De huidige staat van it-beveiliging bij de meeste organisaties baart me zorgen. We vormen immers met elkaar het totale netwerk. Al die ellende kan niemand in zijn eentje oplossen.
Het WK Voetbal 2018 is voorbij. Oranje was er niet bij. Ik moest het hebben van de Belgische leeuwen. Maar helaas heb ik het wij-gevoel gemist. Even één voor allen, en allen voor één. Dat is ook hard nodig na het lezen van het zojuist verschenen State of Security Report. Wereldwijd uitgevoerd onder meer dan tweehonderd bedrijven in elf landen. Bijna tienduizend Cyber Defense Center (CDC)-incidenten geanalyseerd, evenals een kleine driehonderd unieke malwarerisico’s en 111 securityproducten. In achttien landen is de wet- en regelgeving omtrent meldplicht van incidenten en over de grens opslaan van gegevens onder de loep genomen. De redenen daarvoor zijn even helder als alarmerend.
De recente historie maakt duidelijk dat iedereen getroffen kan worden door cyberaanvallen. Van overheden en financiële instellingen tot en met ziekenhuizen en social media. Kortom, niemand is meer veilig. Oud-FBI-directeur Robert Mueller zei het ooit heel treffend: ‘There are only two types of companies: those that have been hacked and those that will be.’ Werd deze uitspraak toentertijd met de nodige scepsis ontvangen, inmiddels weten we allemaal beter. Onze grote banken, maar ook de Belastingdienst, worden regelmatig met DDoS-aanvallen onder vuur genomen. Ziekenhuizen, waar toch al kwetsbare mensen liggen, zijn zeer vatbaar voor cyberaanvallen. Steeds vaker richten de aanvallen zich dan ook op zorginstellingen: 41 procent van het totaal aantal data breaches in 2017 – in 2016 was dat nog 30 procent.
Tekort aan threat response
De huidige staat van it-beveiliging bij de meeste organisaties baart me zorgen. We vormen immers met elkaar het totale netwerk. Al die ellende kan niemand in zijn eentje oplossen. We zullen meer kennis en informatie met elkaar moeten delen, plus slimmer met de technologische mogelijkheden omgaan dan onze tegenstanders.
Ik zie het zo: we hebben een WK te winnen met zijn allen. Dan moet alles kloppen, van het beleid en de trainingsmiddelen tot en met de infrastructuur ter plaatse. En zorgen dat we het hele land achter ons te krijgen. De AVG moedigt ons allen aan. Er is echter meer nodig om cybercriminelen en apt-groepen (advanced persistent threat) te verslaan. Afgelopen jaar zijn meer dan twee keer zoveel data records gestolen als het jaar ervoor.
De WannaCry-ransomware bezorgde cio’s wereldwijd slapeloze nachten. Als iets blijkt uit het onderzoek, dan is het dat er een schrijnend tekort is aan doeltreffende threat response. Het verdedigingsmechanisme van veel organisaties groeit onvoldoende mee met de toenemende verfijning van de bedreigingen. Hoogste tijd voor volwassen beleid. Maar, zoals gezegd, ook voor hechte samenwerking.
Risico’s op de werkvloer blijven
Ondernemingen moeten bereid zijn in die it-security ‘nieuwe stijl’ te investeren. Helaas kiezen bedrijven nog steeds voor de relatieve zekerheid van operationele of verkoopgerelateerde initiatieven. Dit gaat ten koste van de grote onbekende: it-security. Heel menselijk. We vertrouwen nu eenmaal makkelijker op wat we kennen en kunnen zien. Maar hierdoor investeert de clubleiding te weinig in de verdediging. Dan is het voor het middenveld en de aanval dweilen met de kraan open. Zeker als de risico’s op de werkvloer, door phishing, megagroot zijn.
Het rapport toont aan dat het aandeel van security in het totale budget van ondernemingen nog altijd aan de lage kant is. De kwetsbaarheid van de vele applicaties die ze doorgaans gebruiken smeekt echter om meer budget voor technologie, onderzoek en maatregelen. Iedere organisatie zou bewust moeten bijdragen aan het bouwen van een digitale wereld die veilig is. Samen staan we veel sterker dan al die groepjes cybercriminelen en andere kwaadwillenden. Gebruik AVG/GDPR als leidraad, werk met een budget dat strategische it-security recht doet, en deel relevante data via de beschikbare securityplatformen. Opdat cybercriminelen slapeloze nachten van ons krijgen.