Dit zijn de 5 grootste cybersecurity-risico’s van 2020
Het jaar 2020 gaat de geschiedenisboeken in als het jaar van corona. Werkend Nederland verruilde het bureau op kantoor voor de keukentafel, want de pandemie zorgde ervoor dat de meesten van ons thuis moesten werken. Een ware digitale doorbraak voor sommigen, een behoorlijke uitdaging voor security-experts. Ineens waren we namelijk in staat om te innoveren om de bedrijfscontinuïteit te waarborgen.
Onderzoeken hebben inmiddels uitgewezen dat Nederlanders en Belgen het thuiswerken (in aangepaste vorm) als een blijvertje zien. Maar het brengt ook veel veiligheidsuitdagingen met zich mee. Wat zijn die risico’s? We vroegen security-experts (van information security officer, tot product manager, tot CIO) en raadpleegden onderzoeken van onder andere IBM en de Autoriteit Persoonsgegevens.
De vijf grootste uitdagingen op een rijtje:
- Privacygevoelige data delen op afstand
- Adoptie van wet- en regelgeving
- Nieuwe (onveilige) softwareleveranciers
- Phishing door cybercriminelen
- Publieke WiFi en (onveilige) internet-routers
Grote reputatieschade als gevolg van onveilige communicatieprocessen
De oplettende lezer heeft gelijk in de gaten dat de risico’s vooral gaan om het beschermen van privacygevoelige data. Nu we op afstand door blijven werken, delen we wachtwoorden en login-gegevens, bestanden met persoonsgegevens, (e-mail)adressen, grote Excel-sheets met data, en zelfs kopieën van ID-kaarten of paspoorten met elkaar. Meestal gewoon via e-mail, een chatprogramma, in een videovergadering of zelfs via WhatsApp.
In 2019 werd meer dan 97% (pdf) van alle datalekken in Nederland veroorzaakt binnen deze communicatieprocessen door menselijke fouten. En dus niet door hackers of cybercriminelen (wat veel mensen denken!). Zo’n datalek kan grote reputatieschade veroorzaken en brengt ook nog eens een hoge kostenpost met zich mee (voor het oplossen van het lek, maar ook potentieel een grote boete van de Autoriteit Persoonsgegevens). En we all know: “Een goede reputatie komt te voet, maar gaat te paard”. Het duurt jaren om je betrouwbare reputatie als organisatie te herstellen. Dit geldt ook voor kleinere organisaties. Recent onderzoek van Cisco wijst het volgende uit: 60% van de MKB-ers die een groot dataverlies leiden is binnen drie jaar failliet.
Key take-away: marketeers, communicatiespecialisten en cybersecurity-experts moeten in 2020 eens samen om de tafel gaan zitten om de volgende vragen te bespreken:
“Hoe voorkomen we nu eigenlijk dat het fout gaat?”
“En wat zijn de gevolgen voor onze organisatie als het wel fout gaat?”
Cybersecurity-risico 1: Data delen op afstand
Misschien wel het grootste cybersecurity-risico in 2020 is de verwerking van privacygevoelige gegevens op afstand. Om thuis te werken moeten we nu eenmaal veel gegevens verwerken. Als je met klanten of patiënten werkt, is het logisch dat je de digitale snelweg neemt om in contact te komen. Het kan namelijk alleen digitaal als je in quarantaine zit of thuis moet werken, maar toch zorg wil blijven verlenen op afstand. Het kan een online consult zijn, klantenservicecontact, of je wil overleggen met collega’s. We ontvangen en verwerken bijvoorbeeld dagelijks maar liefst 121 e-mails. Daar zit gegarandeerd privacygevoelige informatie bij.
Advies: Laten we een stapje terug doen en herevalueren wat er is gebeurd. Er zijn namelijk wel degelijk maatregelen die organisaties kunnen nemen om veilig thuis te werken. Maatregelen die organisaties nu kunnen nemen om een toekomstbestendig thuiswerkfront te creëren.
Dit kan bijvoorbeeld met wat Gartner een ‘Email Data Protection Specialist’ noemt. Een mooie naam voor wat wij in het Nederlands gewoon ‘beveiligde e-mail’ noemen. Dit zijn platformen en leveranciers voor veilige e-mail, maar ze zijn er bijvoorbeeld ook voor beveiligde video en chat.
Hoe werkt dat in de praktijk? Mochten hackers dan alsnog in je e-mailinbox komen, dan zijn beveiligde berichten en bijlagen in ieder geval niet in te zien omdat ze encrypted zijn. Op die manier kan je je wachtwoord wél veilig via e-mail delen. Je kunt ook een tool zoals LastPass gebruiken (als het alleen gaat om het delen van wachtwoorden).
Jammer voor de hacker na al die moeite, gelukkig voor jou en de reputatie van je organisatie!
