Zoals iedereen heeft ervaren is de digitalisering de afgelopen maanden in een stroomversnelling gekomen. Daarmee ook de security. Maar om welke security gaat het dan? Hoe zijn organisaties daar mee omgegaan? En met welke resultaten? Voor ons reden om te onderzoeken hoe het zit.
Dat wereldwijde onderzoek – Future of Secure Remote Work – levert om te beginnen een bevestiging op van wat in allerlei andere onderzoeken ook al is gesignaleerd: corona heeft in heel Europa het effect dat thuiswerken een permanent karakter zal krijgen. Een derde van de 600 organisaties die in Europa zijn ondervraagd, denkt dat na de pandemie meer dan de helft van hun werknemers thuis blijft werken. Opmerkelijk is dat organisaties in Europa beter dan in de andere werelddelen voorbereid waren op de plotselinge overgang naar thuiswerken.
Als we inzoomen op security ontstaat een ander beeld. Slechts 37% van de Europese respondenten heeft een sprong van 25% of meer in cyberdreigingen meegemaakt, dat is aanzienlijk lager dan het wereldwijde gemiddelde van 61%. Daarnaast zegt 17% van de Europese respondenten niet te weten of er überhaupt sprake is van een toename of afname van cyberdreigingen of -waarschuwingen. Dat is niet alleen zorgwekkend, het percentage dat het niet weet is ook veel hoger dan de ongeveer 5% in Amerika en Azië. Een belangrijker indicatie van de stand van zaken is dat iets meer dan de helft (52%) van de organisaties in Europa aangaf meer te zullen investeren in cybersecurity. Zonder inzicht is goede security kansloos. Laten we hopen dat die investeringen er in elk geval toe leiden dat organisaties wel weten wat er gebeurt.
Weten wat er gebeurt is bovendien essentieel als het gaat om de security bij de werknemers thuis. Daar staan geen slagbomen, recepties en toegangspasjes in de weg. Thuis gebruiken zij een laptop van het werk of gewoon hun eigen apparatuur. Two factor authenticatie-specialist Duo Security (onderdeel van Cisco) heeft daarover de afgelopen tijd geanonimiseerde gegevens verzameld in het 2020 Duo Trusted Access Report. Duo heeft gekeken naar 28 miljoen devices die door klanten voor het werk worden gebruikt en die samen maandelijks 700 miljoen authenticatieverzoeken genereren naar meer dan 500.000 applicaties.
Aan het begin van de coronacrisis viel het natuurlijk niet mee om werknemers van een bedrijfslaptop te voorzien. Dus werd eigen apparatuur gebruikt. Duo zag dan ook in maart een piek in het blokkeren van toegangspogingen door verouderde apparaten (‘die update komt morgen wel’). Die piek was in april al veel lager, wat duidt op het gebruik van apparaten die up-to-date en daardoor veiliger waren. In het verlengde hiervan zag Duo dat Apple apparatuur veel sneller een update kreeg dan Android-apparatuur. Met dat inzicht kunnen Android gebruikers nog eens aangespoord worden updates snel door te voeren.
Ook kwam boven tafel dat Windows 7 nog steeds gebruikt wordt, vooral in de zorg (door maar liefst 30% van de ondervraagden in de sector), ondanks dat deze versie al lang over zijn uiterste houdbaarheidsdatum is. Het (over)bekende argument is dat de zorg vanwege compliancy-overwegingen niet van Windows 7 verlost kan worden, maar dat zou toch zo onderhand geen argument meer mogen zijn. Verder ziet Duo dat SMS steeds minder gebruikt wordt voor two factor authenticatie – je weet immers niet of het toestel waarop de sms binnenkomt ook echt in handen is van de gebruiker. Biometrie wordt juist vaker gebruikt. Tachtig procent van de mobiele apparaten die voor het werk worden gebruikt krijgen toegang op basis van biometrie, vijf jaar geleden was dat nog 12%. Als dit nog wat verder doorzet hoeft er steeds minder op een wachtwoord vertrouwd te worden.
Alle technische maatregelen nemen niet weg dat mensen uiteindelijk de sterkste(!) schakel kunnen zijn in elke verdediging. Zij houden de deur dicht als ze weten voor wie en hoe. Alleen gebeurt dat niet vanzelf. Organisaties moeten blijven werken aan de securitybewustwording van hun werknemers. En dan niet één keer per jaar omdat het nu eenmaal moet, maar geregeld want er zijn altijd weer nieuwe dreigingen. Alleen dan kan security deel gaan uitmaken van de cultuur, op dezelfde manier als in het fysieke verkeer, waar we hebben geleerd goed uit te kijken en zijn we ons bewust uit welke hoek het gevaar kan komen.