Security is niet effectief als alles wat we doen neerkomt op het proberen bijhouden van een landschap vol dreigingen en cyber-aanvallen dat zich razendsnel ontwikkelt. We lopen dan altijd achter de feiten aan. Cybersecurity is al enige tijd een hot topic – en niet alleen bij grote enterprises en overheidsorganisaties. Het is een onderwerp dat ook thuis aan de keukentafel wordt besproken. Vrijwel iedereen heeft er een mening over. En terecht, want slechte cybersecurity heeft gevolgen voor iedereen.
Of je nu werkt bij een telco, een hotelketen of een luchtvaartmaatschappij, er is een ding dat 2018 ons geleerd heeft: niemand is veilig! Sterker nog, in 2018 vond de grootste datadiefstal ooit plaats toen de Aadhaar database meerdere keren werd gekraakt. Daardoor werden mogelijk de gegevens van 1,1 miljard geregistreerde burgers buitgemaakt. Meer dan 2 miljoen versleutelde wachtwoorden en persoonlijke gegevens van T-mobile-klanten zijn gestolen in augustus 2018, en 380.000 klanten van British Airways zijn besmet geraakt via een kwaadaardige hack van de website en de booking-app. Als reactie hierop zijn de investeringen in cybersecurity natuurlijk flink gestegen. Volgens Gartner zal de markt voor security-producten en -diensten in 2019 groeien met 8,7 procent tot maar liefst 124 miljard dollar. Veel organisaties voegen ook nieuwe beveiligingslagen toe aan hun systemen.
Wat dit soort aanvallen echter echt laat zien, is dat het simpelweg reageren op nieuwe bedreigingen niet werkt. Toch is dit jammer genoeg de manier waarop veel organisaties hiermee omgaan. Er zal dus iets moeten veranderen aan de ‘mindset’.
Onze netwerken, inclusief de beveiliging daarvan, moeten dynamischer zijn dan de dreigingen (die de komende tijd alleen maar zullen toenemen) waarmee ze te maken krijgen. Bedrijven moeten in staat zijn om nieuwe software snel uit te rollen, precies waar dat nodig is. Een compleet nieuwe aanpak, waarbij security vanaf het begin integraal onderdeel uitmaakt van IT-systemen, is nodig om weerstand te bieden tegen krachtige aanvallen. Dat is makkelijker gezegd dan gedaan. Dankzij geavanceerde technologie en nieuwe mogelijkheden die cloud en mobile computing ons bieden, is dit zowel hoognodig alsook betaalbaar geworden.
Gedateerde systemen, ongeacht hoeveel lagen bubbelplastic we erover plakken, blijven gedateerd. Het is de hoogste tijd dat organisaties werk gaan maken van basale cyber-hygiëne om daarmee hun kroonjuwelen (bedrijfskritische applicaties en data) te beschermen.
Het is tijd voor hygiëne
Het invoeren van eenvoudige cyber-hygiëneprincipes zorgt voor veel effectievere bescherming tegen cybersecurity-incidenten. Vergelijk het met tandenpoetsen; het zijn eenvoudige principes waarvan elke organisatie met een IT-systeem – en welke organisatie heeft dat niet? – zich bewust moet zijn en dagelijks naar zou moeten handelen.
Hieronder volgen vijf tips om veilig te blijven in een snel ontwikkelend IT-landschap. Deze ideeën zijn niet per se nieuw, maar zijn soms wel op de achtergrond geraakt. Dat maakt ze echter niet ouderwets, integendeel: het doorvoeren en gebruiken van deze principes zorgt voor een zeer solide en veilige basis van IT-systemen en de data die daarop staan.
Tip 1: Least privilege
Alleen omdat je iedereen in je bedrijf volledig vertrouwt, hoeft de receptioniste niet per se hetzelfde toegangsniveau te hebben als de CEO. Je geeft een hotelgast immers ook geen loper voor alle kamers in het hotel. Geef gebruikers de minimaal benodigde toegangsrechten en zorg ervoor dat je meest waardevolle data goed opgeborgen is.
Tip 2: Microsegmentatie
We maken tegenwoordig geen gebruik meer van ophaalbruggen en kasteelmuren. En daar is een goede reden voor: ze geven een vals gevoel van veiligheid en werken juist onveilige situaties binnen de muren in de hand. Zodra een aanvaller je buitenste defensie infiltreert, is hij binnen en dan kun je je nergens meer verstoppen. Door je netwerk in te delen in lagen en op zichzelf staande omgevingen, blijft je hele systeem beschermd. Zo zorg je ervoor dat je toegangspunten nooit kwetsbaar zijn voor aanvallen. Verwaarloos je perimeter niet, maar vertrouw er ook niet blind op.
Tip 3: Encryptie
Zie versleuteling als het laatste wapen in je arsenaal tegen hackers. Alleen met cybersecurity zorgt het ervoor dat je hen altijd een stap voor bent. Wanneer al het andere faalt en je firewalls en toegangsprotocollen niet meer goed werken, zorgt encryptie ervoor dat alle kritieke data die je hebt opgeslagen, onbruikbaar is voor de indringers. Vergelijk het met een Rubiks kubus; die is ook vrijwel onoplosbaar als je de truc niet kent. Basale cyber-hygiëne betekent dat je je bestanden en data versleutelt voordat je ze deelt. Dat versleutelen geldt overigens ook voor netwerkverkeer wanneer dat mogelijk is.
Tip 4: Multi-factor-authenticatie
Van vingerafdrukscans tot en met gezichtsherkenning: security wordt steeds persoonlijker. Maar ook het implementeren van basale twee-factor authenticatie stopt de eerste golf aan inbraken effectief. Je duimafdruk is namelijk veel moeilijker te stelen dan je pincode. Hoe persoonlijker we worden bij de authenticatie, hoe veiliger onze netwerken worden.
Tip 5: Patching
Er is een goede reden dat systemen updates vereisen. Telkens wanneer malware nog geavanceerder wordt, reageren serviceproviders daarop met systeem- en software-updates. Blijf niet hangen in het verleden! Zorg voor de nodige updates en upgrades om aanvallers voor te blijven.
Het begrijpen van deze principes is één ding, maar het implementeren ervan is echt cruciaal. Iedereen in je organisatie moet begrijpen waarom cyber-hygiëne zo belangrijk is en, belangrijker nog, IT- en business-managers moeten weten hoe deze principes geïmplementeerd moeten worden. Goede cyber-hygiëne is eigenlijk net als het regelmatig wassen van je handen: het zorgt voor betere bescherming voor iedereen.