13 okt
In het kader van de Europese Cyber Security-maand oktober proberen wij bij ThreadStone altijd iets extra’s te doen om bij te dragen aan dat mooie initiatief. Alle aandacht voor cybersecurity is meegenomen. Dat blijkt ook wel uit onze top 3 van kwetsbaarheden die wij hebben samengesteld op basis van nulmetingen die we afgelopen jaar hebben uitgevoerd bij MKB-klanten. Daarbij ligt de nadruk op bedrijven met een omvang 15 - 1.500 medewerkers.
De top 3 van 2022
1. Beperkte risicoperceptie.
Mensen zijn, vooral bij negatieve gebeurtenissen, ervan overtuigd dat het hun niet zal overkomen. Dit heet de optimism bias. ‘Dat een universiteit geen goede back-up heeft! Dat zal ons niet gebeuren!’ Maar in werkelijkheid wordt de kans om slachtoffer te worden van cybercriminelen groter, niet kleiner. Pas als het de onderneming of een directe concurrent overkomt, wordt er actie ondernomen.
2. Het (onjuiste) idee dat cybersecurity hetzelfde is als IT.
Steeds meer ondernemingen treffen technische maatregelen (die vervolgens overigens beperkt of niet worden getoetst op een juiste werking). Maar dan ben je er nog niet. Je cybersecuritybeleid is zo sterk als de zwakste schakel, en dat is nog vaak de mens. Regelmatig zien wij dat er geen beleid is voor medewerkers. Er is bijvoorbeeld geen onboarding-programma waarin aandacht wordt besteed aan informatiebeveiliging, er zijn geen periodieke bewustwordingscampagnes.
3. Niet voorbereid zijn op een incident.
Bij veel nulmetingen zien we dat er geen plan is ‘voor het geval dat’. Vooraf is er niet nagedacht over de impact van bijvoorbeeld een hack of ransomware-aanval. Vaak denken ondernemers dat ze er zijn met het telefoonnummer van hun IT-leverancier. Maar vooraf nadenken over een noodscenario bespaart een hoop ellende. Want bij een incident moeten klanten worden geïnformeerd, kan forensisch onderzoek nodig zijn, moet de (reputatie)schade worden beperkt en kan de vraag rijzen of je moet ingaan op een losgeldeis… Daarnaast kun je aansprakelijk worden gesteld en kan de Autoriteit Persoonsgegevens een boete opleggen.
In de top 3 zien wij een grote gemene deler: bewustzijn! Daarmee begint het aanpakken van de drie veelvoorkomende kwetsbaarheden. Niet voor niets zetten wij in op awareness-programma’s, naast onze focus op vulnerability management.
In oktober 2023 komen we met een nieuwe top 3. Natuurlijk hopen wij dan dat deze drie aspecten zijn verbeterd. Tot die tijd blijven wij ons elke maand, dag in dag uit, inspannen voor meer cyberveiligheid en digitale weerbaarheid.