Nog kwalijker dan onvoldoende aandacht voor cybersecurity is een onterecht vertrouwen dat alles goed geregeld is. “Blijf testen, laat audits doen en train je personeel steeds weer. Daarmee voorkom je al een hoop ellende”, aldus Bart Jacobs, Commercieel Directeur bij Claranet Benelux.
Bart Jacobs
In deze editie van ChannelConnect publiceren we verslagen van twee Grotetafelgesprekken die security als onderwerp hebben. Bij beide discussies hoopten deelnemers dat NIS2, de regelgeving die volgend jaar wordt ingevoerd, een positief effect heeft op het securitybewustzijn bij ondernemingen. “NIS2 verplicht ondernemingen, waaronder MSP’s, niet alleen maatregelen te nemen, maar ook een beveiligingsstrategie op te zetten en de maatregelen te testen,” legt Bart Jacobs, Commercieel Directeur bij Claranet Benelux, uit. “Het belang van die laatste twee elementen mag niet onderschat worden. Veel organisaties denken alles goed voor elkaar te hebben, maar opereren op basis van schijnveiligheid.”
Vier elementen
Jacobs onderscheidt vier elementen die voor schijnveiligheid zorgen. “Laten we beginnen met de zogenaamde kwetsbare schakel, de medewerkers. Mensen overschatten zichzelf als het gaat om het kunnen herkennen van malware.” Daarnaast wordt te vaak vertrouwd op de kennis van de IT-er in dienst of de vaste IT-partner die wordt ingehuurd. Ten derde zijn er inmiddels cyberverzekeringen, maar blijkt na een incident dat de polis veel minder dekt dan bedrijven meenden. “Tot slot zijn veel gevaren onvoldoende zichtbaar. Denk aan schaduw-IT, maar ook aan kwetsbaarheden in software die wordt afgenomen.”
Het begint met testen
“Op het moment dat je zeker wilt weten of je wel of niet op basis van schijnveiligheid opereert, zul je moeten testen. En niet af te toe, maar regelmatig,” is de stellige mening van Jacobs. “Dan kom je tot inzichten en ontdek je echt de kwetsbaarheden.” De Commercieel Directeur benadrukt dat de medewerkers van Claranet echt vaak bij organisaties komen die ervan overtuigd zijn alles goed geregeld te hebben. “En dat valt dan tegen.”
Met behulp van audits en pentesten kun je echt veel ontdekken, zo komt schaduw-IT aan het licht, ontdek je patches die nog niet zijn doorgevoerd en blijkt ook dat software van derde partijen die gebruikt wordt niet feilloos is.
Net als bij het Grotetafelgesprek geeft Jacobs ook nu aan, dat ook een MSP niet altijd alle kennis in huis kan hebben. “Wij werken zelf ook samen met een partner. Dat is in ons geval S-RM, een specialist op het gebied van Incident Response. Ik zou alle partners de tip willen geven om te kijken wat je zelf tekortkomt en dan dergelijke samenwerkingen aan te gaan.”
Je zult moeten testen of je wel of niet op basis van schijnveiligheid opereert
AI om medewerkers te trainen
Dat brengt het gesprek op de medewerkers. “De schijnveiligheid daarbij is, dat we van onszelf vaak overtuigd zijn nooit in een malware-truc te trappen. Het zijn echter beslist niet de minsten in een organisatie die bijvoorbeeld CEO-fraude te laat herkennen.” Dat is op zich geen reden tot schaamte, want de malware is inmiddels heel geraffineerd. “Maar wie de medewerkers niet heel regelmatig confronteert met ‘nep-malware’ gegenereerd door een trainingsplatform, vraagt in zekere zin om problemen.” Een oplossing als KnowBe4, bijvoorbeeld, gebruikt AI om medewerkers berichten te sturen die werkelijk nauwelijks van echt te onderscheiden zijn. “En cybercriminelen gebruiken die AI-technologie ook. Het blijft een race tussen de ‘good’ en de ‘bad guys’. En waar we de medewerkers soms ‘de kwetsbare schakel noemen’: de medewerker die goed getraind is, maakt het verschil en is ineens de sterkste schakel. En veelal je laatste verdedigingslijn.” Het geeft geen garantie dat er geen incident kan gebeuren, maakt Jacobs duidelijk, “maar de kans wordt echt een stuk kleiner.”
We zijn van onszelf vaak overtuigd dat we nooit in een malware-truc trappen
Incident Response
Tot slot gaat Jacobs in op Incident Response en verzekeren. Op zich geen onlogische combinatie, want in zekere zin blijkt het nut van een verzekering op het moment dat je moet reageren op een incident. “In het geval van een verzekering is in veel gevallen de pure hardware-schade gedekt. De data op die hardware vertegenwoordigen doorgaans echter een veel grotere waarde.” Ook imagoschade en kosten die gepaard gaan met het stilliggen van een productielijn kunnen doorgaans niet doorgegeven worden aan de verzekeraar.
Jacobs: “De verzekering leidt zo tot schijnveiligheid en is de reden dat wij samenwerken met een externe partij die gespecialiseerd is in Incident Response,” meldt Jacobs. “Die werken op basis van een retainer-contract. Als je als onderneming met hen een relatie aangaat, dan betaal je een vast bedrag per jaar.” Dat geld ‘verdwijnt’ niet als er geen aanval zou zijn. “Dan kun je dat inzetten voor een audit, training of advies.”
De kracht van een relatie met een securitypartner die sterk is in Incident Response ligt in het feit dat ze direct voor je klaarstaan in geval van nood. “Binnen een uur gaan ze aan de slag. Ze onderhandelen, indien sprake is van ransomware, met de aanvallers en zorgen ervoor dat malware zich niet verder kan verspreiden. Zo’n retainer is dan een veel betere vorm van veiligheid waarop je wel kunt bouwen.”
De medewerker die goed getraind is, maakt het verschil en is ineens de sterkste schakel
