Wie herinnert zich Wannacry? Het ransomware programma hield wereldwijd tienduizenden systemen in een wurggreep. Nu is er een nieuwe: BlueKeep. Hebben we hiervan geleerd en onze systemen beter beveiligd tegen een cyberaanval? De AIVD is er niet gerust op. Waarschijnlijk terecht denkt Piet-Hein van Santvoort, channel accountmanager bij Kaspersky Labs. 6 tips om úw cybersecurity te vergroten.
Hoe staan we er in de praktijk voor met de cyberveiligheid?
‘Awareness staat in Nederland nog in de kinderschoenen. Belangrijk is hoe digitale veiligheid op de agenda staat. Is het wel een management-prioriteit (tip 1: zorg dat digitale veiligheid een management-prioriteit is)? It, de corprate communications officer, Financiën, human resources en de ceo zitten allemaal aan één directietafel, ze hebben allemaal hun eigen prioriteiten en ze hebben vanuit hun standpunt gezien allemaal gelijk. Dan moet je de prioriteit van digitale veiligheid goed vastleggen. Je zou denken dat iedereen zijn zaakjes nu wel op orde heeft, maar er is veel werk te doen. Ik sta er in de praktijk van te kijken.’
Dat klinkt niet echt goed. Wat schort eraan in de directie- en bestuurskamers?
‘Ik merk dat veel bedrijven op zoek zijn naar een leidraad. Ze vragen zich af: wat is voor mij de next step. Een firewall is belangrijk, maar kennis is ook belangrijk. Ik hoor vaak uit de markt: Wij hebben al veel aan awareness gedaan. Ik vraag dan: Wat? Vaak is het voor de bühne, er is een lijstje afgewerkt. Zeepkist-sessie, check; phishing mail door beveiligingsbedrijf, check; policy aangepast; check. Maar het ontbreekt aan echt securitybeleid (tip 2: zorg voor echt securitybeleid). Er is gebrek aan zicht wat het kennisniveau is in de organisatie. Je moet een nulmeting houden, En je kunt niet je mensen in één keer opleiden tot weerbare gebruikers. Dat is een continu proces.’
Er wordt toch heel veel gedaan? It’ers gaan regelmatig op cursus is mijn indruk.
‘De trainingen voor it’ers zijn doorgaans product gerelateerd. Ze leren wat nieuwe software of hardware kan doen, maar niet hoe ze sporen moeten veiligstellen bij een digitale inbraak. De meesten denken na een aanval: we spoelen een nieuw systeem in en klaar. Daar leer je dus niet van (tip 3: leer van je fouten). Dé vraag die gesteld moet worden is natuurlijk: Hoe komt de crimineel binnen? Maar wat als ze al binnen zijn, bijvoorbeeld met slopende malware? Herkent die ene medewerker de zwakke schakel in het digitale proces?’
‘Goed securitybeleid is meer dan een paar lijstjes afwerken‘
Niet elk bedrijf is toch even interessant voor een buitenstaander.
‘90 procent van de malware wordt gewoon breed verspreid en de verspreiders ervan kijken wel wat het resultaat is. Dat zie je bijvoorbeeld bij de meeste ransomware (gijzelsoftware) en datacollectie (in de volksmond ook bekend als datadiefstal). Datahacks zijn veel minder zichtbaar dan ransomware, maar ze maken een veel groter deel uit van cybercrime. Jouw tienmansbedrijf hoeft bij een hack ook niet het uiteindelijk doelwit te zijn, dat kan een bedrijf zijn elders in de keten (tip 4: wees alert, iedereen kan doelwit zijn. Jíj dus ook). Door de opkomst van het Internet of Things in de industriële sector wordt het gevaar groter. Alles van ons wordt om wat voor reden dan ook aan het net gehaakt. Opeens is een slecht te beveiligen freesmachine of een kopieerapparaat aan het internet gekoppeld. Dat is een gouden mogelijkheid voor afpersers. En wat te denken van zzp’ers die ingehuurd worden; het staat allemaal op LinkedIn en Facebook. Dat is een goede bron voor social engineering (boef doet zich voor als oude bekende, RE). Dan ben je als kleine zelfstandige ineens heel interessant.’
Zijn grote bedrijven kwetsbaarder dan kleine?
‘De dreiging is per gebruiker verschillend. Hoe groter de organisatie en hoe diverser het landschap van stakeholders, hoe groter het gevaar is. In de meeste bedrijven geldt: de zaakjes zijn op orde voor zolang als het goed gaat. Houdt maar eens een vulnerability check. Weten al jouw medewerkers überhaupt wat de cybersecuritycultuur is (tip 5: cybersecurity is iets waar je permanent mee bezig moet zijn en waarin je íedere medewerker moet trainen)? Wat als er een nieuwe medewerker in dienst komt? Gaat die op cybercursus? Of medewerkers die reizen, hoe ga je om met mobile security. Ook zo’n onderbelicht onderwerp. Om daar bewustwording voor te krijgen, dat bereik je alleen met het trainen van mensen. It-managers zijn altijd van training van de eigen it-mensen. Dat is een misrekening, dát zijn andere stakeholders. Het gaat om de rest van de medewerkers.’
‘Weet iedere medewerker wat jouw cybersecuritycultuur is? Ook elke nieuwe medewerker?‘
Zouden er meer regels moeten komen om de cyberveiligheid te versterken?
‘We hebben al de AVG-regelgeving. Ik zie die vooral als een stok om te gebruiken als er echt een zootje van wordt gemaakt. Voor bijvoorbeeld een internationaal opererende bank geldt dat als ze door een breach een miljoen verliezen, ze die schade hebben ingecalculeerd, daar liggen ze niet wakker van. Waar ze wél wakker van liggen is imagoschade en complianceboetes. Digitale veiligheid hoeft niet per se in 1 big bang gerealiseerd te worden. Op de agenda hebben is 1, handelen is 2 en dan ben je al een eind op weg. Na trainen van mensen, moet je het beleid nog uitrollen zodat het deel wordt van de bedrijfscultuur (tip 6: zorg dat digitale veiligheid onderdeel wordt van je bedrijfscultuur).’