Als we 2020 zien als het jaar waarin er een aardbeving plaatsvond, kunnen we 2021 het jaar van de naschokken noemen. De opgave om in korte tijd thuiswerkomgevingen in te richten en te beveiligen is grotendeels voltooid. Maar ciso’s staan nu voor de uitdaging om op de lange termijn thuiswerken én hybride werken te ondersteunen. En ondertussen moeten ze het hoofd zien te bieden aan cybercriminelen die steeds slimmer te werk gaan en zich gesterkt zien na een jaar van verstoring en onzekerheid
Deze ontwikkelingen hebben geresulteerd in een uitgebreid en gevarieerd bedreigingslandschap en een veel omvangrijker aanvalsoppervlak. En veel aanvalstechnieken maken misbruik van de werkomstandigheden van eindgebruikers. Het zal daarom geen verbazing wekken dat ciso’s in alle delen van de wereld onder grote druk staan.
Succesvolle cyberaanval
Ruim de helft van alle Nederlandse ciso’s denkt dat hun organisatie het gevaar loopt om de komende twaalf maanden door een verwoestende cyberaanval te worden getroffen. Nog alarmerender is dat de meeste ciso’s weliswaar op de hoogte zijn van de risico’s, maar zich onvoldoende voorbereid voelen. Iets meer dan twee derde van alle wereldwijde ciso’s denkt dat hun organisatie een succesvolle cyberaanval niet zal overleven. 81 procent van alle Nederlandse ciso’s is van mening dat hun organisatie niet op een aanval is voorbereid. Dit is het hoogste percentage van heel Europa.
Met de gebeurtenissen van vorig jaar nog vers in het geheugen komen deze reacties niet uit de lucht vallen. Maar nu we ons opmaken voor een wereld waarin de pandemie achter de rug is, moeten organisaties grip zien te krijgen op het nieuwe bedreigingslandschap. We moeten achterhalen wie er binnen onze organisaties het kwetsbaarst zijn voor cyberaanvallen en welke typen aanvallen voor hen het grootste gevaar vormen. Maar ook wat de rol van elke medewerker – van de ciso tot het hr-team – is bij het afslaan van deze aanvallen.
Oude en nieuwe bedreigingen
2020 was een turbulent jaar waarin organisaties zich moesten aanpassen aan nieuwe werkomgevingen en gedragsnormen. Geen wonder dat ciso’s onder enorme druk staan. En hoewel de kloof tussen de bewustheid van cyberrisico’s en de voorbereidheid daarop zorgwekkend is, is die niet onbegrijpelijk.
Moderne organisaties worden geconfronteerd met een divers scala een potentiële bedreigingen. En of het nu gaat om bekende of nieuwe aanvalstechnieken, cybercriminelen omarmen ze allemaal. Aanvallen op de supply chain vertegenwoordigen het grootste punt van zorg voor Nederlandse ciso’s, gevolgd door e-mailaanvallen en aanvallen op cloudaccounts. Hoewel ransomware-aanvallen recentelijk veelvuldig het nieuws haalden, stond deze bedreiging laag op het zorgenlijstje van Nederlandse ciso’s.
Effectieve cybersecurity
Voor een dergelijk gevarieerd bedreigingslandschap is geen universele beveiligingsoplossing beschikbaar. Hoewel sommige tools en beveiligingsmechanismen bescherming kunnen bieden tegen uiteenlopende aanvalstechnieken vormen ze slechts één aspect van effectieve cybersecurity.
Training voor beveiligingsbewustzijn moet centraal staan in elke moderne beveiligingsstrategie. En voor optimaal resultaat is er training op maat nodig. Deze moet zijn aangepast aan actuele cyberbedreigingen en gebruikers in de frontlinie. Een gebrekkig begrip van de meest kwetsbare eindgebruikers en de soorten aanvallen waarmee zij te maken krijgen, maakt het enorm lastig om de juiste prioriteiten te stellen binnen je strategie voor cybersecurity.
En nu hybride werken, flexibele werktijden en het gebruik van uiteenlopende access points tot de norm zijn uitgegroeid, wordt het steeds moeilijker om voor de juiste mate van inzicht te zorgen.
Menselijke risicofactor
De problemen van ciso’s beperken zich uiteraard niet tot één gebied. De mensen binnen de organisatie die door cyberaanvallen worden getroffen zijn een even groot punt van zorg als de mensen die achter de aanvallen schuilen. Ruim de helft van alle wereldwijde ciso’s en 46 procent van alle Nederlandse ciso’s vindt dat eindgebruikers het grootste risico voor hun organisatie vertegenwoordigen. Niet alleen externe bedreigingen baren hen zorgen, maar ook bedreigingen door insiders. Boos opzet, argeloos klikken op kwaadaardige links, slachtoffer worden van phishing en een gebrekkige wachtwoordhygiëne zijn slechts een paar zaken die ciso’s uit hun slaap houden.
