De laatste tijd verschijnen er continu berichten over datalekken in het nieuws. Komt dat doordat cybercriminelen steeds geavanceerdere aanvalsmethodieken gebruiken waartegen organisaties zich niet kunnen wapenen? Nee, dat is veel te kort door de bocht. Maar het is jammer genoeg een feit dat in Nederland veel organisaties steken laten vallen op het gebied van cybersecurity.
Organisaties met een traditionele IT-organisatie zijn het meest kwetsbaar
Cybercriminelen maken een steeds betere afweging waar ze het hoogste rendement kunnen halen tegen de minste inspanning en kiezen daar hun ideale slachtoffer op uit. Het zijn daarom niet de grote commerciële organisaties waar de klappen vallen, maar juist de wat kleinere organisaties met een meer traditioneel ingestelde IT-organisatie. En dan met name in industrieën zoals de overheid, zorg en educatie.
In deze industrieën moet worden gewerkt met relatief beperkte budgetten en ontbreekt meestal uitgebreide cybersecurity-expertise. Dat leidt ertoe dat deze IT-organisaties vaak achter de feiten aanlopen als het gaat om het opsporen en dichten van kwetsbaarheden in hun infrastructuur. Sommige hebben de meest basale IT-hygiëne niet eens op orde. Denk aan het gebruik van veilige wachtwoorden of het niet isoleren van gemaakte backups, buiten het bereik van kwaadwillenden.
Natuurlijk is dat triest, maar ik vind het net zo teleurstellend, zo niet teleurstellender dat het advies van de instanties waar dit type organisaties op vertrouwt beperkt blijft tot ‘zorg dat je je wachtwoord- en back-up-beleid op orde hebt’ of ‘zorg dat je antivirussoftware hebt geïnstalleerd’. Want daar red je het vandaag de dag niet meer mee. Met goede antivirussoftware houd je ransomware, een van de meest gebruikte aanvalsvectoren van vandaag, niet buiten de deur. Antivirussoftware kan ransomware als dreiging alleen herkennen als het eerder elders is gesignaleerd. Dat is gezien de grote diversiteit aan soorten ransomware van vandaag ontoereikend.
De grootste misvatting die ik op dit moment tegenkom, is dat een infectie door ransomware onvermijdelijk is. En dat is onzin. Want zelfs al is ransomware je systeem is binnengedrongen, dan is er altijd nog een plan B: endpoint-security-oplossingen die verdachte gedragingen kunnen detecteren. Dat klinkt veel spannender dan het is. Maar elk type ransomware volgt dezelfde vaste patronen: van het verwijderen van backup bestanden tot het vinden van een encryptiesleutel. Patronen die een goede endpoint-security-oplossing eenvoudig kan herkennen. En wanneer deze oplossing autonoom genoeg is, kan ransomware zelfs in real time automatisch worden gestopt.
Wat is de impact van een infectie?
De tweede misvatting is dat bedrijven met een traditionele IT-organisatie denken dat dit soort oplossingen niet voor hen is weggelegd. Ze zouden teveel cybersecurity-expertise vereisen en ook te kostbaar zijn. Echter, een goede cybersecurity-oplossing biedt ondersteuning ongeacht het aanwezige kennisniveau en is desgewenst in staat om in te grijpen zonder aanwezigheid van een full-time beheerder. Zo kunnen bijvoorbeeld een hoop kosten worden bespaard op de manuren die nu nog nodig zijn om te achterhalen wat er is gebeurd in het geval van een mogelijke calamiteit. Want alleen al met het maken van die analyse is een gemiddelde security-specialist uren bezig. En als deze eenmaal heeft vastgesteld dat hij actie moet ondernemen, dan heeft hij nauwelijks hulpmiddelen tot zijn beschikking. Met het gevolg dat vaak de besmette laptop van een medewerker van het netwerk wordt gehaald en opnieuw wordt geïnstalleerd. En die medewerker van geluk mag spreken als hij daarna door een goed back-up-beleid nog beschikt over zijn data. Kortom, ook zaken als productiviteitsverlies moeten bedrijven meewegen in hun totale kostenberekening voor een security-oplossing. En dan heb ik het nog niet eens over de kosten wanneer die back-up niet beschikbaar was.
Met een goede endpoint-security-oplossing kan een infectie met één druk op de knop ongedaan worden gemaakt, waardoor je kosten door productiviteits- of dataverlies weet te voorkomen. Weet jij eigenlijk hoe groot de impact van een infectie op jouw organisatie zou zijn?
Auteur: Eric van Sommeren, Regional Director Northern Europe SentinelOne
