Door de coronacrisis komen bedrijven voor nieuwe uitdagingen te staan, niet in de laatste plaats op het gebied van cybersecurity. Verschillende onderzoeken laten zien dat organisaties worstelen met hoe werknemers op afstand veilig om kunnen gaan met gevoelige bedrijfsdata. Cybercriminelen maken dankbaar gebruik van de crisis en worsteling van bedrijven.

Tijdens de intelligente lockdown daalde het aantal malwaremeldingen op bedrijfsnetwerken behoorlijk, laat onderzoek van cybersecuritybedrijf Tesorion zien. Zodra werknemers weer terug naar kantoor mochten, steeg de malware vervolgens explosief. Het laat eens te meer zien dat cybercriminelen de menselijke schakel als ingang zien. Op bedrijfsnetwerken wordt malware snel gedetecteerd, maar thuis ontbreekt het vaak aan de juiste securitymaatregelen. Bedrijven lopen hierdoor een groter risico op schade door datalekken of hacks. “In veel bedrijfsnetwerken hebben apparaten toegang tot alle omringende apparaten”, zegt Ernst Veen, productmanager bij Tesorion. “Dit heeft hackers en malware alle vrijheid en gelegenheid om andere apparaten te detecteren en besmetten. Zo kan één apparaat dat tijdens het praktisch onbeschermd thuiswerken besmet is geraakt, de hele organisatie platleggen wanneer het weer in het bedrijfsnetwerk komt.”

Verzwakt oordeel

Veen ziet dat cybercriminelen met phishing-acties inspelen op de huidige onzekere tijden. “Het aantal phising-acties is fors toegenomen, wat uiteindelijk bijdraagt aan het piekaantal malware-incidenten. Voor de komende thuiswerkperiode is het dus van groot belang dat het bewustzijn van medewerkers wordt verhoogd als het om phishing gaat.” Ook KnowBe4 ziet dat corona-gerelateerde phishingmails nog steeds een grote bedreiging vormen. Uit onderzoek van de security awareness specialist blijkt dat ook social mediaberichten een punt van zorg zijn als het gaat om phishing. Phishingberichten over LinkedIn het meest gebruikt (47 procent). “Tijdens deze pandemie azen phishers en scammers op de zwakste plekken van gebruikers, door berichten te sturen die angst, onzekerheid en twijfel zaaien”, zegt Stu Sjouwerman, CEO van KnowBe4. “De pandemie verzwakt het oordeel van mensen en kan hierdoor leiden tot potentieel schadelijke klikken.”

Lakse houding

Het is niet alleen bewustzijn waar het bij Nederlandse medewerkers aan ontbreekt op securitygebied. Volgens onderzoek van Mimecast hebben we een lakse houding ten opzichte van het voorkomen van cybersecurityrisico’s. In vergelijking met andere Europese landen scoort Nederland slecht op dit gebied. Zo gebruiken Nederlanders zakelijke apparatuur opvallend vaak voor privédoeleinden, waardoor organisaties onnodig blootstaan aan cyberrisico’s. In Nederland gaat het om zo’n 65 procent van de mensen die dit doen, terwijl dat percentage in buurlanden Duitsland en  Groot-Brittannië op 56 ligt. Het versturen van privémail is in Nederland de meest populaire bezigheid op zakelijke apparaten.

Lage meldingsbereidheid

Nederlanders blijken daarnaast weinig zicht te hebben op of rekening te houden met de consequenties van hun handelen. Ook is de meldingsbereidheid in Nederland laag: maar liefst 49 procent meldt en verdacht uitziende e-mail niet aan IT. Ook hier scoren Britten en Duitsers met respectievelijke 37 en 35 procent beter. De lakse houding van Nederlandse medewerkers is zorgwekkend, zegt Michael Madon van Mimecast. “In deze hybride wereld is het geen wonder dat werknemers hun persoonlijke en professionele apparaten zonder onderscheid gaan gebruiken. Wel is er reden tot zorgt als blijkt dat medewerkers zich onvoldoende bewust zijn van de potentiële risico’s of hier laconiek mee omgaan.”

Security-protocollen niet up-to-date

Dat het bewustzijn van veilig handelen bij Nederlanders omhoog kan, lijkt ook uit onderzoek van Orange Cyberdefence. En dan zijn niet alleen de werknemers schuldig aan onveilig handelen. Want ruim de helft van de organisaties wéét dat medewerkers onbeveiligd gegevens versturen terwijl die wel beveiligd zouden moeten worden. Van de ondervraagde IT-verantwoordelijken in dit onderzoek geeft 36 procent aan niet volledig op de hoogte te zijn van de veiligheidsrisico’s bij het installeren van nieuwe applicaties op het bedrijfsnetwerk. Hoewel ruim driekwart van de bedrijven protocollen hebben waar werknemers zich aan moeten houden om de veiligheid van data te kunnen garanderen, heeft bijna de helft van de organisaties die protocollen moeten herzien vanwege de crisis. Daarbij geeft 20 procent toe dat de protocollen waarmee nu gewerkt wordt, niet meer up-do-date zijn.

Uitdagingen

“Het afgelopen halfjaar heeft een enorme impact gehad op de inrichting van de IT-omgeving bij bedrijven”, stelt Mark Jenster, general manager bij Orange Cyberdefense. “Het thuiswerken van medewerkers stelt organisaties voor nieuwe uitdagingen. Cybersecurity-protocollen die zijn ingericht voor medewerkers die normaliter op kantoor werken, zijn niet meer van toepassing als men thuis werkt. Dit maakt de organisatie plotseling kwetsbaar en dat is iets waarvan bedrijven zich bewust moeten zijn. Ze moeten hier snel naar handelen, maar dat is niet eenvoudig wanneer tegelijkertijd het IT-budget wordt verlaagd. Het is daarom van belang dat organisaties de risico’s erkennen en hier op directieniveau bewustzijn en aandacht voor vragen”, adviseert hij. Ernst Veen van Tesorion voegt daaraan toe dat een eerste stap in de beveiliging van en bedrijfsnetwerk segmentatie is. “Dat zorgt ervoor dat een eventuele dreiging minder schade kan aanrichten.” Tot slot is het, naast solide securityvoorzieningen, cruciaal om het bewustzijn van medewerkers op het gebied van veiligheid te vergroten, stelt Mimecast. Bijna één op de vijf Nederlandse bedrijven traint het personeel niet om cyberaanvallen te herkennen. Daar is dus nog een wereld te winnen.