In tegenstelling tot enkele jaren geleden staat cybersecurity vandaag hoog op de agenda van de Belgische bedrijfswereld. Maar toch gaat het in veel organisaties nog steeds om een vals gevoel van veiligheid. Wie security echt goed wil doen, moet dit zoveel mogelijk in de bedrijfscultuur -en strategie opnemen. Zeker nu telewerk de norm is, moeten werkgevers hun policy en protocollen voor thuiswerkers onder de loep nemen.
Bedrijven kijken op verschillende manieren naar cybersecurity. Uit een grootschalig onderzoek van Orange Cyberdefense in Nederland blijkt dat de meerderheid er wel volop mee bezig is, maar toch stelt 35% dat ze tijdens de coronacrisis het herinrichten van (thuis)werkplekken een hogere prioriteit hebben gegeven dan cybersecuritymaatregelen. Meer dan een kwart zegt meer aandacht te besteden aan het nakomen van Corona-regels dan aan IT-beveiliging. En ook opvallend: 36% van de IT-beslissers geeft toe dat ze zelf niet volledig op de hoogte zijn van veiligheidsrisico’s bij de installatie van apps op het bedrijfsnetwerk.
We mogen ervan uitgaan dat de cijfers in België niet extreem veel zullen verschillen van die van bedrijven bij onze noorderburen. Het is goed om te zien dat cybersecurity een steeds grotere rol begint te krijgen, maar de meeste organisaties moeten nog een stapje verder gaan. Dat het nodig is, blijkt nog maar eens uit de explosieve cijfers die COVID-19 op het vlak van cyberincidenten heeft veroorzaakt. Zo stellen we vast dat het aantal grootschalige inbraken in een jaar tijd met de helft is toegenomen. In 60% van de gevallen viseren de hackers conventionele computers.
Preventie, detectie én reactie
Het is voor bedrijven vandaag een zekerheid dat er ooit iemand gaat proberen om binnen te geraken. Zelfs de beenhouwer om de hoek die tegenwoordig een webshop heeft, zal er op een bepaald moment gegarandeerd mee te maken krijgen. Heel vaak ontstaat het probleem via de computer van een medewerker en net daarom is het zo belangrijk dat cybersecurity een onderdeel van de bedrijfscultuur wordt.
Bedrijven beschouwen security ook nog al te vaak als een kost. Een vermijdbare kost als nadien blijkt dat ze toch niet gehackt worden. En als het wel gebeurt, dan zien ze alleen maar de prijs die een cyberincident ondanks alle security alsnog meebrengt. Je bent echter nooit helemaal veilig, zelfs niet met de beste maatregelen. Toch moeten we security meer als een win-winsituatie bekijken. Het zorgt ervoor dat hackers in de meeste gevallen niet binnengeraken. En als het dan toch gebeurt, dan zorgen je investeringen in cybersecurity ervoor dat de impact en de kosten van een incident tenminste serieus verkleinen.
De meeste bedrijven hebben zich de voorbije jaren op preventie toegelegd, maar negeren de volgende twee stappen in het proces: detectie en reactie. Wat als de firewall en antivirus gefaald hebben? Je kunt het vergelijken met de maatregelen tegen COVID-19. Op vlak van preventie houden we afstand, dragen we een mondmasker en wassen we geregeld onze handen. Dat is goed, maar we kunnen desondanks nog altijd besmet worden. Wanneer we vermoeden dat er iets mis is laten we ons testen (detectie). En is de test positief, dan gaan we onmiddellijk in quarantaine (reactie).
Bedrijven moeten cyberdreigingen op een gelijkaardige manier behandelen. Een goed antivirusprogramma zal net zoals een mondmasker de risico’s aanzienlijk verminderen, maar kan weinig doen tegen Zero Day-attacks. Daarom hebben bedrijven programma’s nodig die het gedrag van endpoints analyseren en bij afwijkende signalen de getroffen endpoints meteen isoleren of ‘in quarantaine’ plaatsen. En net zoals een dokter moet nagaan of de patiënt ziek is, zijn er securityspecialisten nodig om alerts te interpreteren – bijvoorbeeld door middel van Managed Security Services (MSS). Als het fout gaat, is het ook belangrijk om over back-up en restore-oplossingen te beschikken, zodat problemen snel verholpen kunnen worden.
De reactiefase beperkt zich ook niet enkel tot technologische oplossingen. Ieder bedrijf moet een plan hebben voor wanneer het toch zou misgaan. Wie treedt op als woordvoerder? Hoe ga je klanten vertellen dat data gelekt zijn? Wat doe je met geïnfecteerde toestellen en hoe bewaar je bewijslast zonder de infectie verder te laten woekeren? Als je al die dingen nog moet uitdokteren wanneer je een hack hebt vastgesteld, is het eigenlijk al veel te laat.
