Blog Daan Keuper
Meer grip op de online veiligheid van je bedrijf? Laat meer los
Het gebruik van privé-e-mail voor werkgerelateerde zaken of het installeren van andere applicaties om de klus sneller te klaren, zijn eerder regel dan uitzondering, zo schrijft cybersecurity-expert Daan Keuper in deze blog. Grip hierop houden is als ondernemer lastig, maar niet onmogelijk. Hoe doe je dat? 'Door, hoe gek het ook klinkt, meer los te laten.'
Afbeelding ter illustratie, persoon komt niet in het verhaal terug. Bron: Shutterstock.
Daan Keuper
Security-expert
Daan Keuper is security-expert, ethical hacker en hoofd van Sector 7, de research-divisie van Computest waar diepgaand technisch onderzoek wordt gedaan naar kwetsbaarheden. Keuper won al drie keer de internationale hackcompetitie Pwn2Own door Zoom te hacken, een iPhone 4S te kraken en kwetsbaarheden in industriële systemen aan te tonen. Ook legde hij kwetsbaarheden bloot bij de Volkswagen Groep. Vanuit zijn kennis en praktijkervaring weet Keuper welke (interne en externe) kwetsbaarheden het grootste gevaar vormen voor organisaties en de maatschappij en heeft hij een duidelijke mening over hoe hiermee zou moeten worden omgegaan.
Als ondernemer of security-verantwoordelijke is het lastig, zo niet onmogelijk, grip te houden op risicovol gedrag van medewerkers. Het opleggen van maatregelen maakt het ook lang niet altijd veiliger. Medewerkers vinden bovendien vaak manieren om deze te omzeilen.
Zeker met het stijgende aantal cyberaanvallen staan ondernemers dan ook voor een grote uitdaging: hoe houd je kwaadwillenden buiten de deur? Een logische impuls is om de boel dicht te timmeren en een pakket maatregelen en beperkingen op te leggen, waardoor risico’s zoveel mogelijk worden beperkt. Dit is ook wat je vaak in de praktijk ziet, maar waardoor bijna onwerkbare of tijdrovende situaties ontstaan waarin mensen andere oplossingen gaan gebruiken die de situatie juist onveiliger maken.
Schijnveiligheid online security
Zo zie ik in de praktijk dat bedrijven complexe wachtwoordregels hanteren, veel gebruikte apps blokkeren en vergaande instellingen afdwingen. Dit geeft echter een manier van schijnveiligheid. Medewerkers willen toch hun werk kunnen uitvoeren op een manier die voor hen het prettigst is. Hiervoor gaan ze bijvoorbeeld bestanden delen met hun privé-apparaten, om ze verder te kunnen bewerken. Zo komen zakelijke bestanden op hele andere plekken terecht met alle risico’s van dien en werkt de maatregel contraproductief.
Om effectieve en doeltreffende maatregelen te treffen, zou je moeten starten met het kijken naar de werkprocessen. Zorg er altijd voor dat mensen prettig kunnen blijven werken en bied gebruiksvriendelijke alternatieven als toepassingen worden verboden. Bijlagen van e-mail zijn inderdaad een belangrijke bron van malware, maar beperkingen instellen voor het downloaden hiervan is geen werkbare maatregel.
Lees ook: Cyber-aanval voorkomen? Focus je op de voorbereiding
Onderzoek liever hoe je het installeren van malware zo vroeg mogelijk kunt detecteren of hoe je de gevolgen ervan kunt beperken en het zo weinig mogelijk mensen raakt. Zo is een ransomware-infectie doorgaans een langdurig proces. Hierbij zijn aanvallers maanden in je netwerk bezig om beheerrechten te krijgen, backups uit te schakelen en data buit te maken. Dit zijn allemaal momenten waarop je de aanval al had kunnen detecteren.
Door alternatieven aan te bieden en veel systematischer met security om te gaan, voorkom je dat mensen elders oplossingen gaan zoeken of zelfs hele IT-projecten gaan uitbesteden waarmee je de controle en het zicht op risico’s helemaal kwijtraakt.
"Het risico van het omzeilen van de maatregel zou wel eens groter kunnen zijn dan het originele risico dat je probeerde te reduceren"
Acceptabele risico’s online veiligheid
Een 100 procent veilige omgeving creëren is helaas onmogelijk. Daarom is het ook belangrijk te kijken naar welke risico’s acceptabel zijn. Vaak worden met zwakke argumenten de verkeerde maatregelen genomen, omdat risico’s niet goed worden ingeschat. Aan het begin van de pandemie ontstond bijvoorbeeld paniek omdat er kwetsbaarheden in Zoom werden gemeld. Bedrijven verboden medewerkers de applicatie nog te gebruiken en stapten massaal over naar andere oplossingen. Als je echter realistisch kijkt naar het risico van de kwetsbaarheden die zijn gevonden, dan is dit voor het gemiddelde bedrijf nooit heel groot geweest.
Het is dus zaak om goed na te denken over het introduceren van beveiligingsmaatregelen die van invloed zijn op het gebruiksgemak. Bedenk welk risico het omzeilen van deze maatregel door medewerkers met zich meebrengt, en neem dit risico ook mee in je overwegingen waarom je een bepaalde maatregel wil treffen. Het zou namelijk kunnen dat je concludeert dat het risico van het omzeilen van de maatregel wel eens groter kan zijn dan het originele risico dat je probeerde te reduceren. In dit geval kun je beter op zoek naar een andere maatregel die minder ingrijpend is, of misschien zelfs wel het originele risico accepteren.
Lees ook: INretail luidt noodklok: 'Cyberveiligheid in retail moet omhoog'
Verder kun je ook relatief eenvoudig security verbeteren door in de organisatie te kijken naar de specifieke eisen en het beleid voor wachtwoorden. Vaak moeten er ingewikkelde wachtwoorden worden bedacht die eens per 90 dagen moeten worden gewijzigd. Een veel gebruiksvriendelijker alternatief is het geven van een wachtwoordmanager. Door mensen een korte training te geven in het gebruik hiervan heb je een makkelijker middel om bedrijfsaccounts veilig te houden.
Business en techniek samen verantwoordelijk
De digitale veiligheid van een organisatie bewaken is niet eenvoudig. Zeker omdat het niet altijd makkelijk is de risico’s te vertalen naar iets wat iedereen snapt. Om alle belangen goed te dienen zijn er idealiter twee verschillende mensen verantwoordelijk voor security, zowel iemand vanuit de business als iemand vanuit de techniek (de laatste persoon kan ook een externe specialist zijn). Zo kun je samen inzichtelijk maken welke risico’s de business echt raken en met de juiste maatregelen zorgen dat de organisatie weerbaarder wordt. Daarmee kun je security zelfs inzetten om de business te helpen groeien, met meer grip en zonder security-obstakels.
