In zijn nieuwste column legt Siegfried Müller, eigenaar van MB connect line, uit wat cyberbeveiligingen precies inhouden en welke IT beveiligingsmaatregelen bedrijven zouden moeten nemen.
Twee dingen zijn verplicht aan het begin van het jaar: Ten eerste: goede voornemens maken. Want ook al is het duidelijk dat bepaalde doelen die euforisch voor het nieuwe jaar worden gesteld – de gebruikelijke vaste favorieten zoals “gezonder eten” en “meer bewegen” – eigenlijk moeilijk te verwezenlijken zijn, toch staan die voor veel mensen op oudejaarsavond bovenaan het lijstje.
Ten tweede, om aan het einde van het eerste kwartaal van het nieuwe jaar een groot aantal voorspellingen te krijgen over de huidige IT trends. Deze zijn enigszins vergelijkbaar met goede voornemens – ook hier zijn er een aantal die niet gemakkelijk te verwezenlijken zijn en ook een aantal populaire no-brainers verschijnen regelmatig in de respectieve voorspellingen van de deskundigen.
Van nature is deze favoriet er altijd: IT of cyber security – dit jaar met de interessante term “Cybersecurity Mesh”. Klinkt indrukwekkend. Als je niet helemaal zeker weet wat er achter zit, kan de volgende informatie misschien helpen: In Gartner’s “The Top 8 Security and Risk Trends We’re Watching” wordt de term cybersecurity mesh in algemene termen gedefinieerd als “een geïntegreerde beveiligingsstructuur en -houding om alle bedrijfsmiddelen te beschermen, ongeacht de locatie”. Goed, maar eigenlijk zou dit geen nieuwe trend moeten zijn voor het komende jaar – na bijna twee jaar van home offices veroorzaakt door Covid, toch?
Waar 20 procent cybersecurity mechanismen over gaat
Nu wil ik zeker niet suggereren dat cyberbeveiliging niet tot de relevante trends voor 2022 zou behoren. Dat is (helaas) wel het geval. Want de steeds geraffineerdere aanvalsmethoden – nu worden zelfs air gap-netwerken aangevallen die volledig van andere systemen of het internet zijn afgesloten – zijn vele malen complexer en dus succesvoller geworden. Aangezien zij steeds meer gedigitaliseerde bedrijven treffen, kan – als gevolg van de daaruit voortvloeiende afhankelijkheden – ernstige schade worden aangericht.
Daarom moeten adequate maatregelen worden genomen, die de nodige alomvattende bescherming bieden. Een economisch duurzame aanpak hiervan kan als volgt worden afgeleid, overeenkomstig het Pareto principe: met 20 procent cyberbeveiligingsmechanismen is het mogelijk de risico’s met 80 procent te verminderen. Het verminderen van het restrisico, d.w.z. de resterende 20 procent, zou daarentegen 80 procent van de totale inspanning vergen. Met andere woorden: door de juiste cyberbeveiligingsmaatregelen te nemen, kan met een relatief kleine investering een passend beschermingsniveau voor IT systemen worden bereikt. Ondanks dit alles is er natuurlijk nog steeds sprake van een potentiële dreigingssituatie. Maar daar wordt nu een oplossing voor geboden: cyberverzekering.
Cyberverzekering: Tussen theorie en werkelijkheid
Natuurlijk kan een cyberverzekering aanvallen niet voorkomen, maar hij kan wel op zijn minst de impact ervan beperken. Immers, bij een incident schaadt het ongeoorloofd binnendringen van IT systemen of de verspreiding van malware niet alleen direct het bedrijf, maar mogelijk ook op grotere schaal. Het verlies van gevoelige gegevens kan bijvoorbeeld leiden tot schadeclaims van klanten, of een productiestilstand en de daaruit voortvloeiende knelpunten in de levering kunnen resulteren in hoge boetes. Het kan daarom zinvol zijn aanvullende dekking te overwegen – te beginnen met dekking voor productie- of inkomstenverlies, via forensisch IT onderzoek om de omvang van de schade en de modus operandi van de daders vast te stellen, tot herstel van de IT systemen.
