Voor Jelle Niemantsverdriet, National Security Officer bij Microsoft Nederland, is glashelder wat het belangrijkste cybersecurity-advies is voor bedrijven: wacht niet af, maar begin. Bewust zijn van het belang van veilig werken is niet genoeg. Onderneem actie om jouw bedrijf te beschermen.
Cloudwatervrees
Jelle is in zijn rol betrokken bij het digitaal weerbaarder maken van de Nederlandse samenleving en het vergroten van het vertrouwen in technologie. Bij dat laatste punt merkt hij dat niet iedereen staat te springen om in de cloud te werken. “Ondanks de vele voordelen die online werken biedt, worden sommige bedrijven nog weerhouden door cloudwatervrees. Logisch, want vroeger stond de server op kantoor en nu voelt het alsof de controle over belangrijke data en processen uit handen wordt gegeven.”
Hij vergelijkt werken in de cloud met geld bewaren op de bank. “Vroeger bewaarde men geld in een ouwe sok onder het matras. Dat was dichtbij, zichtbaar en tastbaar. Inmiddels zijn we verschoven naar een model waar het op de bank staat, een centrale plek waar professionele mensen werken met controles en maatregelen die ervoor zorgen dat geld veilig wordt bewaard. Eigenlijk is een zakelijke clouddienst een soort bank voor data. Waarbij we de kennis en verantwoordelijkheid om data veilig te bewaren niet zelf hoeven op te bouwen, maar met goede, contractuele afspraken uitbesteden aan een andere partij.”
Het is heel belangrijk om de sprong te maken van bewustzijn naar actie.
Wereldwijd inzicht
Microsoft biedt clouddiensten op grote schaal aan. Daardoor heeft het toonaangevende softwarebedrijf inzicht in de meest actuele incidenten en zet het die kennis direct in op zijn platformen. Jelle: “Als grote cloudaanbieder zien we aanvallen op iedereen wereldwijd, of het nu om een klein of groot bedrijf gaat, om een individu of een heel land. En die kennis kunnen we gebruiken om iedereen veiliger te maken. Is er bijvoorbeeld een cyberaanval in Oekraïne? Dan helpen we niet alleen de Oekraïense overheid daarmee, maar dan zit een paar uur later de logica om je ertegen te wapenen automatisch in alle Microsoft-diensten. Zo worden bedrijven die werken in 'Microsoft Azure'-cloudomgevingen heel snel beschermd, waarbij het niet uitmaakt of het een groot bedrijf is of de spreekwoordelijke bakker om de hoek.”
Microsoft biedt clouddiensten op grote schaal aan. Daardoor heeft het wereldwijd inzicht in de incidenten die op dat moment spelen en zet het die kennis direct in.
Inloggen in plaats van inbreken
Jelle merkt op dat cybercriminelen de laatste jaren op een andere manier te werk gaan. “We zien een explosie aan gijzelsoftware, waarbij cybercriminelen zich goed voorbereid richten op bedrijven in plaats van met hagel te schieten op grote groepen consumenten. Maar de methodes die ze daarbij gebruiken, zijn niet veel veranderd. Criminelen hoeven niet in te breken in systemen, ze kunnen simpelweg inloggen met gestolen inloggegevens.”
Cybercriminelen zoeken naar zwakke plekken binnen organisaties en hopen op fouten van medewerkers. Via een enkele klik op een onveilige link in een phishing-e-mail krijgen hackers toegang tot data en systemen. Bedrijven die hiervan slachtoffer worden, krijgen te maken met een dubbele vorm van afpersing. Naast dat data wordt versleuteld en pas weer beschikbaar is na betaling, dreigen criminelen met het publiceren van gestolen data.
Multifactorauthenticatie
Als het om cyberbeveiliging gaat, maken eenvoudige oplossingen een groot verschil. Zoals multifactorauthenticatie, waarbij je bij het inloggen extra bevestiging nodig hebt via bijvoorbeeld je mobiele telefoon. Dit maakt het lastiger voor kwaadwillende organisaties om gestolen inloggegevens te misbruiken. Daarbij kun je per proces en systeem bepalen wanneer en hoe vaak je bij het inloggen multifactorauthenticatie inzet. Bij het bekijken van interne berichten op het intranet is dat waarschijnlijk minder vaak nodig dan bij het verkrijgen van toegang tot financiële systemen met gevoelige data.
Breng risico’s in kaart
Hoe zet je nu de eerste stap om je kantoor goed te beschermen? Jelle raadt aan om samen met collega’s je bedrijf, de processen en de systemen goed te bekijken. Waarbij je je inbeeldt dat je iemand bent die schade wil aanrichten, bijvoorbeeld omdat je je als klant of werknemer onterecht behandeld voelt. Wat zou jij doen? Op die manier kom je erachter welke processen en systemen onmisbaar zijn om jouw bedrijf draaiende te houden. En waar eventuele kwetsbaarheden liggen. Bekijk vervolgens hoe je deze risico’s kunt verminderen. Met maatregelen zoals multifactorauthenticatie voor belangrijke systemen. Maar ook met zaken die je zelf kunt regelen. Als systemen niet meer toegankelijk zijn, kun je dan bijvoorbeeld nog bij telefoonnummers om je IT-leverancier te bereiken? Of is het misschien verstandig om een lijstje met belangrijke nummers te printen?
“Oefen een keer, speel een situatie na”, adviseert Jelle. “Net zoals een brandoefening. Dan komen er al snel praktische zaken naar boven, waar misschien nooit goed over is nagedacht. Bijvoorbeeld of je een leverancier wel op zaterdagmiddag kunt bereiken, als er dan iets misgaat en je hulp nodig hebt.”