Informatie- en communicatietechnologie (ICT) en technologie in het algemeen zijn niet meer weg te denken uit het bedrijfsleven. Volledige processen vallen stil en bedrijfsdoelstellingen komen in gevaar bij het uitvallen van een internetverbinding of een ‘gegijzeld’ systeem. Harco Enting, general manager Kaspersky Lab Benelux, vertelt over de realiteit van risico’s en het belang van awareness.
Hoe belangrijk is ICT voor het bedrijfsleven anno 2018?
“De rol van ICT blijft groeien en de tijd dat het enkel werd ingezet om processen efficiënter te laten verlopen, is voorbij. Bedrijven zoals Uber en Airbnb zijn het bewijs van de nieuwe businessmodellen die op technologie gebouwd kunnen worden. Ze laten ook zien dat een bedrijf dat de ICT niet op orde heeft, links en rechts wordt ingehaald door bedrijven die het anders doen.”
Naast nieuwe bedrijfsmodellen, brengt moderne ICT veel gemak en mogelijkheden met zich mee qua communicatie, informatieopslag en data-analyse. Zijn er ook uitdagingen? “Uiteraard. Het is lastig om als bedrijf de snelheid van technologische ontwikkelingen bij te houden. Men heeft vaak een gebrek aan kennis en heeft moeite om het juiste personeel te vinden. Daarnaast gaat voor niets de zon op en vraagt het installeren, onderhouden en beveiligen van de juiste ICT-infrastructuur een financiële investering van het bedrijf. Die investering rondt men te vaak nog te veel naar beneden af. Wat uiteindelijk echter de grootste uitdaging vormt, is de mens. Van stagiairs tot de CEO, het gedrag van medewerkers kan het verschil maken tussen bedrijfssucces en faillissement ten gevolge van een veiligheidsincident.”
Harco Enting (foto: Stefan van Ruijven)
Wat is de top drie van cyberrisico’s waar bedrijven rekening mee moeten houden?
“Ransomware is er een. Deze gijzelsoftware ontzegt gebruikers toegang tot hun computers en belooft de blokkade op te heffen na betaling van losgeld. Daarnaast komt het in toenemende mate voor dat ongenode gasten achter de schermen gebruikmaken van de computercapaciteit van een bedrijf om hier cryptocurrency mee te mijnen. Tot slot zit ook de klassieke cybercrimineel niet stil. De phishing-e-mails die mensen ontvangen zijn steeds vaker niet van echt te onderscheiden.”
Hoe waarschijnlijk is het dat een bedrijf te maken krijgt met een veiligheidsincident?
“Uit een onderzoek onder 302 bedrijven in Nederland en België met meer dan tweehonderd en honderd werknemers respectievelijk, bleek onlangs dat zij gemiddeld eens per maand te maken hebben met een IT-veiligheidsincident. Slechts 7 procent gaf aan geen enkel incident ervaren te hebben in de twaalf maanden ervoor. Als je bedenkt dat de gemiddelde kosten voor een midden- of kleinbedrijf rond de 75.000 euro per incident liggen, valt een incident per maand zeker niet mee. De meeste bedrijven hebben echter maar beperkt zicht op deze kosten en de daadwerkelijke risico’s, waardoor men onvoldoende investeert in preventie.”
De financiële gevolgen kunnen dus substantieel zijn. Blijft het daarbij?
“Sommige bedrijven gaan aan de financiële gevolgen ten onder. Er zijn voorbeelden van bedrijven die failliet zijn gegaan vanwege ransomware. Dat benadrukt de rol van IT waar we het eerder over hadden: het is zo belangrijk geworden dat bedrijven omvallen wanneer de toegang ertoe wegvalt. Ook voor bedrijven die goede back-ups hebben of de financiële klap aankunnen, kunnen de consequenties groot zijn. Zo kan de opgelopen reputatieschade onherstelbaar zijn. In een steeds meer digitale wereld wordt vertrouwen steeds belangrijker. Alles wat daar ten koste van gaat, laat zich lastig kwantificeren. Het heeft echter zonder twijfel gevolgen voor het succes van het bedrijf.”
