IT-security hoort vakantieverzekering te zijn
De security-minded manager staat bij veel bedrijven alleen. IT-beveiliging is nog altijd een ondergeschoven kindje, mede doordat risico’s worden weggewuifd. Een menselijke maar gevaarlijke eigenschap. Bezinning volgt vaak pas ná diefstal of schade.
De struisvogelpolitiek van cyberdreigingen bagatelliseren valt op zich best te verklaren. Veel mensen zien gevaren als iets wat anderen overkomt. Dat bagatelliseren helpt ons door het dagelijks leven. Wie durft de auto nog in te stappen als hij echt goed is doordrongen van de risico’s? Zeker bij lange vakantieritten waarbij vermoeide medeweggebruikers voor verhoogd risico zorgen. Ondertussen nemen we wel maatregelen, zoals een verzekering, voor eventuele diefstal of verlies van waardevolle spullen op vakantie. Hoewel het veel grotere verlies van kostbare data en inloggegevens op de mobiele apparaten die meegaan op vakantie dan vaak weer vergeten worden.
Grote gevallen plus vele kleinere
Dataverlies is juist één van de grootste risico’s die spelen bij IT-beveiliging. De grote gevallen met flinke (financiële) schade komen breed in de media en komen hard aan. Maar daarnaast kent IT-security ook een grote hoeveelheid aan kleinere gevallen met relatief kleinere risico’s. Zowel bij grote als bij kleine IT-bedreigingen vallen er gelukkig geen gewonden, maar er zijn wel degelijk slachtoffers. Bedrijven die te grote risico’s nemen, vaak uit onwetendheid.
Want net zoals we de risico’s van autoverkeer ‘wegrationaliseren’, doen veel managers en gebruikers dat voor hun IT-beveiliging. Soms heerst er gebrek aan IT-interesse, soms gebrek aan security-besef. Bijvoorbeeld de achterhaalde noties dat de ‘bad guys’ niet uit zijn op jouw bedrijf, dat ‘hier toch niets te halen valt’. Maar net zoals een dronken autorijder het niet op jou gemunt heeft, kan een cybercrimineel ook onbedoeld jouw bedrijf raken. Digitale daders gaan namelijk dankzij automatisering grootschalig te werk, bij grote én kleine bedrijven.
Bijna niemand gevrijwaard
Hierdoor hebben veel bedrijven nu te maken met IT-beveiligingsproblemen. Maar liefst 94 procent wereldwijd (91 procent in Nederland) heeft het afgelopen jaar een cybersecurity-incident meegemaakt. Let wel: een van buitenaf komend cybersecurity-incident. Dit blijkt uit het jaarlijkse onderzoek dat wij samen met onderzoeksbureau B2B International hebben uitgevoerd onder 3900 respondenten in 27 landen. Het IT Security Risks-rapport 2014 belicht de diverse malware-aanvallen, virusbesmettingen, spamgolven en ook gerichte hackaanvallen die het bedrijfsleven haast universeel overspoelen.
Opvallend is dat 12 procent van de ondervraagde bedrijven doelwit is geweest van gerichte aanvallen, vorig jaar was dit nog 9 procent. Dat gerichte aanvallen immense schade kunnen aanrichten blijkt onder andere uit het voorbeeld van hostingprovider Code Spaces. Na een DDoS-aanval waarbij een groot geldbedrag geëist werd besloot het bedrijf zelf maatregelen te nemen om de controle terug te krijgen. Als reactie daarop verwijderde de aanvaller grote hoeveelheden data van het beheerderspaneel. De schade was zo groot dat Code Spaces uiteindelijk het hoofd niet meer boven water kon houden en de bedrijfsactiviteiten moest staken.
Een ander voorbeeld is de breed in het nieuws gekomen succesvolle cyberinbraak bij de Amerikaanse winkelketen Target. Daar zijn via gehackte kassasystemen 40 miljoen bankpassen digitaal gekopieerd. Naast betaalgegevens hebben bedrijven nog andere gevoelige en dus risicovolle data. Bovendien kost niet alleen dataverlies geld. Bij een niet-succesvolle aanval is er geen data buitgemaakt, maar hebben de slachtoffers toch te maken met een nasleep die tijd en geld kost.
Tip: niet aan één iemand overlaten
In het geval van Target heeft de wel zeer succesvolle inbraak de CIO zijn baan gekost. Terwijl CIO’s in de regel zich wel bewust zijn van de risico’s. Helaas staan ze vaak alleen. Ze worden vaak gezien als doemdenkers die slecht nieuws brengen. Óf ze worden gezien als de exclusieve verantwoordelijke die over IT en de beveiliging daarvan gaat, zodat verder niemand daar omkijken naar heeft.
Dáár wringt bij veel organisaties de schoen. De misplaatste gedachte dat IT-security een kwestie is van een antimalware-oplossing aanschaffen, een firewall (laten) instellen, en/of een manager als verantwoordelijke aanwijzen. Goede security is een bedrijfsbreed belang dat een bedrijfsbreed beleid verdient.
Het is niet alleen iets voor de IT-afdeling, de manager daarvan en eventueel de CIO. Alle andere managers moeten meedragen, meedenken én meedoen. En ook werknemers moeten zich bewust zijn en eventuele verdachte zaken melden. Meer tips over hoe dit te doen? Lees het IT Security Risks-rapport 2014 voor business-tips om grip te krijgen op de databeveiliging. Net zoals vakanties en verzekeren een zaak voor iedereen zijn, is IT-security dat ook.