Branded Content
Branded Content XTR Branded Content is de commerciële content op nrc.nl. De inhoud valt buiten de redactionele verantwoordelijkheid van NRC Media.

Zo voorkom je een hack

Cybercriminaliteit is ‘hot’. Het nieuwe kabinet stelt 26 miljoen beschikbaar om het te bestrijden. En volgens het Openbare Ministerie zal in 2021 de helft van alle misdaad te herleiden zijn naar cybercrime. Hoe kun je het voorkomen?

Of cybercrime echt toeneemt, is lastig te onderzoeken zegt Lieuwe Jan Koning, oprichter en CTO van cybersecurityspecialist ON2IT. “Wel kun je stellen dat de impact van aanvallen groter is: de schade neemt toe. Daardoor staat het ook meer in de belangstelling.” Een aantal factoren speelt daarin een rol. “Hackers worden slimmer, ook omdat het loont om in te breken op systemen. Denk aan de opkomst van ransomware. Tegelijkertijd zorgt flexibel werken ervoor dat data steeds meer buiten het ‘fort’ van het traditionele bedrijf komen, wat de kwetsbaarheid vergroot. Tot slot worden veel organisaties wakker geschud door de wet GDPR (AVG), strengere wetgeving op het gebied van het beschermen en verwerken van persoonsgegevens. De wet is al in werking getreden, maar vanaf mei 2018 worden bedrijven geacht volledig hieraan te voldoen.”

Werkplekken beveiligen

Reden genoeg dus om na te denken over bescherming van data, zeker in combinatie met flexibel werken. De werkplek staat daarin centraal. Koning: “Je kunt grofweg een verdeling maken in werkplekken met en zonder data: bevinden de gegevens waarmee je werkt op je laptop en/of mobiel of in de cloud? In alle gevallen is het zaak aandacht te besteden aan de veiligheid van onlineverbindingen. Openbare wifinetwerken zijn handig, maar ook onveilig. Dat kun je ondervangen door het device meteen na het inloggen op zo’n netwerk onderdeel te maken van het bedrijfsnetwerk. Daarmee sla je als het ware een veilige brug naar je organisatie. Maar ook zaken als wachtwoordbeheer en diskencryptie zijn belangrijk om te voorkomen dat gegevens van gestolen laptops of smartphones kunnen worden gehaald.”

Net als inbrekers

“Werkplekken met data hebben een betrekkelijk hoog risiconiveau”, vervolgt Koning. “Daarom kiezen veel organisaties voor werkplekken zonder gegevens. Daarbij is het belangrijk om aandacht te besteden aan het authenticatieproces: hoe loggen medewerkers veilig in op het bedrijfsnetwerk? De veiligste optie is multifactorauthenticatie. Dat kennen we allemaal van internetbankieren.” In de praktijk betekent flexibel werken vaak een combinatie van beide werkplekken: je werkt bijvoorbeeld meestal in de cloud, maar bent ook weleens offline aan het werk aan een document, bijvoorbeeld op een locatie zonder wifi. Daarom is het zaak om op verschillende fronten maatregelen te treffen. Honderd procent veiligheid is onmogelijk – en onwerkbaar, zegt Koning. Wel kun je het percentage van veiligheid zo hoog mogelijk maken door continu te innoveren op het gebied van veiligheid. “Net als inbrekers kiezen hackers doorgaans voor locaties met de slechtste beveiliging.”

Lieuwe Jan Koning: “Veel organisaties maken het moeilijk om binnen te komen op het netwerk. Maar als je eenmaal binnen bent, dan kun je alles.”

 

Zero Trust: geen blindelings vertrouwen

Het klinkt allemaal heel logisch. Waarom gaat het dan soms toch zo spectaculair mis? Koning: “De grote hacks die in het nieuws komen, zijn vaak begonnen op relatief onbelangrijke systemen. Veel organisaties kiezen er namelijk voor om het erg lastig te maken om binnen te komen op het netwerk. Maar als je eenmaal binnen bent, dan kun je alles. Dat is een gevaarlijke benadering.” Koning gaat liever uit van het Zero Trust-model. Gevoelige datasets worden dan separaat afgeschermd, zodat niet iedereen toegang heeft tot bijvoorbeeld de financiële bedrijfsgegevens of medische gegevens van patiënten. “Net zoals de watermanagement van Nederland niet alleen afhangt van sterke dijken langs de kust, maar ook een netwerk van dijkringen kent, zo moet je ook de beveiliging van je netwerk regelen”, aldus Koning.

Maak van veiligheid een prioriteit

Hoewel de aandacht voor veiligheid groeit, speelt het in de meeste bedrijven nog geen centrale rol in de bedrijfsvoering. Daardoor wordt er soms pas echt aandacht aan besteed als het al te laat is en het kwaad al is geschied. “Dat is alleen al vanwege de hogere kosten doodzonde”, zegt Koning. Hij is er dan ook een groot voorstander van om veiligheid een vaste plek te geven in de organisatie, door middel van security oppositie. “Benoem hiervoor iemand die meekijkt en op de rem trapt als de organisatie omwille van snelheid of kosten veiligheidsprocedures even in de ijskast dreigt te zetten. maar ook een gespecialiseerd bureau, dat volledig op de hoogte is van de laatste ontwikkelingen. Vreemde ogen dwingen immers. Dan is veiligheid up to date en top of mind. En hoef je achteraf nooit te zeggen: ‘We wisten niet dat dit kon gebeuren!’”

Vrijheid werkt

“Veiligheid begint met een beleid – het liefst vastgelegd – waarin techniek, processen en gebruikersgedrag worden beschreven”, zegt Jaap Noorda, senior consultant Managed Mobile and Security bij Vodafone. Hij adviseert klanten van Vodafone hierover en stelt met hen het ideale beleid samen. “Voor de techniek zijn er allerlei slimme oplossingen, zoals Enterprise Managed Mobility (EMM), waarmee de organisatie op afstand toestellen kan beheren en beveiligen en waar nodig leeg maken. Bedrijfsdata kunnen dusdanig veilig worden aangeboden zonder dat een eindgebruiker hoeft in te boeten op gebruikersgemak.” Wat betreft device zou een organisatie goed moeten nadenken over het besturingssysteem en de voordelen en nadelen die het met zich mee brengt, vooral op het gebied van beveiliging. “Uit onderzoek blijkt dat veel Android-toestellen niet op de meest recente security patch zitten. Dan staat de deur op een kier open. Met EMM heb je hier zicht op en houd je grip op je bedrijfsdata.” Ook met het slimste beleid en de beste technologie kan het nog mis gaan: alles valt of staat met hoe gebruikers ermee omgaan. Noorda: “Daarom adviseert Vodafone ook altijd om te investeren in kennisoverdracht: vergroot het bewustzijn over veiligheid en geef regelmatig training.”