Vorig jaar organiseerde Link Magazine in samenwerking met cybersecuritybedrijf Fox-IT een rondetafeldiscussie over de kwetsbaarheid voor cybercriminaliteit. Voorafgaand deed Fox-IT bij de deelnemende bedrijven een snelle online check op lekken van passwords en andere vertrouwelijke informatie. Met onthutsende resultaten: zes van de zeven bedrijven ‘lekten’, vaak uit meerdere online bronnen. Het heeft ondernemers wakker geschud, zo blijkt uit een kleine rondgang een jaar later – wederom op basis van anonimiteit. ‘Het gaat om veranderingen managen en dat begint altijd met een urgentiegevoel.’
Data, geld en kennis nu beter beschermd
Een van de deelnemers spreekt van een ‘eyeopener’. ‘Geschrokken is een te groot woord, maar het heeft me wel getriggerd. We hebben meteen de onderneming bijeengeroepen en maatregelen genomen. Het gaat om veranderingen managen en dat begint altijd met een urgentiegevoel. Zo heeft iedereen een complex wachtwoord ingesteld, dat ook elke drie maanden moet worden veranderd.’ Een externe consultant bepaalde het cyberrisicoprofiel van het bedrijf en bracht advies uit. ‘Een probleem kan vaak liggen bij een eigen medewerker die gek gedrag gaat vertonen of van wie afscheid is afgenomen en die vervolgens data blijkt te hebben meegenomen naar de concurrent. We hebben daarom naar ons datamanagement gekeken en onze data verdeeld over een database met meerdere compartimenten, waartoe verschillende groepen medewerkers toegang hebben. Dat is beter dan één grote database waar iedereen bij kan. Het maken van back-ups pakken we nu ook beter aan.’ Voorts zijn procedures aangescherpt, zoals voor het vrijgeven van financiële transacties bij afwezigheid van de betreffende opdrachtgever. ‘Wanneer ik in het buitenland ben, worden er soms mails naar onze financiële administratie gestuurd die griezelig echt lijken en waarin ik zogenaamd vraag om snel geld over te maken.’ Een verrassende maatregel is getroffen ter verbetering van de kennisbescherming. ‘We zijn meer gaan patenteren. We beschermen onze knowhow nu meer met patenten en minder door geheimhouding middels cybersecurity.’
Penetratietest
Een van de andere deelnemers kijkt eveneens positief terug op de rondetafeldiscussie van vorig jaar en de check door Fox-IT die eraan voorafging. ‘Wij kwamen redelijk uit die check: schokkende dingen werden niet gevonden. Het ging vooral om de bewustwording; mede daardoor hebben wij enkele acties ondernomen. Zo hebben we een extern bureau gevraagd voor een security-analyse in de breedste zin van het woord; de offerte was echter nog niet naar onze zin. Wel laten we binnenkort een penetratietest uitvoeren.’ Daaruit moet blijken of onbevoegden in het computersysteem van het bedrijf kunnen komen. Die dreiging is een belangrijk aspect bij de invoering van een nieuw MES-systeem waaraan wordt gewerkt. ‘De partij die dat voor ons implementeert, is heel strikt: sommige dingen doen we wel, andere juist niet. Toegang tot onze server via de smartphone gaan we bijvoorbeeld niet doen, ook niet voor zoiets simpels als vrije dagen aanvragen. Collega’s die geen eigen pc hebben, kunnen daarvoor in het bedrijf terecht op bekabelde terminals. Het gaat misschien ten koste van het gebruiksgemak, maar we willen niet bepaalde poorten open laten staan, waardoor anderen van buiten makkelijker binnen zouden kunnen komen.’ Ook liet het bedrijf vanaf een extern adres een fake-mail versturen met een rare vraag naar het bankrekeningnummer van de medewerkers. ‘De helft van de mensen trapte erin. Gevolg was wel dat een paar weken later, bij een mail met een serieuze vraag van onze kant, opeens veel mensen reageerden: ‘Joh, dat gaan we niet doen.’’ Bewustwording geslaagd.
People, Process, Technology
Het beter beveiligen van it-omgevingen moet altijd verlopen langs de drie assen People, Process en Technology, zegt Marcel van Oirschot, commercieel directeur van Fox-IT, in een reactie. ‘Deze volgorde van stappen is zoals wij het qua prioriteit zien. Hierbij speelt de P van People een heel cruciale rol. Je kunt heel veel geld uitgeven aan Process en Technology, maar als je de menskant vergeet, is het zonde van de investering. Toch is die in securityprojecten heel vaak het ondergeschoven kindje. Waarschijnlijk is investeren in People niet cool en niet direct voldoende zichtbaar. Je kunt thuis het beste alarmsysteem hebben en de beste sloten, als niemand die gebruikt, ben je er niet veiliger door.’ Het bereiken van een optimaal securityniveau vergt dus gelijktijdig investeren op de drie pijlers. ‘Qua geld niet in dezelfde mate op alle drie, maar qua impact wel; alleen dan word je echt veiliger. Starten met een securityscan is een goede manier, waarbij het wel belangrijk is dat iedereen begrijpt dat dit slechts de eerste stap is. Je moet ook aan de slag met de uitkomsten van de scan en de zaken die de grootste impact hebben zo spoedig mogelijk oplossen.’