Cybercriminelen buiten het bedrijf houden, lukt enkel wanneer men de virtuele voor- en achterpoortjes hermetisch afsluit. Helemaal dicht krijg je die echter nooit, aangezien cybercriminelen steeds nieuwe ingangen vinden. “Doordat het dreigingslandschap continu verandert, vraagt cyber security permanente aandacht van de onderneming. In de realiteit blijkt echter dat bij de gemiddelde onderneming nog heel wat ruimte is voor verbetering als het op bescherming tegen cyberaanvallen aankomt”, aldus Steven Lievens, Technical Specialist Cyber Security bij Deloitte Private I Accountancy & Advisory. Hij geeft vijf hands-on tips waarmee bedrijven meteen mee aan de slag kunnen om de deur zo goed mogelijk op slot te houden:
1. Get real about risk
“Er zijn nog te veel Belgische bedrijven die niet wakker blijken te liggen van de risico’s op gebied van cybercriminaliteit. De nieuwe GDPR-wetgeving, waar nu veel om te doen is, heeft wel meer duidelijkheid geschapen rond cyberrisico’s maar slaat enkel op het gebruik van persoonsgegevens.”
“Nu ze zich volop aan het klaarstomen zijn voor de GDPR doen organisaties er goed aan deze gelegenheid aan te grijpen om ook eens stil te staan bij andere gevaren van cybercrime. Twee derde van alle Belgische bedrijven is op een of andere manier al eens slachtoffer geweest, wat een verontrustend cijfer is. De bedreiging doet zich voor in tal van vormen. Er zijn bijvoorbeeld veel gevallen bekend van grootschalige aanvallen met ransomware waarbij hele productiefaciliteiten soms dagenlang worden platgelegd. De impact is vaak van die aard dat het weken kan duren vooraleer alle servers opnieuw ‘up and running’ zijn. Er zijn ook recente voorbeelden van ransomware die het gemunt hebben op de elektronische deursloten van hotels waardoor de gasten urenlang opgesloten zaten in hun kamer tot de hackers hun losgeld hadden gekregen. Bedreigingen van binnenuit zijn evenmin uit te sluiten: bijvoorbeeld een ontevreden werknemer die met een back-up van belangrijke bedrijfsdata richting concurrentie trekt…”
"Twee derde van alle Belgische bedrijven is al eens slachtoffer geweest van cybercriminelen"
“Als je dan kijkt welke maatregelen bedrijven allemaal treffen rond brandveiligheid -gaande van brandwerende deuren, tot en met rookmelders en zelfs een evacuatieplan- omdat de overheid deze verplichtingen oplegt, valt te betreuren dat de bewustwording rond cybersecurity een pak minder groot is! De kans dat een firma getroffen wordt door een cyberaanval is veel groter dan dat er een brand zou uitbreken.”
2. Become a detective
“Tot op heden wordt er vooral ingezet op preventiemaatregelen -denk aan de klassieke firewall- en antivirussoftware- maar zijn slechts weinig bedrijven in staat om ook zelf datalekken te gaan detecteren. Laat staan dat er een procedure op tafel ligt die beschrijft welke technieken men daarvoor toepast, welke partijen moeten ingelicht worden, welke communicatiekanalen ze daarvoor zullen gebruiken, enzovoort. Dat zijn de zogenaamde ‘incident response procedures’. Er moet dringend een verschuiving komen van preventieve maatregelen naar detecterende en reagerende maatregelen: het gedrag van malware actief opsporen om dan daarop snel te kunnen ingrijpen. Kijk daarbij ook eens naar een Cloud-oplossing aangezien de technologieën voor monitoring en detectie doorgaans een serieuze hap uit het budget nemen. Zeker voor kleinere bedrijven is dat niet altijd financieel haalbaar. Wel als ze kiezen voor Cloud software waar technologieën als DLP (data loss prevention) vaak standaard aanwezig zijn.”
"Doordat de klassieke technologieën al lang niet meer voldoen, is het nu zaak een andere beveiligingsstrategie te bedenken om te wapenen tegen de huidige dreigingen."