Zijn de ontwikkelingen op dit gebied bij te houden voor bedrijven?
“Het is een uitdaging. Een goed voorbeeld van de snelheid waarmee de markt verandert, zijn de updates die softwareproducenten voortdurend aanbieden aan gebruikers. Vroeger werd een softwarepakket ontwikkeld en volgde misschien eens per jaar een update. Tegenwoordig kan men op ICT-gebied na een week al achterlopen als het systeem onvoldoende wordt bijgehouden. De markt speelt daar wel op in, bijvoorbeeld door managed services aan te bieden waarmee bedrijven delen van hun ICT-onderhoud en beveiliging kunnen uitbesteden. Daarnaast groeit de aandacht voor het feit dat we productfabrikanten op de lange termijn verantwoordelijk moeten houden voor de functionaliteit en veiligheid van hun ‘slimme’ apparatuur. Apparaten en systemen die zijn aangesloten op het internet of things (IoT) zijn in steeds meer huizen en kantoren aanwezig.
Deze slimme airconditioning, deurbeveiliging of koelkast krijgen echter niet met de nodige frequentie updates, waardoor ze een veiligheidsrisico vormen voor de gebruiker. Zonder dat deze hier zelf iets aan kan doen.”
Wat kunnen bedrijven wél doen om veiligheidsincidenten zoveel mogelijk te voorkomen?
“Als het gaat om ICT-beveiliging, dan is menselijk gedrag uiteindelijk de zwakste schakel. Meer dan 80 procent van alle cyberincidenten wordt veroorzaakt door menselijke fouten. Met behulp van technologie en software kun je qua beveiliging een heel eind komen, maar zelfs ik zou in een phishing-e-mail kunnen trappen, als die maar goed genoeg is. Dat dit in de praktijk ook echt gebeurt, bleek eerder dit jaar toen de CEO van bioscoopketen Pathé haar baan kwijtraakte nadat ze een frauduleuze e-mail voor echt had aangezien. ICT-veiligheid is afhankelijk van het gedrag van iedereen binnen de organisatie, ongeacht hun functie. Dit onderkennen is de eerste stap richting het verminderen van risico’s. Dat gebeurt vaak nog wel, maar vervolgens wordt er onvoldoende doorgepakt. De tweede stap is daadwerkelijk actie ondernemen om het bewustzijn en de kennis omtrent cyberveiligheid bij alle werknemers te vergroten. Bedrijven die aandacht besteden aan awareness zien het aantal incidenten en de schade daarvan afnemen.”
Wat kunnen jullie betekenen op dit gebied?
“Wij bieden een aantal oplossingen om bedrijven te helpen dit bewustzijn naar een hoger niveau te tillen. Zo kan men bij ons terecht voor een eerste beoordeling van de cybersecuritycultuur, waarmee de huidige situatie in kaart wordt gebracht en aandachtspunten worden gesignaleerd. Zo nodig kan men vervolgens kiezen voor verschillende oplossingen op het gebied van security awareness. Met de Kaspersky Interactive Protection Simulation kan bijvoorbeeld worden nagebootst hoe de reactie van besluitvormers op cyberaanvallen invloed heeft op bedrijfsresultaten en inkomsten. Ook onze interactieve training rondom specifi ek gesimuleerde phishing-aanvallen kan het bewustzijn van werknemers helpen vergroten. Daarnaast kunnen bedrijven bij ons terecht voor Cybersafety Games: interactieve workshops waarin managers inzicht krijgen in de mentaliteit die nodig is om een veilige werkomgeving te handhaven. Onze filosofie is om werknemers met behulp van spelelementen kennis te laten maken met de risico’s. Eenmaal bewust van de risico’s, helpen we bedrijven nadenken over de cultuur en processen die hieraan bijdragen, alsmede de technologie. Wat passend is, verschilt per bedrijf. Iedereen heeft een virusscanner nodig, maar afhankelijk van de bedrijfsvoering blijft het daar zeker niet bij.”
| Meer informatie |
|---|
|
www.kaspersky.nl/security-awareness info@kaspersky.nl |
