Onlangs was er het eerste succes van het No More Ransom Platform. Dit is het samenwerkingsverband van de Nederlandse politie, Europol, Intel Security en Kaspersky Lab. Een WildFire command and control-server werd offline gehaald. Hierbij werden bijna 5800 decryptiesleutels bemachtigd, waarvan drieduizend voor Nederlandse en 2100 voor Belgische infecties. Beveiligingsvraagstukken zijn actueler dan ooit. Een goede samenwerking tussen overheid en bedrijfsleven is essentieel in de strijd tegen cybercriminaliteit. Maar ondanks de recente overwinningen, blijft er nog genoeg braakliggend terrein te veroveren op het gebied van security.
Ransomware is een fenomeen dat bijna iedereen wel een keer tegenkomt. Dat kan in de werksituatie zijn of privé. Het is symptomatisch voor een dieperliggend probleem met betrekking tot beveiliging: de beveiligingskennis van de eindgebruiker. Of het nou om ransomware gaat, of om gestolen wachtwoorden. Om gehackte servers of om rondslingerende harddisks. Veel van de datalekken die we in het nieuws zien, worden veroorzaakt door eindgebruikers die niet goed op de hoogte zijn van de digitale gedragsregels van de organisatie waar zij voor werken. En dat is niet zo heel vreemd, wanneer je bedenkt dat er bij de meeste bedrijven een grote kloof zit tussen de IT-afdeling en de rest van de organisatie.
De menselijke factor
De mensen die op de IT-afdelingen van onze bedrijven werken, zijn zich bewust van de menselijke factor in de beveiliging van hun netwerken. Ze gaan er echter vaak ten onrechte vanuit dat veilig gedrag gesneden koek is voor hun minder digitaal onderlegde collega’s. Zo kan het gebeuren dat er een volledige beveiligingsinfrastructuur wordt aangelegd, de organisatie trots mededeelt dat ze ISO 27001 gecertificeerd is, maar vervolgens verzuimt de medewerkers te vertellen wat er precies van hen verwacht wordt.
Bijvoorbeeld dat zij zorgvuldig om dienen te gaan met hun mobiele apparatuur wanneer zij zich buiten de bedrijfsmuren bevinden, dat ze toestemming moeten verlenen om hun apparaten op afstand te wissen bij diefstal of verlies, of dat ze hun laptops met een wachtwoord moeten beveiligen wanneer ze in een lunchroom zitten en even naar het toilet gaan. Dit soort digitale hygiëne is ons helaas niet aangeboren. De medewerker zelf leeft in de veronderstelling dat de IT-afdeling de beveiliging wel op orde heeft en dat er van hem geen verdere actie wordt verlangd.
Spraakverwarring
Het probleem zit vaak verankerd in de structuur van de organisatie. Heeft een bedrijf wel een IT-manager, maar geen Chief Security Officer, dan is het moeilijk om een brug te slaan naar de rest van de organisatie. De IT-manager is namelijk vaak geen onderdeel van het managementteam, maar rapporteert aan de financiële afdeling. En dan wordt het moeilijk om een organisatiebrede discussie over beveiliging op gang te brengen.
Juist die discussie is essentieel. Er wordt namelijk heel veel langs elkaar heen gepraat. Dat zorgt voor een verkeerde interpretatie van het fenomeen beveiliging en de oplossing van het beveiligingsprobleem. De spraakverwarring begint al bij de term ‘security’. Hebben we het over netwerk-security? Firewalling? Het beveiligen van de servers? Het beveiligen van virtuele omgevingen? Dat zijn allemaal zaken die met de infrastructuur te maken hebben en technologisch van aard zijn. Of hebben we het over het beveiligen van informatie? Het beveiligen van de mensen die met die informatie omgaan? Wanneer we blijven hangen in de algemene term security, dan missen we de diversiteit die erachter schuilgaat.
De digitaal zindelijke generatie
Digitale veiligheid is een belangrijk onderwerp. Tegenwoordig wordt maar liefst vijftien tot twintig keer de winst betaald wanneer je een bedrijf overneemt dat zich met security bezighoudt. Ter vergelijking: wanneer je een ‘normaal’ IT-bedrijf wilt overnemen, betaal je slechts vier tot vijf keer de winst. De snelle digitalisering zorgt voor veel nieuwe beveiligingsuitdagingen. En dankzij de mobiliteit van onze medewerkers zijn er de afgelopen tijd enorm veel toegangspunten bijgekomen.
Het informeren over de gevaren van de digitale wereld zou eigenlijk al op het basisonderwijs moeten beginnen, willen we dat veilig gedrag onze tweede natuur wordt. Denk bijvoorbeeld aan digitale hygiëne klasjes, waar kinderen leren hoe ze op een veilige manier met hun digitale schaduw om moeten gaan. Maar tot we deze digitaal zindelijke generatie op de werkvloer mogen verwelkomen, moeten we de onwetendheid onder onze medewerkers zelf zien te bestrijden, door goede voorlichting te geven en door de kloof tussen IT en de organisatie te overbruggen.
Blijf als IT-organisatie daarom de boodschap rondom verantwoordelijkheid (oorzaak-gevolg) herhalen richting gebruikers en medewerkers. Test het veiligheidsbewustzijn regelmatig, bijvoorbeeld door vanuit de eigen IT-organisatie test-mails mails te sturen met links die niet geopend mogen worden. Meet de potentiële schade en koppel dit terug aan je medewerkers. Betrek ook de juridische afdeling bij de bewustwordingscampagne om duidelijk de regelgeving uit te leggen en de gevolgen van onwetendheid inzichtelijk te maken. Met dit soort maatregelen kunnen we de goedwillenden helpen om goed gedrag te vertonen.
Mark-Peter Mansveld is Area Vice President voor de Benelux bij RES
