Dé beste software voor kwaliteits- en risicomanagement.Thierry van Delden is al ruim drie jaar Compliance & Privacy Officer bij Infoland. In zijn rol komt hij dagelijks in aanraking met technologie, privacy en databescherming. Hij weet als geen ander hoe belangrijk het is om als organisatie – hoe klein of groot dan ook – cybersecurity serieus te nemen. En dat gaat veel verder dan het aanschaffen van goede software, als je weet dat 88% van de cybersecurity-incidenten voortkomt uit menselijk handelen. Hoe zorg je voor informatieveilig gedrag in je organisatie? En hoe zit het met leveranciers, wat verwacht je van hen op het gebied van security? In dit interview gaat Thierry in op de vier belangrijkste cybersecuritytrends van dit moment en geeft hij tips over hoe je hier als organisatie medewerkers en leveranciers bij betrekt.
“Het creëren van security awareness brengt uitdagingen met zich mee voor managers. Medewerkers hebben het namelijk al druk genoeg met eigen taken, en ze gaan er vaak vanuit dat security iets is wat ‘de IT-afdeling wel regelt’. Hoe zorg je ervoor dat veilig gedrag standaard gedrag wordt? Het is belangrijk dat je medewerkers betrekt en de dialoog opent.”
– Thierry van Delden, Compliance & Privacy Officer bij Infoland
Bij een ransomware-aanval worden de ICT-systemen van een bedrijf of persoon geïnfecteerd met malware die de gegevens in het systeem versleutelt. Ransomware is helaas nog steeds de favoriete keuze van hackers. Waarom? Het is relatief eenvoudig én doeltreffend. Ook in Nederland richt ransomware flink wat schade aan. Tussen 2021 en 2022 was er een stijging van 80% in het aantal ransomware-aanvallen. Wereldwijd werd 37% van alle bedrijven vorig jaar getroffen. Thierry: “Ransomware is niets nieuws, maar deze cijfers tonen wel aan dat organisaties dit serieus moeten nemen. Deze cijfers zullen naar verwachting elk jaar stijgen.”
Als je als organisatie slachtoffer wordt van gijzelsoftware, kan dit desastreuze gevolgen hebben. Je krijgt jouw bedrijfsgegevens namelijk pas weer terug als je losgeld betaalt – maar ook dat biedt geen garantie. Want hoewel 32% van de slachtoffers het losgeld betaalt, krijgen zij gemiddeld maar 65% van hun gegevens terug. “Toch zien we vaak nieuwsberichten in de media waarbij grote organisaties het losgeld betalen”, zegt Thierry. “Denk maar recent aan het voorbeeld van de KNVB, die ruim een miljoen euro betaald zou hebben om te voorkomen dat gehackte persoonsgegevens van onder andere leden publiekelijk gemaakt zouden worden.”
Naast deze vorm van afpersing kunnen ook andere kosten hoog oplopen als je slachtoffer wordt van een ransomware-aanval, bijvoorbeeld door het vervangen van de ICT-systemen of het inhuren van ICT-specialisten om de schade te beperken. Ook zorgt een ransomware-aanval vaak voor omzetverlies, omdat je tijdelijk niet op je volledige capaciteit kan werken. Thierry: “Voorkomen is dan ook beter dan genezen. 74% van de ransomware-aanvallen wordt getriggerd door een menselijke handeling. Jouw beveiligingsmaatregelen kunnen dan nog zo goed zijn… Als je geen bewustwording creëert onder medewerkers, gaat het vroeg of laat mis.”
Lees hier meer over hoe je een ransomware-aanval kunt voorkomen.
Dat brengt ons meteen bij de tweede belangrijke securitytrend: awareness. “De belangrijkste ‘trend’ van allemaal”, zegt Thierry. “Cybercriminelen weten dat mensen de zwakste schakel zijn. Ze zetten met succes in op technieken als phishing of social engineering. Bij social engineering krijg je bijvoorbeeld een mailtje van je baas met de vraag om een overschrijving te doen. Het kan allemaal heel realistisch lijken.” Cybercriminelen maken misbruik van steeds geavanceerdere technieken.
Uit talrijke onderzoeken blijkt ook dat het risico toeneemt door het massale thuiswerken. Thierry: “Doordat in de coronaperiode veel bedrijven haastig maatregelen moesten nemen om over te schakelen op online werken, nam het aantal security-incidenten toe met 238%.” Remote werken is risicovol door de ‘kruisbestuiving’ van de persoonlijke naar zakelijke apparaten en omgekeerd. Vooral het beveiligingsniveau van de endpoints waarmee medewerkers werken is daarbij een kritieke factor – zo gebruikt 70% van de kantoormedewerkers werkapparatuur voor persoonlijke taken, en 37% zijn of haar persoonlijke computer om werktoepassingen te benaderen.
