Veel organisaties hebben de beveiliging van hun apparaten niet goed op orde, met potentieel grote gevolgen voor hun algehele cyberveiligheid. Dat stelt HP Wolf Security in een nieuw rapport. Het onderzoek toont aan dat de bescherming van hardware én firmware – oftewel platformbeveiliging – vaak gebrekkig is, wat kan leiden tot uitbuiting van kwetsbaarheden via pc’s, laptops en zelfs randapparatuur als printers.
Een van de belangrijkste bevindingen uit het onderzoek is dat 81 procent van de zakelijke beslissers erkent dat hardware- en firmwarebeveiliging topprioriteit zou moeten zijn, maar dat 68 procent van hen desondanks onvoldoende investeert in dergelijke beveiliging. Het gevolg is duurder herstel na incidenten en inefficiënt beheer.
Platform security, want daar hebben we het hier over, gaat over het voorkomen van aanvallen die kwetsbaarheden in de onderliggende technische basis van apparaten misbruiken, zoals BIOS-instellingen en systeemfirmware. Volgens het bedrijf toont het onderzoek aan dat organisaties risico lopen door onvolledige securitymaatregelen in het gehele lifecycle management van apparatuur, van de keuze voor leveranciers tot het beleid inzake verouderde apparaten.
Contract beëindigd
Een mogelijke verklaring waarom het onderkende belang van platform security zo uit de pas loopt met daadwerkelijke investeringen hierin, kan zijn dat veel organisaties het als een minder tastbaar risico beschouwen in vergelijking met zaken als software-updates of netwerkbeveiliging. Het is vaak aantrekkelijker om in maatregelen te investeren die directer zichtbaar zijn en die je snel kunt implementeren.
Hardware- en firmwarebeveiliging vereisen een geïntegreerde aanpak die niet alleen technische kennis vereist, maar ook langere en complexere trajecten qua implementatie en onderhoud. Bovendien, juist omdat kwetsbaarheden in hard- en firmware minder zichtbaar zijn, zien bedrijven de risico’s die eraan kleven eerder over het hoofd.
De gevolgen van deze tekortkomingen zijn al merkbaar bij de keuze van leveranciers. Meer dan een derde van de beslissers geeft aan dat een leverancier van pc’s, laptops of printers de afgelopen vijf jaar niet slaagde voor een cybersecurityaudit. Dit leidde bij 18 procent zelfs tot het beëindigen van het contract. Verder vindt 60 procent van de beslissers dat het gebrek aan betrokkenheid van de IT-afdeling tijdens het aankoopproces de organisatie kwetsbaar maakt voor aanvallen.
‘Fear Of Making Updates’
Het beheer van apparaten ná die aankoop is ook een probleem. Meer dan 60 procent van de IT-beslissers voert geen firmware-updates uit zodra deze beschikbaar komen. De angst voor fouten bij het uitvoeren van deze updates houdt veel medewerkers tegen. Het rapport noemt dit FOMU (Fear Of Making Updates). Toch gelooft 80 procent van de beheerders dat AI de ontwikkeling van aanvallen versnelt, wat sneller updaten noodzakelijk maakt.
Daarnaast is het verlies en de diefstal van apparaten een jaarlijkse kostenpost van 8,6 miljard dollar (8,2 miljard euro). Uit het onderzoek blijkt dat een op de vijf medewerkers op afstand ooit een apparaat heeft verloren of slachtoffer werd van diefstal. Gemiddeld duurde het 25 uur voordat ze IT daarvan op de hoogte stelden, een eeuwigheid waar kwaadwillenden mogelijk dankbaar gebruik van maken.
Kennis niet op juiste niveau
Verder is opvallend dat IT-professionals nogal wat frustratie ervaren over de beperkte controle die ze hebben over de beveiliging van devices. 79 procent geeft aan dat hun kennis van hardware- en firmwaresecurity niet op hetzelfde niveau staat als die van softwaresecurity. Ook hebben ze vaak niet de juiste tools voor monitoring en snel ingrijpen bij incidenten.
Niet verwonderlijk stelt HP Wolf Security daarom een integrale aanpak voor om de levenscyclus van apparaten beheren. Voorwaarde is samenwerking tussen IT-, security- en inkoopteams bij de aanschaf van nieuwe apparaten, snelle en veilige onboarding van apparaten via de cloud, en snel implementeren van firmware-updates om security van die apparaten te waarborgen.
Het onderzoek van HP Wolf Security is gebaseerd op een wereldwijd onderzoek onder meer dan 800 IT- en security-beslissers en ruim 6.000 medewerkers die op afstand werken.
Lees ook: Groen licht voor de Cyber Solidarity Act: een Europees cyberschild