Kaspersky Lab: Security is geen kostenpost maar een investering

De klassieke uitdaging voor ICT-resellers was dat eindklanten securityproducten vaak zagen als een verzekering. Het is fijn om te hebben maar het risico is gewoon beperkt, zo was lang de gedachte. Dat beeld kantelt echter en security wordt steeds vaker gezien als strategische investering. Zo wijst onderzoek van Kaspersky Lab uit.

Het wordt steeds duurder om cyberdreigingen te bestrijden, terwijl de ICT-budgetten krimpen. Het gevolg is dat security een groter deel uitmaakt van het totale ICT-budget dan voorheen. Bij kleinere Europese bedrijven lag het securitybudget dit jaar rond de 15 procent van het totale ICT-budget, terwijl het een jaar eerder 12 procent was, zo blijkt uit het rapport ‘IT Security: Kostenpost of Strategische Investering’ van Kaspersky Lab.
Een degelijke stijging komt volgens general manager Martijn van Lom van Kaspersky Lab Benelux vooral doordat security ook op C-level als kritisch wordt ervaren. “Steeds meer Europese bedrijven zien security echt als een investering en niet als een lastenpost”, stelt Van Lom. “Dat komt door de verschillende grote uitbraken van ransomware die veel geld hebben gekost. Het is niet meer de vraag óf een bedrijf slachtoffer wordt, maar wanneer.”

Hoge kosten

Op zich is ransomware niet nieuw, maar het risico is volgens Van Lom wel een stuk zichtbaarder. Cybercriminelen richten zich met ransomware minder op consumenten en meer op bedrijven. Wie immers een fabriek kan platleggen, kan veel meer losgeld eisen dan door de familiefoto’s van Jan Modaal te gijzelen. De gemiddelde totale schade van een security-incident op een middelgroot bedrijf in Europa is bijna 73.800 euro maar kan oplopen tot ruim boven de ton (zie afbeelding). Bij enterprises geldt een tienvoud van die bedragen. “Daar komt bij dat een bedrijf dat slachtoffer is geweest het had kunnen voorkomen. Het lek waar Wannacry gebruik van maakte was al lang bekend en daar waren patches voor”, zegt Van Lom. Een element van schaamte komt dus ook nog eens om de hoek kijken.

IT Security Economics
IT Security Economics (Klik op de afbeelding voor vergroting)

‘Zelden krijgen medewerkers een training over sterke wachtwoorden’

Zorgplicht

Dat verhoogde bewustzijn wordt volgens Van Lom verder geholpen door de wetgever. Door wetten als de Algemene Verordening Gegevensbescherming (beter beken als GDPR) worden directies van bedrijven ook daadwerkelijk aansprakelijk gesteld voor ICT-incidenten. “Ze hebben een zorgplicht. Bovendien gaat het niet langer alleen om het geld.
Lekken moeten worden gemeld, dus de reputatieschade weegt nu ook zwaar mee. Directies kunnen niet meer het risico lopen om niet-compliant te zijn, dus staat het op een andere manier op de agenda.”

Voor ICT-resellers die securityproducten en -diensten verkopen, wordt de pitch daardoor eenvoudiger. Maar de partner heeft door de stijgende behoefte bij directies en de wettelijke eisen ook een grotere verantwoordelijkheid, zo vindt Van Lom. “Je moet ook echt kennis hebben en laten zien dat je die kennis hebt”, zegt hij. “Het gaat veel verder dan alleen werkplekbeheer.” Zo ziet Van Lom het nog steeds gebeuren dat security-suites wel netjes worden aangeschaft, maar niet altijd goed worden geïmplementeerd. “Vaak worden veel functies binnen de securitysuite uitgeschakeld omdat de eindklant bang is dat het ten koste gaat van de performance. Maar dat is niet meer zo. Je kunt bij pakketten rustig alles aanzetten zonder dat je vertraging krijgt. Het is aan de partner om de eindklant daarover goed de informeren.” Ook het sociale aspect is volgens Van Lom duidelijk belangrijker dan voorheen. “Het is belangrijk om trainingen op het gebied van awareness aan te bieden en trainingen voor werknemers over hoe ze zich moeten gedragen bij phishing”, noemt hij. “Je moet scherp zijn op social engineering. Dat zijn diensten die je als partner extra kunt aanbieden en een training is zo uitgerold. Dat een training waarde heeft, blijkt als er een cyberincident is geweest en een bedrijf een datalek moet rapporteren. Dan wordt gekeken of bepaalde zaken zijn geïmplementeerd. Een wetgever zal anders omgaan met een bedrijf dat alle medewerkers op training heeft gestuurd.”

Password managers

In veel gevallen gaat het om dingen waarvan we stiekem wel weten hoe ze werken. “Iedereen die een bedrijf binnen komt, krijgt een uitgebreide briefing over hoe je je ziek meldt en hoe je vakantiedagen opneemt. Maar zelden krijgen medewerkers een training over het creëren van sterke wachtwoorden”, zegt Van Lom. Gebruiksgemak (‘ik wil niet vijftien moeilijke wachtwoorden moeten onthouden’) is volgens hem ook geen punt meer, want daar zijn password managers voor.

Vertrouwen

Een groot deel van security hangt nog op vertrouwen. Dat heeft Kaspersky Lab het afgelopen jaar ook aan den lijve ondervonden. Als oorspronkelijk Russisch bedrijf is Kaspersky Lab verstrikt geraakt in discussies rond securityleveranciers en samenwerking met bepaalde overheden. “Ja, het wordt ook hier tijdens gesprekken ter tafel gebracht”, vertelt Van Lom. “Maar vaak gaat het om opsommingen zonder dat er feiten worden genoemd. Het zou bedrijfstechnisch voor ons heel raar zijn om gegevens door te sluizen naar inlichtingendiensten want als zoiets uitkomt is het gedaan met je bedrijf. We bestaan 20 jaar en als we onrechtmatig data zouden hebben doorgestuurd, dan was dat wel boven water zijn gekomen.”

Van Lom ziet dat partners nuchter blijven onder de berichtgeving. Dat wil Kaspersky Lab extra versterken met het Global Transparency Initiative. De broncode wordt met ingang van 2018 onafhankelijk beoordeeld, net als de softwareupdates en detectieregels. De ontwikkelingscycli bij Kaspersky Lab krijgen een assessment en er komt extra tooling voor databescherming. En ook gaat Kaspersky Lab zogenaamde Transparency Centers oprichten waar klanten en partners hun zorgen kunnen delen en zich vertrouwelijk kunnen informeren over hoe Kaspersky Lab te werk gaat. Van Lom wijst erop dat Kaspersky altijd al open kaart heeft gespeeld. “Partners kunnen altijd bij ons langs komen voor een vertrouwelijke briefing over wat we doen”, zegt hij.

contactgegevens kaspersky lab

[Dit artikel is eerder gepubliceerd in het Security Dossier 2017]

Lees het artikel hier in PDF