3. Protect what is vulnerable
“Als we kijken naar de cyber attacks die het nieuws halen, komt het telkens op hetzelfde neer: security patches of updates die niet geïnstalleerd waren door de getroffen bedrijven. Ook op dat vlak is er best wat werk aan de winkel. Het systeem up-to-date houden is één van de basisprincipes waar wij blijven op hameren omdat wij in de praktijk moeten vaststellen dat er nog veel te vaak tegen gezondigd wordt. Dan hebben we het niet enkel over je Windows operating system maar evenzeer over programma’s van derde partijen zoals Java en Flash. Intussen is het overduidelijk dat ransomware zich ook richt op kwetsbaarheden in dit type van software. Het is dus zaak van al je systemen en software up-to-date te houden. Het kost vrij veel tijd om dat allemaal in kaart te brengen maar ook daar bestaan technologieën voor die dat gaan automatiseren zodanig dat een bedrijf meer zicht en grip op krijgt.”
"Het systeem up-to-date houden is één van de basisprincipes waar in de praktijk nog veel te vaak tegen wordt gezondigd"
4. Foster cyber awareness
“Je mag nog zoveel technologie implementeren, de zwakste schakel is vaak de gebruiker zelf. Intussen weet iedereen wel wat phishing mails, ransomware en social engineering zijn. Dat zijn allemaal veel gebruikte malafide praktijken die zich richten op de zwakste schakel in de computerbeveiliging: zijnde de mens.”
“Er bestaan onafhankelijke platformen zoals Cyber Security Coalition die informeren en adviseren over cyberveiligheid en de digitale dreigingen die vandaag bestaan. Ik kan bedrijven zeker aanraden om die informatie te gebruiken en te verspreiden in je organisatie. Voorzie ook awareness trainingen opdat alle gebruikers van het computernetwerk zich goed bewust zijn van de mogelijke gevaren van digitale aanvallen. Die waakzaamheid mag geen moment verslappen, en moet echt ingebakken zitten in de cultuur van het bedrijf.”
5. Crash your own gates
“Bedrijven gaan er meestal van uit dat ze veilig zijn omdat ze daarvoor vertrouwen op hun IT-leverancier. De taak van IT is vooral ervoor zorgen dat er efficiënt kan gewerkt worden en dat diensten en onderliggende systemen constant beschikbaar zijn. Zijn hoofdfocus ligt dus zeker niet op cyber security. Beveiliging is vaak ook een ondergeschoven kind bij IT-investeringen. Dit zijn vaak dure investeringen waarvan men niet meteen de toegevoegde waarde ziet. Vandaar dat het ook nodig is dat een bedrijf de effectiviteit van de gedane investeringen en van de maatregelen die op vlak van cyber security zijn genomen uitvoerig gaat testen. Met een aantal ‘quick wins’ kan de maturiteit naar een hoger niveau worden gebracht. Het gebeurt wel vaker dat de technologie aanwezig is maar niet optimaal geconfigureerd werd.”
“Net zoals bedrijven jaarlijks een evacuatieoefening houden, zou men ook op regelmatig basis moeten testen op cyber security. Daarmee bedoel ik: het inventariseren van de bestaande risico's, kwetsbaarheden en belangrijkste aandachtspunten in je bestaande IT-omgeving. Dat is zeker geen overbodige oefening, als je weet dat zo’n IT-omgeving in enkele jaren tijd een volledige transformatie kan doormaken: een upgrade van de bestaande infrastructuur of software, de vervanging van het ERP/CRM pakket,....”
"Net zoals bedrijven jaarlijks een evacuatieoefening houden, zou men ook op regelmatig basis moeten testen op cyber security"
“Een bedrijf heeft er dus alle belang bij om de maatregelen ter bescherming van kritische informatie en systemen op regelmatige basis te gaan testen. We moeten kunnen leven met de gedachte dat we altijd een stap achterop zullen lopen op de cybercriminelen. De deur hermetisch afsluiten voor indringers is helaas een utopie, maar je kan ze wel zo goed mogelijk op slot doen.”
Wil jij ook de cyber security van je bedrijf testen? Bij Deloitte kan dit aan de hand van een driestappenplan: eerst is er de bewustmaking van de bestaande risico’s, daarna volgt een interview rond de vaardigheden van het bedrijf. Deloitte laat die vaardigheden vervolgens testen door ethical hackers, om op basis daarvan aanbevelingen te doen en prioriteiten toe te kennen.