreiging en losprystegnologie.

Hulle bly egter hoogs kwesbaar , merk Croock op. “Kubervoorvalle deur gebeure soos WannaCry- en Petya-losprysprogrammatuur-aanvalle het baie groter besighede beduidende finansiële verliese laat ly – en Suid-Afrikaanse besighede het nie ongedeerd daarvan afgekom nie,” sê hy.

In Oktober 2018 is meer as 30 miljoen Suid-Afrikaners se persoonlike inligting aanlyn vertoon in wat as die land se grootste data-lekkasie beskou word. Die potensiaal vir “kuber-tornado’s” om te gebeur, waar krakers groter getalle maatskappye ontwrig deur algemene infrastruktuur-afhanklikhede te teiken, sal in 2019 bly groei.

Leiers in ‘ontkenning . . . ’

Wat beteken dit alles vir besighede – en wat is die pad vorentoe? Die eerste stap is die erkenning van die risiko’s. Tot sakeleiers dié stap doen, sal hulle te min belê in die regte toerusting en oplossings.

Die eerste fout is om ’n mentaliteit te hê van ‘dit sal nie met my gebeur nie, die misdadigers is slegs op die banke gefokus’, sê hy.

“Suid-Afrikaanse direksies is in ontkenning en wys nie genoegsame finansiering en begrotings aan bewustheid en kubersekuriteit toe nie,” sê BDO se Croock. Sakeleiers is nie gereed vir meer gevorderde en komplekse aanvalle deur gesofistikeerde misdaadsindikate nie, en bestee ook te min tyd om die monetering van bedreigings en intelligensie te verstaan.

Verder bestee besighede te min aan kuberversekeringdekking en verwar hulle kubermisdaad met gewone sake-onderbreking. Rudi Dicks, direkteur van The Cyber Academy, beaam dié sentiment en onderstreep twee groot foute wat sakeleiers maak.

Die eerste fout is om ’n mentaliteit te hê van ‘dit sal nie met my gebeur nie, die misdadigers is slegs op die banke gefokus’, sê hy.

“Ons dink nie op so ’n wyse oor fisieke sekuriteit nie – daarom maak dit nie sin nie, wanneer dit baie veiliger vir die misdadiger is om agter ’n rekenaar aan die ander kant van die wêreld te sit as om sy lewe te waag deur met ’n vuurwapen te roof. Die ander fout is oorbelegging in tegnologie sonder om enige oorweging te gee aan opleiding en prosedure nie.”

Opleiding is die belangrikste

Werknemersopleiding is sonder twyfel die mees kritieke deel van enige IT-sekuriteitstelsel. Dit word algemeen verstaan dat personeel die swakste punt is, en altyd sal wees in die kubertegnologieketting, sê Dicks.

Waarom sal ’n misdadiger sterk sekuriteitstegnologie wat ’n maatskappy beskerm, probeer omseil wanneer hulle ’n gebruiker kan mislei om hulle volle toegang tot die netwerk te gee deur die goedgekeurde gebruiker se rekenaar? Personeelbewustheid is kritiek in ’n sterk sekuriteitstoestand en laat gebruikers toe om baie potensiële aanvalle te identifiseer.

Voorts kan maatskappye dit nie regtig bekostig om nie kundige hulp en bystand te verkry nie. “Dit is vir besighede van kritieke belang om ’n onafhanklike waardering van die kuberrisiko’s te kry wat die maatskappy in die gesig staar, en dan die hoë-impak en waarskynlikste risiko’s eerste te takel,” sê Craig Rosewarne, uitvoerende hoof van Wolfpack Information Risk.

Craig Rosewarne, uitvoerende hoof van Wolfpack Information Risk

In die toekoms gaan besighede ook onder toenemende druk van regeringskant wees om kliëntedata te beskerm en behoorlik te bestuur. Die Wet op die Beskerming van Persoonlike Inligting (Wet 4 van 2013) (PoPI) dwing maatskappye om hulle databestuurraamwerke en -strategieë te heroorweeg.

  • Stuur 'n boodskap na terugvoer@finweek.co.za
Meer oor:  Finweek
MyStem: Het jy meer op die hart?

Stuur jou mening van 300 woorde of minder na MyStem@netwerk24.com en ons sal dit vir publikasie oorweeg. Onthou om jou naam en van, ‘n kop-en-skouers foto en jou dorp of stad in te sluit.

Ons kommentaarbeleid

Netwerk24 ondersteun ’n intelligente, oop gesprek en waardeer sinvolle bydraes deur ons lesers. Lewer hier kommentaar wat relevant is tot die onderwerp van die artikel. Jou mening is vir ons belangrik en kan verdere menings of ondersoeke stimuleer. Geldige kritiek en meningsverskille is aanvaarbaar, maar dit is nie 'n platform vir haatspraak of persoonlike aanvalle nie. Kommentaar wat irrelevant, onnodig aggressief of beledigend is, sal verwyder word. Lees ons volledige kommentaarbeleid hier.

Stemme

Hallo, jy moet ingeteken wees of registreer om artikels te lees.