Cybersecurity mag dan hoog op de IT-agenda staan, er blijft genoeg werk aan de winkel. De gemiddelde IT’er beschouwt zichzelf alvast niet als een beveiligingsrisico. Dat blijkt uit onderzoek van Data News en Orange Cyberdefense.
Via een online enquête polsten Data News en Orange Cyberdefense naar verschillende aspecten van IT-beveiliging: de maturiteit ervan, de praktische aanpak, maar evengoed de perceptie die erover bestaat binnen een onderneming en bij specifieke profielen. Een goede vierhonderd respondenten vulden de enquête in. Ongeveer zeven op tien daarvan zijn businessprofielen, naast drie op tien CIO’s, IT-managers en andere IT-medewerkers. De respondenten werken verspreid over zowat alle sectoren: bouw, financiën, gezondheid, industrie, overheid, IT enzovoort. De opvallendste vaststellingen legden we tijdens een virtueel rondetafelgesprek voor aan een handvol ervaren CIO’s en CISO’s (Chief Information Security Officer).
Volgens de enquête is één op drie medewerkers niet op de hoogte van het IT-securitybeleid van zijn organisatie. De medewerker bij zijn indiensttreding een stuk papier laten ondertekenen, volstaat blijkbaar niet. “Het toont alvast aan dat we de risico’s op het vlak van IT-security meer moeten benaderen vanuit de business en niet vanuit de IT-afdeling”, stelt Emmanuel David, technical director bij Orange Cyberdefense. “De toepassing van een securitybeleid is niet evident, zeker bij een algemeen, niet IT-gericht publiek. Het toont aan dat er nog altijd een kloof bestaat tussen business en IT.”
Opleiding
“Bij ons moeten alle nieuwe medewerkers op de hoogte zijn van het securitybeleid”, zegt Carlo Werbrouck, CISO bij verzekeringsgroep P&V. “We frissen die kennis op via awareness-campagnes waarbij we gebruik maken van gamification. Dat helpt om het beleid onder de aandacht te houden.” Chemiebedrijf Tessenderlo liet zijn medewerkers – deels online, deels via gamification – een security-opleiding volgen. “Het doel was de medewerkers te leren hoe ze phishing kunnen herkennen”, zegt Tycho Reniers, CISO bij Tessenderlo. “Bij ons krijgen trouwens alle medewerkers een opleiding rond cybersecurity, ook wie met OT (operationele technologie) werkt.”
Opleiding – onder meer rond de gevaren van phishing – is geen overbodige luxe, zo blijkt. “We vroegen bedrijven tijdens de eerste lockdown om gespotte phishingberichten door te sturen”, zegt Miguel De Bruycker, directeur van het Centrum voor Cybersecurity België. Het centrum staat onder het gezag van de eerste minister en stuurt onder meer het nationale Computer Emergency Response Team (CERT) aan. “We ontvingen tot tienduizend meldingen per dag”, gaat hij verder. “Aansluitend vroegen we aan de providers om die links te blokkeren.”
Zelfkennis en basishygiëne
De meeste security-incidenten zijn terug te voeren naar een gebrek aan basishygiëne: bedrijven die er geen gesegmenteerd netwerk op nahouden, bijvoorbeeld, of netwerkbeheerders met zwakke paswoorden. “IT’ers zijn vaak de slechtste leerlingen van de klas”, zegt Miguel De Bruycker. “Ze hebben toegang tot allerlei systemen, maar staan zelf niet onder controle. Dat maakt van hen de belangrijkste doelwitten voor cybercriminelen.” En daar legt de enquête meteen een gevoelig punt bloot. Het is in de hoofden van veel mensen blijkbaar toch vooral ‘de andere’ die zich door cybercriminelen laat vangen.
Een goede 60% van de respondenten omschrijft zijn kennis van IT-security als ‘goed’ tot ‘uitstekend’. Twee op tien deelnemers hebben ‘noties’. Bij zowat 15% van de deelnemers is de kennis ondermaats of zelfs compleet nihil. Dat zoveel medewerkers bij een dwarsdoorsnede van sectoren – zowel bij business als IT – zich zo zelfzeker tonen over hun kennis van cybersecurity, geeft zonder meer te denken. Wie zijn kennis overschat, vormt immers zelf een beveiligingsrisico.
CIO en CISO kunnen niet alles zelf
Kan de aanstelling van een CISO – naast de CIO – daar verbetering in brengen? Bij de bedrijven die aan de enquête deelnamen, heeft zes op tien een CISO in dienst. Bij de andere bedrijven ligt de verantwoordelijkheid voor security heel vaak bij de CIO. “De eerste verdedigingslinie valt onder de verantwoordelijkheid van de CIO”, zegt Kurt De Ruwe, CIO bij Signify, het voormalige Philips Lighting. “De tweede linie – met name corporate security – is de verantwoordelijkheid van de CISO.” In de praktijk stellen bedrijven ook vaak een CISO aan wanneer ze hun IT governance verder uitbouwen.
