De bedrijfswereld staat vandaag voor heel wat uitdagingen op het vlak van it-beveiliging. Enerzijds hebben bedrijven grote behoefte aan up-to-date beveiligingssystemen met een zeer brede dekking over een groeiend aantal besturingssystemen en apparaten. Anderzijds moeten ook alsmaar kleinere bedrijven in toenemende mate investeren in beveiliging. Pieter Lacroix, managing director Sophos Nederland, legt uit waarom.
“De omvang van wat organisaties en wijzelf allemaal moeten beschermen neemt toe,” begint Lacroix. “Steeds vaker willen werknemers via hun smartphones en tablets toegang krijgen tot bedrijfsgevoelige informatie. In de afgelopen jaren zijn er meer open systemen en een grotere variëteit aan toestellen en besturingssystemen bijgekomen die moeten worden aangesloten en gesynchroniseerd. Veel data bevinden zich bovendien in de cloud. Het bedrijfsnetwerk is daardoor niet langer een makkelijk te beveiligen en afgesloten eiland.”
Cybercriminaliteit complexer
Lacroix vervolgt: “Criminelen beschikken vandaag over bijzonder geavanceerde toolkits om massale aanvallen uit te voeren. Bovendien zijn die toolkits enorm gediversifieerd omdat de grootsten ervan intussen zijn opgedoekt. Dit heeft het landschap complexer gemaakt. Daarnaast is de tijd van hit-and-run ook voorbij. Cybercriminelen zijn een stuk geduldiger geworden en hebben er geen moeite mee om een hack maanden of zelfs jarenlang op te bouwen. Iedere dag worden er maar liefst 250.000 nieuwe varianten van malware op de wereld losgelaten. Zo’n 8 procent daarvan wordt verspreid via legitieme, maar besmette websites. Iedere dag worden zo’n 30.000 nieuwe URL’s besmet. Los hiervan zijn er ook de doelgerichte aanvallen. Dit zijn meer geavanceerde en aanhoudende aanvallen op specifieke doelen. Niet enkel overheden en grote bedrijven maar ook kleinere organisaties en ondernemers krijgen hiermee te maken. Hun websites zijn vaak een makkelijk slachtoffer. Zij hebben immers niet de middelen of de kennis om hun websites tegen dergelijke aanvallen te beschermen. Het kost de criminelen dus minder moeite en bijgevolg is het rendabel om zich juist op die websites te storten.”
Databeveiliging: hoge prioriteit voor EU
“De EU werkt aan nieuwe regels die vanaf dit jaar voor alle lidstaten van kracht zullen worden,” aldus Lacroix. “Zo komen er onder meer specifieke regels over encryptie en de beveiliging van data in de cloud. Verder komt er een meldplicht voor datalekken en krijgen Europese burgers het recht om te worden vergeten en toegang tot hun gegevens. Doordat de regels in alle lidstaten dezelfde worden zullen ze ook makkelijker kunnen worden afgedwongen. De beveiliging van data wordt dus niet langer een keuze maar een verplichting voor bedrijven. Zij moeten dus zoeken naar een beveiligingspartner die deze vereisten nauw opvolgt.”
Nederland is het beste jongetje in de Europese klas en is ver gevorderd met deze regelgeving. Onlangs heeft de Tweede Kamer het wetsvoorstel voor de meldplicht van datalekken goedgekeurd. Het is inmiddels ook akkoord verklaard door de Eerste Kamer.
Maatregelen
Concreet, uitgaande van zowel de Nederlandse als de Europese regelgeving, moet je voor het volgende zorgen om er zeker van te zijn dat je geen hoge boetes krijgt voorgeschoteld bij verlies van data:
- Zorg voor een sterk en duidelijk beveiligingsbeleid dat bekend is bij ALLE werknemers binnen de organisatie.
- Zijn er binnen de organisatie meer dan 5.000 werkplekken, dan moet er een Data Security Officer worden aangesteld die als contactpersoon optreedt voor de autoriteiten in geval van dataverlies.
- Zorg ervoor dat het bewijsbaar is dat er moeite is gedaan om de data te beveiligen en dat er de nodige maatregelen zijn genomen om dataverlies te voorkomen. Dat houdt bijvoorbeeld in dat encryptie is gebruikt om data onleesbaar te maken voor derden en er een goed beleid is binnen de organisatie.
“Bij deze nieuwe regelgeving geldt de regel ‘Guilty untill proven innocent’,” weet Lacroix. “Dat wil zeggen dat organisaties ingeval van dataverlies de opgelegde boetes moeten betalen en de meldplicht moeten naleven, tenzij ze kunnen bewijzen dat ze niet schuldig zijn. Zorg er dus voor dat je op tijd voldoet aan de nieuwe regels want de boetes zijn aanzienlijk.”