Nu veel mensen vanuit huis werken en daarmee tenminste een deel van de tijd uit het zicht blijven, zijn deze problemen urgenter dan ooit. 46 procent van alle Nederlandse ciso’s is van mening dat thuiswerken de cyberrisico’s voor hun organisatie vergroot. En het is niet moeilijk om te zien waarom. Niet-zakelijke omgevingen maken ons vatbaarder voor fouten en verkeerde beslissingen. En dat maak ons kwetsbaarder voor cyberaanvallen.
Best practices
Thuiswerken vraagt ook om kleine afwijkingen van best practices voor cybersecurity. Het gebruik van thuisnetwerken en privéapparaten kan krachtiger beveiligingsprocedures en -mechanismen vereisen. Helaas hebben veel eindgebruikers nog altijd geen adequate training ontvangen om op veilige wijze met hun nieuwe werkomgeving om te gaan. Slechts 60 procent van alle wereldwijde ciso’s vindt dat hun werknemers voldoende zijn toegerust om vanuit huis te werken.
Daar moet verandering in komen, en snel ook. De disruptie die de coronacrisis veroorzaakte was geen op zichzelf staand fenomeen. Er is geen sprake van een terugkeer naar de normale gang van zaken. De manier waarop we werken is voorgoed veranderd. En dat is geen slechte zaak. Nu we kantooromgevingen herinrichten en medewerkers meer keuzevrijheid bieden ten aanzien van hoe en wanneer zij werken, liggen er kansen om hetzelfde te doen voor onze it-beveiliging. Het biedt ons de gelegenheid om een beveiligingsstrategie te ontwikkelen die oog heeft voor de cruciale rol die medewerkers spelen bij het veilig houden van onze organisatie.
Zonnigere toekomst
De worstelingen van ciso’s van de afgelopen anderhalf jaar zijn inmiddels goed gedocumenteerd. Maar ondanks de omvang van deze problemen zien veel ciso’s de toekomst optimistisch tegemoet. Wereldwijd gezien is twee op de drie ciso’s van mening dat hun organisatie in 2022/2023 beter zal zijn toegerust om cyberaanvallen af te slaan en ervan te herstellen. Bijna alle ciso’s proberen de beveiliging te versterken om dit mogelijk te maken. De meesten van hen voorspellen verbeteringen van cruciale beveiligingsmechanismen, de ondersteuning voor thuiswerken en het beveiligingsbewustzijn. En dat laatste is nog de meest positieve ontwikkeling van allemaal.
Of de werkomgeving nu een fysiek of virtueel karakter heeft, mensen zullen er altijd centraal binnen staan. En waar mensen werken, liggen cybercriminelen op de loer. Het succes van ruim 90 procent van alle cyberaanvallen is namelijk afhankelijk van interactie met mensen. Dus ongeacht de cyberbedreigingen waarmee ciso’s momenteel worden geconfronteerd, zullen mensen over twee jaar de laatste verdedigingslinie gaan vormen. Dit vraagt om waakzame en goed geïnformeerde werknemers, of die nu thuis, op kantoor of op een andere locatie werken.
Gebrekkig beveiligingsbewustzijn
Hoe meer eindgebruikers een begrip hebben van de cyberbedreigingen waarmee ze worden geconfronteerd, de technieken die cybercriminelen hanteren en hoe hun gedrag bepalend is voor het succes van de beveiliging, des te beter ze in staat zijn om je organisatie tegen schadelijke cyberaanvallen te beschermen. Al met al hebben ciso’s geen gemakkelijke taak. De komende jaren zullen ongetwijfeld allerlei nieuwe uitdagingen met zich meebrengen. Maar als eindgebruikers weten dat zij een sleutelrol vervullen bij het leeuwendeel van alle moderne cyberaanvallen zou gebrekkig beveiligingsbewustzijn niet langer een probleem moeten vormen.
Als 81% van de CISO’s in Nederland niet gelooft dat hun organisatie op een aanval is voorbereid, dan vraag ik me af wat die CISO’s de afgelopen jaren hebben gedaan. Voorbereid zijn op de cyber aanval die onherroepelijk op een dag jouw organisatie zal treffen, dat lijkt me nu juist een kerntaak.