Tegelijk doet twee derde van de bevraagde bedrijven een beroep op externe beveiligingspartners. Het blijkt lastig om op de rekruteringsmarkt snel de juiste, gespecialiseerde profielen te vinden. Hen daarna aan boord houden, is vaak een nog grotere uitdaging. Dan is een externe partner handiger. Ook de toenemende complexiteit van IT – en de bijhorende security – doet bedrijven uitkijken naar gespecialiseerde partijen. “Sommige oplossingen kan je nu eenmaal niet zelf ontwikkelen”, zegt Tycho Reniers. “Dan kan je wellicht beter naar een externe partner kijken.”
Dat er de voorbije maanden en jaren heel wat security-incidenten in de media opdoken – ook bij grote bedrijven – zorgde alvast voor extra awareness bij het topmanagement, maar ondersteunde ook het besef dat niet zomaar alles haalbaar is in eigen beheer. “We zijn zelf met SIEM (Security Information & Event Management) gestart”, zegt Carlo Werbrouck. “Maar een eigen SOC (Security Operations Center) uitbouwen, bleek te hoog gegrepen. Dat hebben we bij Orange Cyberdefense neergelegd.”
Impact berekenen
Bedrijven laten zich ook meer en meer verzekeren tegen de risico’s van een cyberincident. Maar verzekeraars dekken niet zomaar om het even wat. In de praktijk willen ze vaak een heel gedetailleerd zicht op de manier waarop de onderneming haar beveiliging organiseert. Beveiliging is echter één zaak, de inschatting van een risico – en de mogelijke impact die eraan vasthangt – een heel andere. Zes op tien respondenten weten niet hoe ze die impact moeten berekenen. Maar hoe slagen ze er dan in hun security-investeringen bij het topmanagement te verantwoorden?
“Je moet met concrete KPI’s werken en daarmee naar de board stappen”, stelt Patrick Putman, CIO bij Manuchar, een trader en distributeur van onder meer staal en chemicaliën. Het bedrijf gebruikt de tool BitSight om het niveau van zijn security in kaart te brengen. “Het doel is met objectieve rapporten aan te tonen welke risico’s er zijn geweest en welke concrete acties we daartegen hebben ondernomen.” Het is een aanpak die op veel interesse kan rekenen, al valt er ook een kanttekening bij te plaatsen. Niet alle aspecten van veiligheid zijn zomaar meetbaar.
Investering in bedrijfscontinuïteit
Vier op tien van de deelnemende bedrijven hadden de voorbije twee jaar meer dan één security-incident. Die concrete voorbeelden overtuigen het management het makkelijkst. Al is het nog beter aan te tonen welke schade je als CIO of CISO wist te vermijden. “Daarom is het goed dat je concrete cases kunt voorleggen”, zegt Kurt De Ruwe. “Zo kan je aan het management tonen wat de impact van een incident zou geweest zijn, niet alleen financieel, maar ook op het vlak van reputatie, wanneer de IT-afdeling het niet had kunnen voorkomen.”
Waar IT-risico’s doorwerken in operationele risico’s voor het bedrijf, blijft het vaak een hele oefening om daar ook een zekere waarde op te plakken. “Je moet security beschouwen als een onderdeel van de investering in bedrijfscontinuïteit”, vindt De Ruwe. “Die continuïteit moet je bovendien plannen. Je moet weten wat je moet doen wanneer het fout gaat. Concreet doen we dat door veel te testen, ook intern.”
Wedloop
Maar alle inspanningen ten spijt: ook de cybercriminelen zitten niet stil. Het zijn dan ook heus niet alleen de securityspecialisten die kunstmatige intelligentie en andere nieuwe technologie in de strijd gooien. Zo blijft het een wedloop. “De kunst is ervoor te zorgen dat je omgeving voldoende beveiligd is, zodat hackers bij de buren gaan, waar ze minder moeite moeten doen”, zegt Tycho Reniers. “We gebruiken artificiële intelligentie vandaag al om aanvallen met ransomware te ontdekken. Maar we gaan daar wel heel voorzichtig mee om.”
“De komst van artificiële intelligentie en machine learning betekent natuurlijk niet dat we geen securityspecialisten meer nodig hebben”, zegt Emmanuel David. “De technologie laat net toe die grote datavolumes bruikbaar te maken voor de specialisten. Hun rol blijft noodzakelijk om de bevindingen juist te interpreteren.” In het kader van security – ook bij het gebruik van nieuwe technologie – mogen bedrijven zich niet blindstaren op de technologie alleen.
“Hackers beperken zich ook niet tot technologie”, zegt Patrick Putman. “Bedrijven hebben heel wat tools in huis, terwijl je in de praktijk vaak zomaar een landschapskantoor kunt binnenlopen waar onbeheerde pc’s staan.” Tegelijk is in de wereld van de cybercriminaliteit een ongeziene professionalisering en schaalvergroting aan de gang. “Het aantal aanvallers neemt toe”, zegt Miguel De Bruycker. “En ze hebben heel veel middelen die ze inzetten om verder te professionaliseren. In de digitale wereld kan schaalvergroting bovendien eindeloos blijven doorgaan. Dat is zeker zorgwekkend.”
Fout opgemerkt of meer nieuws? Meld het hier