Door medewerkers attent te maken op de gevaren kun je veel menselijke incidenten voorkomen. Het creëren van awareness kan gaan van het belang van informatiebeveiliging begrijpen tot weten wat je moet doen in verdachte situaties en wat vooral niet. “Awareness creëren brengt uitdagingen met zich mee voor managers”, legt Thierry uit. “Medewerkers hebben het namelijk al druk genoeg met eigen taken, en ze gaan er vaak vanuit dat security iets is wat ‘de IT-afdeling wel regelt’. Hoe zorg je ervoor dat veilig gedrag standaard gedrag wordt?”
Het is belangrijk om bijvoorbeeld security awareness trainingen te geven, maar zorg er vooral voor dat mensen geboeid blijven. Hoe? Thierry heeft een aantal tips:
In dit artikel lees je meer over het creëren van security-awareness en staan bovenstaande tips uitgebreider beschreven.
Stel: jouw medewerkers zijn inmiddels goed getraind rondom security-awareness, je beveiliging is op orde… en dan? Hoe zit het met de bedrijven waarmee je samenwerkt? Je zult ook de cybersecurity maatregelen van je leveranciersketen inzichtelijk moeten maken. Dit is een van de zaken die beschreven staat in de NIS2-richtlijn die op 17 oktober 2024 ingaat. Thierry legt uit: “De Europese Unie introduceerde in 2016 de Network and Information Security Directive. Nu komt er een vernieuwde richtlijn – de NIS2 – om de cyberveiligheid en de weerbaarheid van essentiële bedrijven en diensten in de EU te beschermen én te verbeteren.”
De NIS2-richtlijn verscherpt de vereisten voor security voor organisaties die essentieel of belangrijk zijn voor de samenleving. “Terwijl de oude richtlijn alleen focuste op essentiële sectoren, zoals de gezondheidszorg, worden er nu dus meer sectoren toegevoegd. Denk aan internetproviders en overheidsinstanties”, zegt Thierry. Als jouw organisatie onder de categorie ‘essentieel’ of ‘belangrijk’ valt, moet niet alleen jij voldoen aan de NIS2-richtlijn, maar moet je ook de beveiligingsrisico’s van leveranciers in kaart brengen.
Een voorbeeld: als je een energieproducent bent, is jouw organisatie van essentieel belang voor de maatschappij. Als je windmolens bestelt bij een externe leverancier en deze wordt getroffen door een ransomware-aanval, dan kun jij als essentiële dienst je capaciteit niet uitbreiden. Dus moet je ook nagaan welke securitymaatregelen die leverancier neemt. Thierry: “Wat verwacht je van leveranciers? Vraag je gewoon jaarlijks hun ISO 27001 certificaat op, en is het dan goed? Of ga je zelf jaarlijks langs om te auditen? Stuur je twee keer per jaar een vragenlijst en bevraag je zo het securitybeleid? Met een slim auditmanagementsysteem, zoals Zenya CHECK borg je dit proces. Je kunt de focus leggen op een specifieke norm, zoals de NIS2-richtlijn, en zo optimaal compliant zijn.
Wil je meer weten over de NIS2-richtlijn en waar je aan moet voldoen als jouw organisatie hieronder valt? Hier lees je er alles over.
AI en security… Hoe zit dat eigenlijk? Thierry: “Artificial Intelligence (AI) is een onderwerp waar je niet omheen kan, hoewel dit geen securitytrend an sich is. Als jouw organisatie slechts sporadisch gebruikmaakt van AI-tools zoals ChatGPT om inspiratie op te doen, dan is de ingebouwde beveiliging van zo’n tool vaak voldoende. Die moet je zelf beoordelen en bepalen of het voor jouw organisatie voldoende is. Als AI echt de corebusiness van je bedrijf is, is het natuurlijk een ander verhaal. Wanneer je bijvoorbeeld zelf AI ontwikkelt en er persoonsgegevens mee gemoeid zijn, dan worden er juridisch gezien scherpe securitymaatregelen verwacht.”
Als AI een belangrijk onderdeel wordt van jouw bedrijfsvervoering, dan zou de correcte beveiliging van jouw AI-gerelateerde tools ook een belangrijk onderdeel van je securitystrategie moeten zijn. Er komt ook een nieuwe Europese wet over AI aan: de AI Act. Die wet gaat de spelregels voor het ontwikkelen én gebruiken van AI bepalen. Houd dit zeker in de gaten als je organisatie bezig is met AI!
Ben je na het lezen van dit artikel benieuwd naar hoe Zenya jouw organisatie kan ondersteunen bij bijvoorbeeld het borgen van securityrichtlijnen zoals de NIS2? Of wil je weten hoe je met Zenya BOOST een effectieve security awareness-campagne kunt opzetten?
Vraag de brochure aan zodat je alle informatie gemakkelijk bij de hand hebt.
Zelf zien wat Zenya voor jouw organisatie kan betekenen? Vraag een gratis demo aan.
Neem vrijblijvend contact op met onze experts. Wij denken graag met je mee.