Klinkt goed in theorie. Maar in werkelijkheid betekenen de nu strengere voorschriften en de strengere risicobeoordelingen die daarmee gepaard gaan, dat bedrijven er niet per se hun voordeel mee kunnen doen. Over het algemeen moet immers onder meer worden aangetoond dat patchbeheer ervoor zorgt dat IT systemen niet kwetsbaar zijn voor aanvallen dankzij voortdurend bijgewerkte software, of dat werknemers voldoende zijn opgeleid, of dat gegevensback-up voldoet aan algemeen aanvaarde eisen. Dit zijn allemaal eisen die lang niet voor elk bedrijf even gemakkelijk te realiseren zijn, zeker niet voor kleine en middelgrote ondernemingen, want juist hier ontbreken vaak de knowhow en de (financiële) middelen voor een alomvattend IT beveiligingsbeheer.
Bovendien dekt een cyberverzekering niet alles (meer) – ook al neemt het risico om het doelwit te worden van cybercriminelen voortdurend toe, alleen al door de steeds geraffineerdere methoden, zoals aanvallen op de toeleveringsketen. In principe is die houding begrijpelijk, gezien de grote schadebedragen die alleen al door ransomware aanvallen worden veroorzaakt. Om het zekere voor het onzekere te nemen, is het raadzaam vooraf precies uit te zoeken welke verzekeringsvoordelen worden geboden en wat kan worden gedaan om het individuele risico te beperken.
Deze IT beveiligingsmaatregelen kunnen gemakkelijk worden uitgevoerd
De IT beveiliging laat nog steeds veel te wensen over, anders zijn de schades die jaarlijks worden gepubliceerd – de huidige schattingen lopen uiteen van 20 tot 100 miljard euro – niet te verklaren. Toch zijn er een aantal IT beveiligingsmaatregelen die relatief eenvoudig kunnen worden uitgevoerd.
- Houd de kwaliteit van de software in de gaten: Het is raadzaam om alleen beveiliging gecertificeerde software te gebruiken en updates en beveiligingspatches voor software en plug-ins zo snel mogelijk toe te passen.
- Beheer toegangsrechten: Het is bewezen dat meer dan de helft van alle aanvallen terug te voeren is op werknemers, de zogenaamde insider threats. Het gaat hierbij voor een deel om voormalige werknemers wier toegang tot interne IT systemen niet volledig is geblokkeerd. Daarom moet ervoor worden gezorgd dat de toegangsrechten strikt zijn geregeld en gemakkelijk kunnen worden beheerd.
- Gebruik IT beveiligingsmaatregelen die in overeenstemming zijn met de stand van de techniek: De “state of the art” verwijst naar de beste prestatie van een IT beveiligingsmaatregel die op de markt beschikbaar is om een wettelijk IT beveiligingsdoel te bereiken. Een positief neveneffect is dat het gebruik van IT beveiligingsmaatregelen in overeenstemming met de “stand van de techniek” theoretisch zelfs een positief effect zou moeten hebben bij de evaluatie van een beveiligingsincident, aangezien de best mogelijke technologie is gebruikt om zich ertegen te verdedigen. Want het feit dat dit bijvoorbeeld op grond van de IT beveiligingswet en DSGVO vereist is, spreekt voor het grote belang ervan.
Ja – de prognose voor 2022 geeft aan dat de veiligheidssituatie er naar verwachting niet op zal verbeteren, en de eerste meldingen van nieuwe aanvallen worden al gedaan. Maar als bedrijven ook goede voornemens hebben gemaakt op het gebied van cyberbeveiliging en deze consequent uitvoeren, kunnen ze veel bereiken.
Siegfried Müller | Eigenaar MB connect Line