Het is een groot probleem onder de MKB’ers in Nederland, het onderschatten van de noodzaak van IT-beveiliging. De uitbraak van WannaCry heeft bewezen dat het probleem groter is dan gedacht en na deze maand te zijn bijgepraat over de laatste beveiligingstrends, voorzien wij een aantal pijnlijke lessen in het bedrijfsleven.
Het is niet in te schatten hoeveel geld het Nederlandse bedrijfsleven gaat verliezen door een waardeloze IT-beveiliging, maar dat het gaat gebeuren en in de honderden miljoenen euro’s gaat lopen, dat is wel duidelijk. Veel MKB’ers nemen IT-beveiliging niet serieus en denken nog steeds met Microsoft Security Essentials (of een andere consumentenoplossing) en een standaard router goed beschermd te zijn. Daarnaast wordt er ook vaak bezuinigd op degelijk IT-beheer, waardoor de backupprocedures te wensen overlaten en er totaal geen netwerkmonitoring plaatsvindt.
Feit is dat de risico’s elk jaar groter worden, de beveiligingsmarkt innoveert weliswaar ook, maar dat doen de hackers ook. De cybercriminelen en overheden worden namelijk ook steeds slimmer en beschikken over steeds geavanceerdere hacks en malware, en ze zijn niet bang om die ook in te zetten. Bedrijven moeten dus zorgen dat ze hun beveiliging op orde hebben.
De WannaCry-ransomware slaagde erin zich in rap tempo te verspreiden, uiteindelijk hebben de beveiligingsbedrijven snel en kordaat opgetreden tegen deze ransomware, waardoor de schade enigszins beperkt is gebleven. Feit is wel dat deze ransomware gebruik maakt van een zeer geavanceerde hack die is ontwikkeld door de Amerikaanse inlichtingendienst NSA. Wat nog opvallender is, is het tempo waarin de malware zich heeft verspreid, dat is duidelijk een nieuw record en de schade had dan ook veel groter kunnen zijn. Uiteindelijk zijn er tientallen nieuwe versies verschenen van deze malware, met als doel de malware nieuw leven in te blazen. De kans is groot dat dit nog maar een voorproefje was en we in de toekomst te maken gaan krijgen met veel hardnekkigere malware.
Breng je beveiliging op orde
Wij kunnen bedrijven alleen maar adviseren; neem IT-beveiliging en het beleid eromheen serieus. Probeer niet zoveel mogelijk erop te bezuinigen. Daarmee willen we ook niet zeggen dat bedrijven de hoofdprijs moeten betalen, allesbehalve.
Wel moeten bedrijven ervoor zorgen dat een aantal zaken goed zijn geregeld. Als je dit als ondernemer leest en een van de volgende vragen kan je niet met een “Ja” beantwoorden, besteedt er dan even aandacht aan.
- Binnen het bedrijf is elke computer voorzien van endpoint beveiligingssoftware;
- De bedrijfssmartphones zijn voorzien van een MDM-oplossing of alle zakelijke apps draaien in beveiligde containers zodat de data extra is beveiligd;
- Alle bedrijfsdata wordt elke dag geback-upt naar een externe locatie waar de pc’s van het personeel geen toegang toe hebben;
- Ons bedrijf beschikt over een geavanceerde (liefst Next Generation) firewall, waarmee het internetverkeer wordt gemonitord en mogelijk schadelijke IP-adressen worden geblokkeerd;
- Ons draadloos netwerk is goed beveiligd en niet iedereen kan zomaar bij onze bedrijfsdata;
- In de afgelopen zes maanden hebben we ons personeel nog gewezen op de gevaren van e-mail bijlages en obscure websites. Ze hoeven niet overal op te klikken.
De meeste bedrijven kunnen op deze zes vragen niet allemaal “Ja” beantwoorden, kan een bedrijf dat wel dan is de eerste beveiligingslaag redelijk goed geregeld. Afhankelijk van het type bedrijf, de gevoeligheid van bedrijfsdata kan het zinvol zijn om nog een paar stappen verder te gaan. Dit is echter een stukje maatwerk waarbij een IT-partner of interne IT-afdeling zou moeten kunnen adviseren.
