Hoewel het aantal cyberaanvallen hand over hand toeneemt, blijven it-managers in EMEA terughoudend in het toepassen van multi-factorauthenticatie (mfa). Bedrijven blijven daardoor gevoelig voor phishing-aanvallen. Dit blijkt uit het jaarlijkse 'Cyber Readiness Report' van de Zwitsers-Singaporese it-beveiliger Acronis.
Het rapport van Acronis is gebaseerd op de resultaten van een onderzoek onder 3600 it-managers en thuiswerkers bij kleine en middelgrote bedrijven in achttien verschillende landen, waaronder Nederland. Een van de onderzoeksresultaten is dat drie op de tien bevraagde bedrijven aangeeft minstens één keer per dag het doelwit van een cyberaanval te zijn. Slechts twintig procent zegt geen enkele keer zijn aangevallen, terwijl dat percentage in 2020 nog 32 procent was. Met andere woorden: het aantal aanvallen neemt toe.
Gezien dit beeld zou een versnelling in het gebruik van beveiligingsmaatregelen een logisch gevolg zijn. Maar die verwachting komt maar ten dele uit. Zo gebruikt bijna de helft van de it-managers (47 procent) uit het onderzoek geen multi-factorauthenticatie (het gebruik van meerdere verificatietools, zoals tweefactorverificatie), waardoor bedrijven kwetsbaar blijven voor phishing-aanvallen. Acronis noemt een aantal mogelijke redenen voor deze trage ingebruikname: of de technologie is te ingewikkeld, of onnodig, of de meest gebruikte platforms bieden nog geen mfa-functionaliteit.
Vals gevoel
Verder heeft volgens de studie 53 procent van de bevraagde bedrijven een vals gevoel van veiligheid als het gaat om aanvallen op toeleveringsketens. Ondanks het voorpaginanieuws over de aanvallen op vertrouwde softwareleveranciers, zoals Kaseya of SolarWinds, meent meer dan de helft van de it-managers dat het gebruik van ‘bekende, vertrouwde software’ voldoende bescherming biedt. En precies om die reden vormen ze een makkelijk doelwit, aldus Acronis.
Wel ziet de it-beveiliger dat de vraag naar antivirusoplossingen is gegroeid met 30 procent, van 43 procent vorig jaar naar 73 procent in 2021. En dan met name de vraag naar oplossingen met een geïntegreerde functie voor back-up/noodherstel.
Ook de vraag naar kwetsbaarheidsbeoordelingen en patchbeheer nam fors toe, van 26 procent in 2020 naar 45 procent dit jaar. Dit kan deels worden toegeschreven aan het grotere aantal kwetsbaarheden dat dit jaar werd ontdekt in cruciale software-implementaties, zoals Microsoft Exchange Servers, Chrome-browsers of Apache-webservers.
Achter de feiten aan
Het is daarom volgens de Acronis-vorsers geen verrassing dat de vraag naar betere en veiligere externe monitoring- en beheertools is verdrievoudigd, van 10 procent in 2020 naar 35,7 procent dit jaar. Nu thuiswerken wordt gezien als een normale manier van werken dienen it-managers een breed scala aan externe apparaten te kunnen monitoren en beheren.
In algemene zin constateert Acronis dat bedrijven nog steeds achter de feiten aanhollen vanwege de toenemende complexiteit van hun it-infrastructuren ‘Cybercriminaliteit is een geoliede machine. Voor elke stap die bedrijven nemen, hebben criminelen er al drie gezet. Slechts een klein aantal bedrijven heeft de tijd genomen om hun it-stack te moderniseren met geïntegreerde gegevensbeveiliging en cyberbescherming’, aldus Candid Wuest, hoofd van de Cyber Protection Research-afdeling van het it-beveiligingsbedrijf.
Ik weet niet hoe de vraagstelling was in dit onderzoek maar onze ervaring leert dat IT Managers en CISO’s die wij spreken wel willen omdat ze de risico’s snappen maar dat budget, mandaat, (hoger) management attentie en gebruikersvriendelijkheid vaak een lastig te nemen obstakel zijn.
Vooral applicaties uitgerold door sales en marketing achtige afdelingen waar klanten maar ook gebruikers uit de eigen organisatie snel en laagdrempelig naar toe moeten worden “gelokt”, en waarin op het eerste oog geen gevoelige informatie zit, worden vaak slecht beveiligd maar kunnen vaak wel een bron van informatie zijn waarmee een aanvaller verder kan komen.
Ik sluit me aan bij Marcel. Zo is het inzetten van multi-factorauthenticatie niet alleen een kwestie van willen (vanuit beheerinzicht), maar ook van kunnen (voldoende resources ontvangen) en toestemming krijgen. De laatste twee worden bepaald door de bedrijfsleiding. Dat management is niet altijd voldoende of zelfs geheel niet bezig met veiligheid omdat ze de bedreigingen onderschatten, totdat het te laat is. Ze kijken naar IT als gebruiker en niet als eindverantwoordelijk manager. Bij alle rampen zie dat de top meestal meerdere keren verkeerde beslissingen heeft genomen. Kijk naar VDL. Natuurlijk heb je als IT-manager een eigen verantwoordelijkheid en moet je geen jaknikker zijn. Helaas zijn de carrièremogelijkheden voor jaknikkers groter, dan voor IT-managers die bedrijfsbelangen voorop stellen.