De Britse regering heeft een programma opgezet waarmee bedrijven hun cybersecurity kunnen laten valideren en certificeren. Cyber Essentials certificeert nu ongeveer tweeduizend bedrijven per maand, vooral kleine en micro-ondernemingen. Ceo Emma Phillpott kwam het initiatief uit de doeken doen op Infosecurity.be
Cyber Essentials wordt overzien en beheerd door het commerciële bedrijf Iasme, waarvan Philpott ceo is. ‘Het initiatief lag bij de Britse regering’, zegt ze. ‘Zij merkten dat veel van hun leveranciers, hoewel ISO7000-gecertificeerd, nog steeds gehackt werden. Ofwel was die ISO-certificatie niet goed genoeg, ofwel werd ze niet goed geïmplementeerd. Om daar wat aan te doen is Cyber Essentials in het leven geroepen.’
Om het certificaat te behalen, moeten bedrijven de basics van hun beveiliging op orde hebben. Hun routers moeten goed afgesteld staan, er moet een firewall zijn, patches moet geregeld geïnstalleerd worden en diens meer. Van het certificaat bestaan twee versies. De eerste is een basisversie waarbij het bedrijf een zelf-assessment doet aan de hand van een vragenlijst. Philpott: ‘We vragen daarvoor geen bewijzen, wel een verklaring op eer van een bestuurslid. Mocht ooit blijken dat de vragen niet correct werden ingevuld, is dat dus fraude. Bedrijven die niet aan onze standaarden voldoen kunnen we helpen met advies en feedback om het certificaat toch te behalen.’
Bij een tweede versie (de Plus-versie) komt er een assessor bij het bedrijf langs (of de sessie gebeurt online) om zelf een beveiligingsscan uit te voeren. Omdat hier iemand voor moet langskomen, is het duurder, maar je hebt als bedrijf ook meer zekerheid. De prijs is afhankelijk van de grootte van het bedrijf en de complexiteit van het onderzoek.
Dag en nacht
Wat is het voordeel van zo’n attest, buiten het feit dat bedrijven weten dat hun security op orde is? Bij bedrijven die minder dan twintig miljoen pond omzet draaien, geeft het Cyber Essentials-certificaat meteen recht op een gratis cyberverzekering en toegang tot een technische helpdesk die dag en nacht bereikbaar is.
‘Voor bedrijven die nog niet zo ver zijn, hebben we een gratis adviesgroep op LinkedIn opgericht’, zegt Philpott. ‘Daarnaast is er ook een tool ontwikkeld die laagdrempelig is en die bedrijven helpt hun beveiliging in te schatten.’
Momenteel krijgen ongeveer tweeduizend bedrijven per maand hun certificaat. Driekwart daarvan zijn kleine en middelgrote ondernemingen. Een ruime tien procent vormen grote bedrijven. Volgens Philpott komen die bedrijven uit alle sectoren en hoeken van het land. ‘Wat we ook zien is dat toeleveranciers zo’n certificaat beginnen te eisen of dat banken er achter vragen bij hun klanten. De bedrijven zelf zijn er tevreden over. Driekwart noemt het ‘good value for money’ en bedrijven zeggen ook dat de beveiliging verbeteren veel minder duur en complex was dan gedacht.’
De certificaten (die een jaar geldig blijven) blijken technisch vrij robuust te zijn. ‘Uit onderzoek van de universiteit van Lancaster blijkt dat zeventig procent van alle gebruikelijke bedreigingen na onze assessment worden tegenhouden’, zegt Philpott. ‘Maar 0,7 procent van de bedreigingen passeert nog. Vaak zijn dat bedreigingen waar nog geen patches voor waren of waar de patches niet voor geïnstalleerd waren.’
