Het bewustzijn rond het belang van cybersecurity groeit. Maar ook al investeren bedrijven in de beveiliging van hun IT-omgeving, dat garandeert nog niet dat de medewerkers die oplossingen ook correct gebruiken. Ook op die manier blijft de mens de cruciale factor wanneer het om cybersecurity gaat.
Telkens weer duiken incidenten rond IT-beveiliging in de media op. Dus zouden bedrijven intussen moeten weten hoe belangrijk een goede beveiliging is, toch? “Het hangt ervan af met wie je praat”, zegt Cindy Wubben, CISO Benelux bij Visma. “Bij de overheid is het bewustzijn heel hoog, bijvoorbeeld, maar in de onderwijssector net weer heel laag.” Ook de omvang van de organisatie speelt mee, zo blijkt. Kleine bedrijven blijven de risico’s onderschatten, of ze vinden het te moeilijk om het juiste initiatief te nemen. “Bijvoorbeeld omdat ze er een specialist voor nodig hebben, en die is op de markt moeilijk te vinden.”
Maar ook al neemt een bedrijf de nodige maatregelen, op zich bieden die geen garantie. “Heel vaak is de beveiliging er wel, maar wordt ze niet of niet juist gebruikt”, zegt Cindy Wubben. “Medewerkers kunnen data delen binnen de veilige omgeving van een applicatie, bijvoorbeeld, maar kiezen er toch voor een document via e-mail rond te sturen.” Of denk aan optionele multifactorauthenticatie. Het systeem is er dan misschien wel, maar als gebruikers zelf mogen kiezen, maken ze er vaak geen gebruik van, bijvoorbeeld omdat ze die tweede factor gewoon vervelend vinden.
Creatief met AI
Tegelijk verandert het landschap voortdurend. Cybercriminelen zijn bijzonder vindingrijk. Ze gebruiken volop nieuwe technologie, zoals AI, om hun aanvallen effectiever te maken. Een medewerker krijgt dan via Whatsapp een voicebericht dat zogezegd van de CEO afkomstig is, bijvoorbeeld met de vraag dringend een betaling uit te voeren. “Dat komt echt geloofwaardig over”, zegt Cindy Wubben. “De stem is met AI heel goed nagebootst, al kun je aan de intonatie wel nog horen dat het geen echt bericht is van de echte persoon.” De beste oplossing bestaat hier uit gezond verstand. Wie zo’n verrassend bericht krijgt, moet even goed nadenken. Zou de CEO zo’n vraag echt via Whatsapp stellen?
Je eigen probleem
Naast het belang van awareness en de menselijke factor, is het algemene gevoel dat er alleen maar risico’s bijkomen, terwijl ook de complexiteit van de beveiliging toeneemt. Bedrijven besteden hun IT-security daarom steeds vaker uit, ook al omdat ze er op de arbeidsmarkt niet voldoende mensen voor vinden. “Bij andere diensten valt de keuze ook vaak op uitbesteding, dus waarom ook niet voor security? Alleen is het essentieel te beseffen dat je wel zelf verantwoordelijk blijft. Security blijft je eigen probleem. Het volstaat dus zeker niet om even een externe specialist in te huren.”
Losgeld? Niet betalen!
Veel van de incidenten die de pers halen, hebben te maken met ransomware. Een bijkomende moeilijkheid bij ransomware – naast de economische en reputatieschade – is de beslissing om al dan niet het geëiste losgeld te betalen. “Het is ergens begrijpelijk dat je als slachtoffer wellicht overweegt om te betalen”, zegt Cindy Wubben. “Maar het standpunt van Visma is duidelijk: wij adviseren om niet te betalen.” Belangrijk is vooral dat je als bedrijf bij een aanval op een stevig plan kunt terugvallen. “We kregen zelf ook met een aanval te maken. Een dag later was het technische luik opgelost. Maar daarna volgde nog heel wat communicatiewerk: om alles uit te leggen aan onze klanten – en zij op hun beurt aan hun eindklanten.”
“Heel vaak is de nodige beveiliging op zich wel beschikbaar, maar is ze niet of niet juist in gebruik.”
Cindy Wubben, CISO Benelux bij Visma
De nodige maatregelen treffen en een helder plan voorzien ‘voor het geval dat’, verdient alvast de voorkeur op het nemen van een cyberverzekering, de vingers gekruist houden en hopen op een goede afloop. Zo’n cyberverzekering – die de kosten van een incident vergoedt, eventueel zelfs het betaalde losgeld – is als formule op termijn sowieso niet houdbaar. “Het is bovendien een systeem waarmee je het gebruik van ransomware in stand houdt”, vindt Cindy Wubben. “Bij een brand betaalt de verzekeraar de geleden schade terug. Maar hij geeft toch geen geld aan wie de brand met opzet aanstak?”
Meer info op www.visma.be