Cybersecurity-risico 2: Voldoen aan wet- en regelgeving
En laten we wet- en regelgeving niet vergeten. Stel dat er iets misgaat en er belanden gegevens op straat, dan komt de Autoriteit Persoonsgegevens wellicht een kijkje nemen. Heeft jouw organisatie eigenlijk alles dichtgetimmerd?
Zo is er voor organisaties die zorggegegevens verwerken (denk aan ziekenhuizen, verzekeraars, overheidsinstellingen, gemeenten, huisartsen, tandartsen, klinieken, ga zo maar door!) een harde deadline om dit jaar nog te voldoen aan de NTA 7516. Deze norm legt onveilig gegevens delen aan banden. De NTA-norm is een blueprint die waarschijnlijk voor meerdere sectoren gaat gelden in de komende jaren.
Advies: Bespreek eens met de security-experts in jouw organisatie in hoeverre online communicatie volgens wetgeving dichtgetimmerd is voor jouw thuiswerkende collega’s. Als je de NTA 7516 en natuurlijk de AVG (ook bekend als de GDPR) als uitgangspunt neemt, zit je wel goed!
Cybersecurity-risico 3: nieuwe (onveilige) software leveranciers
Om te beginnen maken steeds meer collega’s gebruik van leveranciers als Teams en Zoom om de afstand tot hun klanten, patiënten, collega’s, burgers en opdrachtgevers te overbruggen. Zijn die tools veilig genoeg om bijvoorbeeld een doktersconsult mee te doen? Is het eigenlijk wel handig om bestanden met persoonsgegevens via deze weg te delen? En weten werknemers zonder goede training eigenlijk wel hoe ze deze nieuwe cloud solutions veilig kunnen gebruiken?
Vaak staat of valt een oplossing met hoe hij gebruikt wordt binnen de organisatie. Vraag aan de lezer: weet jij eigenlijk wel hoe je een bestand veilig met collega’s kunt delen? Als het antwoord nee is, ben je waarschijnlijk niet de enige in je organisatie en is een awareness training wellicht een goed idee.
Advies: waarschijnlijk heeft ook jouw organisatie in alle haast een oplossing gekozen, maar betaal je de hoofdprijs en zijn werknemers wellicht helemaal niet tevreden over het gebruik. Doe onderzoek naar cloud-leveranciers, veilige communicatietools en VPN-aanbieders nu we op adem zijn gekomen van de switch naar nieuwe leveranciers. Bekijk goed of deze echt wel voldoen aan de standaarden voor jouw organisatie.
Cybersecurity-risico 4: phishing door cybercriminelen
Al aan het begin van de corona-uitbraak in Europa zagen cybercriminelen hun kans schoon om misbruik te maken van de situatie. Met het verstrijken van de tijd is dit alleen maar toegenomen. Criminelen lijken in te spelen op paniek. Dankzij de coronacrisis stroomt je inbox vol met de ene na de andere corona-aanbieding. Dagelijks blokkeert Google 100 miljoen phishingmails. Hiervan zijn 18 miljoen mails coronagerelateerd. Verwachting is dat dit aantal alleen maar toe blijft nemen dit jaar en de eerste cijfers zijn verontrustend.
Advies: raadpleeg de interne beveiligingsexperts bij twijfel. Beter een keer te veel dan te weinig!
Cybersecurity-risico 5: Publieke WiFi en onveilige internet-routers
Daarnaast een operationeel gevaar. Thuiswerken dwingt ons natuurlijk gebruik te maken van onze eigen, wellicht onveilige, internet-routers. Diezelfde router waarmee je zoontje van negen Call of Duty speelt met zijn online vrienden, wordt door jou gebruikt om gevoelige data mee te verwerken. Cybercriminelen targeten vaak heel gericht werknemers van bijvoorbeeld financiële instellingen, overheden en verzekeraars.
Advies: Je router-wachtwoord updaten is geen overbodige luxe. Daarnaast kan werken via een VPN of met een Email Data Protection Specialist beveiliging al fors versterken!
Ben jij cybersecurity-lui?
Cyber Security Awareness Month is in het leven geroepen om bewustzijn te creëren (en te vergroten) voor cybersecurity. Met de coronacrisis en steeds meer thuiswerken, is dit vraagstuk relevanter dan ooit. Veel werknemers zijn zich er niet van bewust dat een datalek of een hack een organisatie de das om zou kunnen doen.
Laten we het doel van deze maand – bewustzijn – eindelijk eens serieus nemen in 2020. Ook als dat betekent dat we onze telefoons erbij moeten pakken om een extra verificatiecode (2fa) in te voeren. We slapen met onze mobiele telefoons, dus dan kunnen we ze er ook af en toe bij pakken om informatie te beveiligen – en zo onze bedrijfsreputatie te redden.
Een bewustzijnsvraag: doet jouw organisatie er alles aan om ook thuis veilig te kunnen werken?