Als er op veel of alle vragen een nee is geantwoord, dan is de kans op verlies van data door een hack of ransomware enorm groot. Het is dan echt tijd om wat te gaan veranderen en dat betekent investeren in goede apparatuur en software-oplossingen. Wat er precies aangeschaft moet worden is ook afhankelijk van het bedrijf en hoe afhankelijk het bedrijf is van de opgeslagen data. Het begint allemaal met een goede next generation firewall, dat kan eventueel in combinatie zijn met een router. Er zijn ook veel beveiligingsbedrijven die firewalls aanbieden in combinatie met een endpoint-beveiligingsoplossing. Voor een klein bedrijf is een endpoint-beveiligingsoplossing vaak voldoende, maar vanaf 25 werknemers is het eigenlijk al verstandiger om een appliance aan te schaffen in combinatie met endpoint en mobile protection, zodat de beveiliging naar een veel hoger niveau wordt getrokken. Daarnaast is het monitoren van de beveiliging van het bedrijfsnetwerk ook heel belangrijk, bijvoorbeeld het netwerkverkeer, alleen op die manier krijg je zelf een beter beeld van wat er in het netwerk gaande is en kan je eenvoudiger kwaadwillend verkeer herkennen.
Monitoring is vrijwel net zo belangrijk als de aanschaf van een beveiligingsoplossing. Een goed beeld hebben van je IT-netwerk is zeer waardevol. Wel is het zo dan geen enkele beveiligingsoplossing een 100 procent garantie kan bieden. Er kan altijd een zero-day beveiligingslek worden misbruikt die zo slim is dat bestaande oplossingen worden misleid. Daar komt het stukje backups en voorlichting om de hoek kijken. Met een goede backupprocedure kan data altijd worden teruggehaald en zal de downtime worden beperkt.
Voorlichting van werknemers is daarnaast ook erg belangrijk. We horen dit van steeds meer beveiligingsbedrijven. Dat het goed is om werknemers, liefst elke drie maanden, erop te wijzen e-mail bijlages te controleren. Word, Excel en PDF-bestanden kan je vaak gewoon openen, maar bestanden die verpakt zitten in een zipje of met .exe, .bat, .msi, .reg of andere extensies kunnen beter achterwege worden gelaten. Zeker als er bijlages worden ontvangen van onbekende personen is het goed om een keer extra te kijken.
We horen van beveiligingsbedrijven dat dit best een beetje grof of ludiek onder de aandacht mag worden gebracht. Zodat iedereen weer even scherp is. Stuur bijvoorbeeld een mailing uit met het onderwerp, “Deze maand geen vakantiegeld” of “Salaris komt wat later”. Elke werknemer zal deze e-mail waarschijnlijk binnen een uur wel gelezen hebben en daarin kan vervolgens worden uitgelegd hoe belangrijk het is dat werknemers opletten met wat ze openen. Dat de schade enorm groot kan zijn als dit wel een keer misgaat en het dan zou kunnen betekenen dat de personeelsafdeling geen salaris kan overmaken, maar dat dat deze maand gelukkig niet het geval is. Het is wat grof, niet zo netjes, maar het maakt werknemers wel bewust en dat is helaas heel belangrijk geworden.
We waren recent ook bij Citrix op bezoek tijdens de Synergy-conferentie in Orlando. Ook zij profileren zich nu veel meer als beveiligingsbedrijf en kunnen via partners diverse oplossingen aanbieden in de cloud, waarbij data veilig wordt opgeslagen en beveiliging zeer serieus wordt genomen. Natuurlijk moet dan nog steeds het laatste stukje op het endpoint worden beveiligd, maar de bedrijfsdata in de cloud is daarmee wel veiliggesteld. Voor sommige bedrijven kan dat ook een optie zijn. Zeker als er bijvoorbeeld nog gemigreerd moet gaan worden naar Windows 10 en er veel oude legacy-apps aanwezig zijn.