Cybersecurity heeft enorm aan belang gewonnen. Uit een CyberVadis-studie blijkt dat niet in de laatste plaats de Coronacrisis en de daarmee gepaard gaande transformatie van werk in de richting van meer digitalisering cyberbeveiligingskwetsbaarheden in bedrijven en hun toeleveringsketens aan het licht hebben gebracht.
De Covid-pandemie heeft de arbeidswereld vorig jaar voorgoed veranderd. Op korte termijn moesten bedrijven werknemers naar het thuiskantoor sturen en snel nieuwe infrastructuren opzetten in termen van hardware en software, terwijl zij tegelijkertijd de digitale capaciteit moesten vergroten. Uit een recent onderzoek van Gartner onder CFO’s blijkt dat 74 procent van de bedrijven van plan is om na COVID-19 permanent een aantal werknemers op afstand te laten werken.
De urgentie om digitale samenwerking en bedrijfsactiviteiten, en daarmee de bedrijfscontinuïteit, in stand te houden met nieuwe, verbeterde tools, vormde niet alleen een uitdaging voor IT-managers. Met name de inkoopteams werden geconfronteerd met het probleem de toegenomen interne IT-behoeften zo snel mogelijk in te kopen en tegelijkertijd nieuwe productieleveranciers te vinden die de tekorten konden opvullen. Een dilemma, want in tijden van nood is er vaak geen tijd voor gedetailleerde leveranciersbeoordelingen.
Risico op afstand
Werken op afstand brengt een unieke uitdaging op het gebied van informatiebeveiliging met zich mee: de noodzaak om veilige verbindingen op afstand tot stand te brengen, het gebruik van persoonlijke apparaten te beheren en gebruikers bewuster te maken om nieuwe golven van cyberaanvallen te voorkomen. Bedrijven die momenteel investeren in interne beveiligingsmaatregelen om hun systemen, en daarmee hun reputatie en bedrijfscontinuïteit, te beschermen, mogen daarom de risico’s van hun externe leveranciers niet negeren.
Uit de laatste CyberVadis-studie, gebaseerd op een beoordeling van 680 bedrijven in 56 landen van alle groottes, blijkt dat een groot aantal bedrijven niet is voorbereid op het nieuwe normaal van werken op afstand. Slechts 42 procent van de bedrijven heeft sterke authenticatiemethoden geïmplementeerd voor toegang op afstand en slechts 28 procent van de bedrijven heeft een autorisatieproces om persoonlijke apparaten toegang te geven tot informatiesystemen. Hieruit blijkt dat er een aanzienlijk risico bestaat dat onbeveiligde apparaten toegang krijgen tot bedrijfsgegevens en informatiesystemen. Het gebruik van persoonlijke/privé-apparaten voor werkdoeleinden nam sterk toe, vooral aan het begin van de pandemie, waarbij slechts 26 procent van de bedrijven alleen apparaten van het bedrijf toegang tot het interne netwerk gaf. Dit betekent dat 74 procent van de overblijvende bedrijven nog steeds geen controles heeft om ervoor te zorgen dat onbevoegde apparaten geen toegang krijgen tot het bedrijfsnetwerk.
Mis bewustzijn vergroot risico’s
Het zijn niet alleen technologische kwetsbaarheden die mogelijkheden bieden voor gegevensinbreuken en hackingaanvallen, maar ook de menselijke factor. Het bewustzijn van het personeel van de risico’s en de kennis om ermee om te gaan, is een belangrijke pijler van het concept cyberbeveiliging. Uit het CyberVadis-onderzoek blijkt echter dat 43 procent van de bedrijven slechts periodiek bewustwordingscampagnes over informatiebeveiliging voert.
Dientengevolge worden werknemers meestal zonder ondersteuning geconfronteerd met bedreigingen, zoals phishing. Evenzo controleert slechts 15 procent van de organisaties of gebruikers op de hoogte zijn van informatiebeveiligingsrisico’s en best practices, bijvoorbeeld door middel van een beveiligingsquiz of mini-auditcampagnes in het kader van het ISMS.
Holistisch risicobeheer vereist
Door plotselinge veranderingen in werkmethoden is een omgeving ontstaan waar cyberaanvallers maar al te graag gebruik van maken. Alleen al van maart tot mei 2020 was er een toename van 6.000 procent in Covid-19-gerelateerde spam en phishing, volgens IBM X-Force.
De resultaten van het CyberVadis-onderzoek laten zien dat veel organisaties nog een inhaalslag te maken hebben en dat veel cyberbeveiligingspraktijken die als essentieel voor het nieuwe normaal worden beschouwd, nog niet zijn geïmplementeerd. Bedrijven moeten nu dringend beginnen met het herzien van hun beheersystemen voor cyberbeveiliging en investeren in technologie-upgrades en bewustmaking van werknemers om de risico’s tot een minimum te beperken.
Over de auteur: Volker Kratz is Account Executive voor Europa bij CyberVadis en een expert op het gebied van risicobeheer door derden in wereldwijde toeleveringsketens. Voordat Volker bij CyberVadis kwam, werkte hij als Country Manager en Business Director voor SaaS-leveranciers, met name in de retailsector in DACH en internationaal.