Omgaan met een nieuwe wereld van cyberrisico's

Veel bedrijven hebben moeite om cyber kwetsbaarheden in kaart te brengen en zijn niet goed in staat risico's op te sporen of hun organisatie te beschermen.

TNederland is een wereldleider op het gebied van werkmethoden. Andere landen geven werknemers het wettelijke recht om hun werkgever te vragen of zij thuis mogen werken, maar Nederland is het enige land dat bij wet heeft bepaald dat werkgevers thuiswerken niet mogen weigeren, tenzij zij daarvoor een goede reden kunnen opgeven. Dit is het gevolg van de wetgeving die in juli door de Tweede Kamer van het Nederlandse Parlement is aangenomen.

Bedrijven in Nederland die verwachten dat de verschuiving naar thuiswerken tijdens Covid-19 van tijdelijke aard zal zijn, kunnen voor een verrassing komen te staan. Maar het personeel wil ook terug naar kantoor. Uit een recent onderzoek onder 5.300 Nederlandse werknemers in de financiële, zakelijke en overheidssectoren, bleek dat 70% een hybride aanpak wilde; slechts 20% wilde volledig thuis werken, terwijl slechts 10% de voorkeur gaf aan een terugkeer naar fulltime kantoorwerk.

Voor cyberbeveiligers levert deze verschuiving reële problemen op. Niet alleen wordt het beschermen van de organisatie tegen aanvallen gecompliceerder naarmate het personeel overgaat op werken op afstand, omdat er vaak gebruik wordt gemaakt van een mix van eigen IT-middelen en -infrastructuur en die van het bedrijf. Het andere probleem is van culturele aard - mensen zijn minder op hun hoede als ze thuis, in een café of op een terrasje werken; ze zijn minder alert op dreigingen en aanvallen en minder goed in staat om een collega snel iets te vragen over iets wat hen zorgen baart.

De snelheid waarmee de pandemie de wereld overspoelde, dwong veel organisaties zo snel te handelen dat zij niet in staat waren de beschermings- en risicobeperkende maatregelen te plannen die worden verwacht. In de meest recente Global Information Security Survey (GISS) van EY waarschuwde 81% van de leidinggevenden op het gebied van cyberbeveiliging dat hun organisaties door Covid-19 gedwongen werden cyberbeveiligingsprocessen te omzeilen.

Hoeveel van die organisaties hebben sindsdien met terugwerkende kracht moeten werken om beschermende maatregelen te installeren die zij liever vooraf hadden aangebracht? Een kort antwoord is niet genoeg. Veel bedrijven blijven worstelen met het in kaart brengen van hun beveiligingsproblemen. Ze hebben geen duidelijk zicht op hun endpoints; hun vermogen om bedreigingen in de organisatie te detecteren en te beschermen - laat staan om op bedreigingen te reageren.

Dit is verontrustend te noemen. Tegen een achtergrond van toenemende risico's zijn de vooruitzichten nog zorgwekkender. Te midden van toenemende geopolitieke spanningen zijn er in toenemende mate actieve cyberaanvallers. De plaag van ransomware blijft zich verspreiden.

Nederlandse bedrijven zijn vaak het doelwit van dergelijke aanvallen. De ophefmakende uitval bij het olieopslag- en -transportbedrijf Evos vorig jaar is slechts één voorbeeld van een dreiging. Zowel binnenlandse bedrijven als multinationals met activiteiten in Nederland liggen in de vuurlinie.

Dergelijke aanvallen veroorzaken grote zorgen in de directiekamer. Cybersecurity professionals kunnen verwachten dat besturen hun betrokkenheid zullen vergroten. Na vele jaren waarin cyberbeveiliging werd besproken op directieniveau, maar zelden strategisch en systematisch werd aangepakt, proberen directies nu meer inzicht te krijgen in wat er op het spel staat - en in de mate waarin hun organisaties beschermd zijn. Hoofdbesturen en adviesraden doen zelfs een beroep op gespecialiseerde opleidingen.