Cybersecurity haalt meer dan ooit de media. Het grote publiek leest er over gehackte bedrijven en slachtoffers van phishing. “Maar we kunnen – en willen – niet zomaar overal de netwerkkabel uittrekken. We moeten streven naar digitaal vertrouwen.”
Dat er meer aanvallen zijn, volgt voor een stuk uit het feit dat we almaar meer digitaal doen. “Er is meer digitale transformatie”, zegt Marc Vael, Platform CISO bij Veralto en lid van ISACA Information Security Advisory Group. “Bedrijven spelen daarmee in op de wensen van hun klanten. Maar het is uiteraard een evolutie waar ook cybercriminelen op inhaken.”
Mensen durven vaak nog altijd niet melden dat ze het slachtoffer van een aanval zijn. Het blijft gissen naar het dark number van incidenten, ook al omdat aanvallen meer en meer onrechtstreeks gebeuren. Aanvallers richten zich dan niet op het bedrijf dat ze als doel hebben, maar dringen binnen in het netwerk van één van zijn partners, om zo uiteindelijk toch bij hun beoogde doelwit uit te komen. Het toont aan dat elke onderneming haar verantwoordelijkheid moet nemen.
Drietrapsraket
Maar hoe pakt een bedrijf dat concreet aan, bijvoorbeeld in de strijd tegen phishing? “Dat vraagt een drietrapsraket”, zegt Marc Vael. “Je moet je medewerkers informeren over de phishingberichten die circuleren. Vervolgens moet je nagaan wie er effectief op de malafide link heeft geklikt. Belangrijk is ook om het phishingbericht te rapporteren, bijvoorbeeld via verdacht@safeonweb.be, dat malafide links blokkeert via alle Belgische telecomproviders.” Mogelijk blijft het bericht daarna nog opduiken, maar de link zal niet meer werken.
Essentieel is alvast dat medewerkers hun schaamte overwinnen. “Er is geen reden om beschaamd te zijn over het feit dat je op een gevaarlijke link klikte”, vindt Marc Vael. “Mensen die direct melden dat ze in de fout gingen, verdienen een beloning.” In plaats van erover te zwijgen, gaan ze zo veel sneller praten met collega’s. Het blijkt een prima manier om het bewustzijn rond cybergevaren te vergroten.
Marketinghype
Om een antwoord te bieden op de toenemende bedreigingen, schermen de leveranciers van securityoplossingen almaar vaker met een nieuwe term: zero trust. Het is een benadering die de klassieke aanpak van security op haar kop zet: per definitie krijgt niets of niemand toegang. In de praktijk steunt de toegang tot data en applicaties bij zero trust op continue verificatie. “Ik geloof er niet in”, zegt Marc Vael stellig. “Zero trust komt neer op het uittrekken van de netwerkkabel. In een digitale wereld is dat niet wat we willen doen.”
“Uiteindelijk is het de raad van bestuur die beslist over de strategie. Voeling met technologie en cybersecurity heeft die niet altijd, maar ze begrijpt wel het belang van digitaal vertrouwen.”
Marc Vael, Platform CISO bij Veralto en lid van ISACA Information Security Advisory Group
In de praktijk blijkt zero trust bovendien niet meteen een oplossing te bieden voor onder meer legacy, IoT en services van externe dienstverleners. “Voor mij is zero trust een marketinghype”, aldus Marc Vael. “Ik geloof in digital trust. Nulrisico bestaat niet. Zero risico nastreven met zero vertrouwen is gewoon niet juist.”
Meer middelen zijn welkom
Dat het risico op securityincidenten toeneemt, is duidelijk. Dat er nood is aan bescherming ook. Maar hebben de bedrijven daar voldoende budget voor? Volgens het rapport ‘State of Digital Trust 2023’ van ISACA zijn er bij 38% van de ondernemingen te weinig middelen voor IT-beveiliging. “Je moet vooral goed kunnen uitleggen waarvoor je budget nodig hebt”, zegt Marc Vael. “Het is uiteindelijk de raad van bestuur die beslist over de strategie. En ook al is er niet altijd veel voeling met het technologische verhaal achter cybersecurity, de nood om in te zetten op digitaal vertrouwen begrijpt de raad van bestuur wel.”