Cybersecurity missers: ze komen bij veel bedrijven voor. Natuurlijk nooit met verkeerde intenties. Niemand die streeft naar een lekke mand, tenslotte. Toch komen we regelmatig cybersecurity laksheden die er per ongeluk bij in zijn geslopen tegen. Aan welke maakt u zich schuldig?
Natuurlijk, een foutje is menselijk. Maar wat u wilt voorkomen, is dat zo’n klein foutje leidt tot een groot probleem. Hackers staan er namelijk om bekend met hagel te schieten: ze vallen zoveel mogelijk bedrijven aan, in de hoop ergens een achterdeur te vinden. Dus is er bij u per ongeluk een achterdeur ontstaan? Reken er dan maar op dat een hacker die vroeg of laat vindt.
Daarnaast heeft de overheid vorig jaar aangegeven plannen te hebben in de toekomst op te treden bij laksheden op het gebied van internetbeveiliging. Genoeg reden om extra bewust te zijn en alles na te lopen. Van miscommunicaties tussen beleid en realiteit tot het uitstellen van updates: we hebben de meest voorkomende cybersecurity laksheden op een rijtje gezet.
1. Wachtwoorden hergebruiken
Laten we beginnen met een open deur intrappen: de wachtwoorden. We zijn ons er allemaal ontzettend van bewust dat “admin” met als wachtwoord “admin” geen veilige inloggegevens zijn. Gek genoeg zien we in de praktijk nog regelmatig dat bedrijven slachtoffer vallen van cybercriminelen omdat wachtwoorden te simpel zijn.
Daarnaast is het verleidelijk voor het gemak wachtwoorden te hergebruiken. Maar helaas, een wachtwoord mag misschien op zichzelf sterk zijn: bij hergebruik neemt de veiligheid toch echt af. Zeker wanneer persoonlijke wachtwoorden ook voor zakelijke doeleinden worden ingezet. Het wachtwoord hoeft maar op één dienst of website te lekken…
Waarschijnlijk bent u er al mee bekend, maar kijk zo nu en dan op www.haveibeenpwned.com om te controleren of een van uw wachtwoorden ooit gelekt is.
2. Miscommunicatie beleid en realiteit
Op papier kan alles nog zo goed zijn uitwerkt: als uw zorgvuldig samengestelde securitybeleid in de praktijk niet wordt nageleefd, is de veiligheid alsnog ver te zoeken. Denk bijvoorbeeld aan medewerkers die toch gevoelige bedrijfsdata meenemen op een unencrypted USB stick. Niet uit kwade bedoelingen. Gewoon omdat ze het omslachtig vinden telkens hun data via de remote sessie op te moeten halen.
Hou altijd vinger aan de pols en kijk hoe cybersecurity maatregelen in de praktijk tot uiting komen en de investering waard zijn. Durf bij te stellen waar nodig, maar steek zeker nooit de kop in het zand!
3. De firewall “even” open zetten
Functionaliteiten die niet werken vanwege een actieve firewall: we krijgen er allemaal wel eens mee te maken. Waarschijnlijk hebt u ook al eens de vraag gekregen of hij “even” opengezet kan worden omdat iets niet werkt. Helaas betekent “even” in de praktijk gek genoeg vaak “voor altijd”.
Door de drukte wil het nog wel eens vergeten worden de boel weer terug af te sluiten: het overkomt de besten. Maar het is wel gevaarlijk. Zeker wanneer het vaker voorkomt. Dat betekent namelijk dat op den duur er een hoop gaten in de firewall zitten. Gaten die zelf veroorzaakt zijn.
4. “Doe maar even zo, dan kijken we daarna wel”
Voortbordurend op nummer 3 is bovenstaande uitspraak ook een gevaarlijke. Zeker toen we het afgelopen jaar massaal over moesten stappen op thuiswerken, lag hij op de loer. Want even een VPN openzetten om te kunnen thuiswerken is verleidelijk, maar gevaarlijk. Zeker als die “dan kijken we daarna wel” vergeten wordt.
5. Snel een tooltje downloaden, zonder het te controleren
Dit is er nog eentje in de categorie “even snel…”. Soms komen (IT)collega’s tot de ontdekking dat een gratis tooltje wel heel handig is. Dan is zo’n tooltje al snel gedownload. Maar als er geen controle is omtrent de veiligheid van deze software, dan kan dat de cyberveiligheid van de organisatie volledig ondermijnen.
Daarnaast gaan dit soort acties het bedrijfsbeleid vaak volledig voorbij. Zie er daarom op toe dat iedereen altijd advies en toestemming vraagt voor het installeren van (gratis) software van derden.
6. Ervan uitgaan dat alles wel loopt
Zeker wanneer u gebruik maakt van verschillende cybersecurity oplossingen, is het belangrijk regelmatig te controleren of alles nog goed is ingericht. In de praktijk verwateren die controles alleen vaak. Zeker wanneer het druk is. Cybersecurity is een continu proces, dus ook dat controleren zou met regelmaat terug moeten komen.
7. Updates uitstellen
Als afsluiter nog een open deur: het uitstellen van updates. We weten allemaal heel goed dat het uitstellen van (beveiligings)updates uit den boze is. Zeker wanneer we het gaan hebben over weken of zelfs maanden. Dat is vragen om problemen. Toch wil het in de praktijk nog wel eens voorvallen dat updates niet worden uitgevoerd i.v.m angst voor onderbrekingen in de productie omgeving. Blijf altijd actief bezig met uw patchbeheer en maak gebruik van test groepen om updates dan gefaseerd uit te rollen.
De mens is van nature laks
Eerlijk is eerlijk: zelfs de besten maken zich wel eens schuldig aan een van bovenstaande laksheden. Zeker wanneer het druk is, is het verleidelijk enkel naar de korte termijn te kijken. Dan lijkt het “even” openzetten van een firewall geen probleem. Maar juist omdat laksheid menseigen is, is het belangrijk daarop in te spelen door scherp te blijven op procedures en beleid.
Controleer regelmatig wat de stand van zaken van uw cybersecurity is! Zorg ervoor dat u er vanuit uw kant alles aan doet om hackers te weren en ze niet via een openstaande firewall naar binnen kunnen sluipen.