Protocollen voor thuiswerkers
De overschakeling naar telewerk heeft de cybersecuritystrategie van bedrijven natuurlijk niet vereenvoudigd. Volgens het onderzoek van onze Nederlandse collega’s geeft twee op drie organisaties aan dat telewerk om andere protocollen vraagt dan werken op kantoor. Driekwart stelt dat er specifieke protocollen bestaan waar hun medewerkers zich thuis aan moeten houden. Een derde heeft de policy op vlak van cybersecurity door COVID-19 moeten herzien.
Moeten we de vrijheid van medewerkers in het belang van cybersecurity inperken? Het is zeker waar dat we een gezond evenwicht moeten zoeken tussen security en gebruiksgemak. De voorbije jaren is de balans iets te veel naar die gebruikservaring overgeheld. Het creëren van bewustzijn blijft voor bedrijven een belangrijke taak waarin ze moeten investeren. Een studie toonde enkele jaren geleden aan dat we dit probleem niet mogen onderschatten. Wanneer mensen op een beurs een gratis usb-stick ontvingen, bleek dat maar liefst 98% de stick zomaar ging gebruiken. Nog eens 45% opende zonder nadenken de bestanden op de usb.
Shadow IT blijft een ander belangrijk probleem. Zelfs als de tools aanwezig zijn, durven medewerkers uit gemak al eens bestanden delen via andere platformen. Eén optie is om de pc van gebruikers veel meer te gaan dicht timmeren dan we in België gewend zijn. Maar er zijn ook technologische oplossingen die het IT-departement een overzicht geven van wat er op de endpoints gebeurt en die het mogelijk maken om snel in te grijpen, bijvoorbeeld door toegang tot bepaalde programma’s te verbieden. Dat is meer dan ooit nodig, want mensen gebruiken hun apparaten ook voor privétoepassingen waardoor het aanvalsoppervlak alleen maar groter wordt.
Natuurlijk is dit voor bedrijven in de huidige context allemaal niet zo vanzelfsprekend. De laatste maanden hebben ze ook in heel wat andere zaken moeten investeren, zoals ergonomie voor de medewerkers thuis. En op kantoor is het gemakkelijk om een duidelijke policy op te leggen, maar in de privésfeer ligt dat toch een tikkeltje anders. Desalniettemin zijn er een paar basiszaken die in zo’n telewerkprotocol kunnen staan. Verplicht medewerkers om documenten op te slaan zoals ze dat op kantoor doen, dus niet via Dropbox en andere tools. Zorg voor diskencryptie, wijs op de risico’s van publieke wifi, en waarschuw voor het laten rondslingeren van documenten. Drukken mensen iets af, dan mogen ze dit nadien niet zomaar bij het oud papier gooien.
Prioriteiten voor IT-managers
Het ziet ernaar uit dat we nog wel een tijdje aan telewerk blijven doen. Wat zijn dan de prioriteiten voor bedrijven om cybersecurity op een hoger niveau aan te pakken? Ten eerste moet er hard ingezet worden op het creëren van awareness. Die term begint soms een beetje afgezaagd te klinken, maar een groter bewustzijn bij medewerkers maakt voor bedrijven echt een groot verschil. Als mensen niet weten wat ze verkeerd doen, kan je hen er moeilijk over aanspreken. En dan doen ze het de volgende keer gegarandeerd opnieuw.
Ten tweede moeten IT-teams weten welke endpoints aanwezig zijn en wat er gebeurt. Ze hebben tools nodig die een helder overzicht bieden en die het mogelijk maken om snel in te grijpen. Daarnaast is ook een plan van aanpak nodig voor als het toch mis gaat. Zorg op voorhand voor een partner die kan helpen om problemen op te lossen. Als je pas na de detectie iemand onder de arm neemt, moet die partner het netwerk nog leren kennen en gaat er veel kostbare tijd verloren.
En tot slot is het nu echt wel hoog tijd om iemand met kennis van cybersecurity een stoel in de bestuurskamer van een bedrijf te geven. Doorgaans komt ieder departement daar wel eens aan het woord, maar ontbreekt het aan iemand die kan uitleggen waarom het zo belangrijk is om endpoints te beschermen. Deze persoon zal ervoor zorgen dat de organisatie cybersecurity niet langer als een zuivere kost beschouwt en het hele bedrijf een stuk veiliger wordt dan iedereen zich vandaag verkeerdelijk waant.