Cybersecurity in 2021: “If it ain’t fixed, they’ll break it’
Cybercriminaliteit is in een rap tempo gestegen door de coronacrisis. Want ook hackers en andere kwaadwillenden zitten als gevolg van de coronacrisis om omzet verlegen. De World Health Organisation (WHO) zei in april al dat er vijf keer vaker melding werd gedaan van cybercrime, in vergelijking met dezelfde periode een jaar eerder. De FBI schat de situatie iets zachter in: vier keer méér pogingen tot digitale misdaad, aldus een bron tegen tech-website ZDnet.
Één mogelijke verklaring voor de piek in cyberaanvallen komt voort uit de angst voor alles dat met corona te maken heeft. Internationale veiligheidsorganisatie Interpol zegt dat cybercriminelen aan corona gerelateerde URL’s vastleggen en applicaties voor corona ontwikkelen om zo het vertrouwen van nietsvermoedende mensen te winnen, en via de achterkant malware op hun computers te installeren.
“If it ain’t fixed, they’ll break it’
Proactieve benadering
Bedrijven doen er goed aan te accepteren dat ze een doelwit zijn voor cybercriminelen. Ik zie nog steeds ondernemingen die denken dat het voldoende is eenmalig een virusscanner te installeren, maar dat geldt allang niet meer. Ontwikkelingen in cybercrime zijn constant in beweging. De beveiliging van nu is over een paar weken niet goed genoeg meer. Bedrijven moeten als je het mij vraagt proactief met hun beveiliging bezig zijn en er niet achteraf achter komen dat de deur openstond. Dan is het te laat. Want ‘if it ain’t fixed? They’ll break it’.
Sommige bedrijven zien de noodzaak van een goede IT-beveiliging wel in, maar weten niet waar ze moeten beginnen met het implementeren van een goede veiligheidsstrategie. Zij denken dat er enorme investeringen nodig zijn. In dit stuk zet ik een paar misverstanden over cybersecurity op een rijtje.
1. Een aanval is niet te voorkomen, maar ik heb aan een goede back up genoeg
Het is gemakkelijk te denken dat een extra kopie van al je bestanden je beste wapen is tegen schade door cybercrime. Het probleem is echter dat zogenaamde ‘ransomware attacks’, waarbij criminelen achter je bestanden aangaan voor losgeld, vaak bij de back-ups beginnen. Dat gebeurde eind 2019 ook in Maastricht, waar de universiteit van die stad ongeveer twee ton aan losgeld betaalde om weer toegang tot z’n servers te krijgen.
Bij die aanval drongen hackers ook eerst de back-up servers binnen. Toen zij die in handen hadden, braken ze pas in aan de voorkant van het systeem. Op die manier gaan er ook pas alarmbellen rinkelen als het eigenlijk al te laat is. Dus natuurlijk is het verstandig en zelfs noodzakelijk om back-ups van je bestanden te hebben. Maar denk niet dat daarmee de risico’s van een aanval zijn geminimaliseerd.
2. Door het tekort aan IT’ers is het personeel onbetaalbaar
Ook tijdens de coronacrisis bleek dat de markt blijft kampen met een tekort aan IT’ers. Business Insider schrijft dat vakbekwame technici daarom steeds hogere eisen stellen aan hun werkgever. Dit maakt het voor kleinere bedrijven haast onmogelijk een IT’er in dienst te nemen. Dat maakt het echter niet onmogelijk van vakkundig personeel gebruik te maken.
Steeds meer bedrijven besteden hun cybersecurity uit aan derden. Op die manier kunnen zij experts flexibel inzetten, hun diensten opschalen en inkrimpen indien nodig, en zijn ze toch verzekerd van beschikbaarheid van actuele kennis.
3. Mijn bedrijf is te klein, ik ben geen doelwit
Zie de digitale huishouding van je bedrijf als de fysieke inboedel van een pand. Natuurlijk zou een dief het liefst inbreken in de databank van een grote bank of overheidsinstelling. Maar geloof me: als zij hun zaken op orde hebben en als ook jouw concurrenten de boel op slot hebben, komen de cybercriminelen uiteindelijk bij een bedrijf uit zonder goede security.
Voor hen is een kleine vangst nog altijd beter dan géén vangst. In 2018 schreef CMweb al dat vijftig procent van de kleine bedrijven een aanval had meegemaakt. Tel daar de impact van corona bij op en besef je dat jouw bedrijf óók de aandacht van cybercriminelen heeft.
4. Er zijn enorme investeringen nodig om mijn zaak digitaal goed te beveiligen
Grote investeringen zijn niet alleen onnodig voor een goede beveiliging, ze zijn zelfs af te raden. Met een gemiddelde afschrijfperiode van drie tot vier jaar is de essentiële hardware voor een goede cyberbeveiliging vaak al lang verouderd, vóór hij vervangen wordt. Dat wil zeggen dat je met eigen middelen vaak een jaar of twee ‘goed’ zit, maar daarna heeft de nieuwste technologie van cybercriminelen je hardware ingehaald.
Mijn advies is daarom om security ‘As-a-Service’ af te nemen. Door beveiliging als een dienst af te nemen ben je verzekerd van up-to-date hard- en software en kun je de contractueel de voorwaarden vastleggen waaraan je te allen tijde wilt voldoen. Je kunt met security-as-a-service precies de mate van veiligheid afnemen waar je op dat moment behoefte aan hebt, om zo flexibiliteit in je boekhouding te houden én je te focussen op waar je echt energie van krijgt: je bedrijf.
Online beveiliging van je onderneming is niet langer optioneel, ongeacht de grootte van je bedrijf of bedrijfsomzet. Zodra je data in beheer hebt, ben je meteen interessant voor cybercriminelen. Dat klinkt enger dan het is. Door in gesprek te gaan met een expert zal je als ondernemer zien dat je geen IT’er hoeft te zijn om je website en computer potdicht te krijgen, en dat een website ‘op slot’ zetten zo gemakkelijk kan zijn als een deur achter je dicht trekken.
Whitepaper
Lees in deze whitepaper "Financieren heeft de toekomst" hoe financieren toegang geeft tot de technologie die nu nodig is, waardoor je kan blijven groeien en je de concurrentiepositie van de organisatie verder verstevigt.
Econocom;
een kwestie van economisch denken.
Auteur: Hans de Waard, Manager AV&IT Services bij BIS|Econocom