De techniek staat voor niets. Nou wij nog.

Ben je in de weer met een slijptol, dan draag je een veiligheidsbril. Werk je met chemische stoffen, dan doorloop je verschillende protocollen en checklists. En in diverse industrieën zijn er regelmatig crisis- en veiligheidsoefeningen.

Zo normaal als veiligheid in veel bedrijfsprocessen is, zo beperkt speelt het online een rol. De techniek is er, maar zolang wij – de gebruikers – slordig omgaan met firewalls, wachtwoorden en updates is er nog een wereld te winnen. 

Laten we met een positief voorbeeld beginnen: een bedrijf als ABN Amro pakt het goed aan, door te zorgen voor kennisdeling en diverse trainingen voor meer online veiligheid. De bank stuurt zelf phishing mails naar haar medewerkers en degenen die klikken wacht een verplichte zes uur durende security awareness training. 

Daar zit direct het belangrijkste punt als het gaat om veiligheid rond internet en tevens rond Industrial Internet of Things: bewustzijn. Het is van belang dat ieder bedrijf zich realiseert dat de systemen waarmee wordt gewerkt een bepaald veiligheidsniveau hebben en dat de risico’s vooral aan de menselijke kant zitten. Je kunt immers de voordeur technisch gezien dichttimmeren, maar als iemand het badkamerraampje openlaat kun je nog steeds zo naar binnen. 

Top 10 kwetsbaarheden 

Het Open Web Application Security Project (OWASP) publiceert al jaren een top 10 van meest voorkomende kwetsbaarheden. De ervaring leert dat je altijd wel tegen een van deze punten aanloopt als je in de kern van een systeem zoekt. Dat heeft vooral te maken met een verschil in mindset tussen bouwer en aanvaller: de bouwer gaat er vanuit dat je een systeem gebruikt zoals het is bedoeld, terwijl een aanvaller juist naar alternatieve manieren van gebruik zoekt.

In dat opzicht is er veel laaghangend fruit. Het grootste probleem zit hem bijvoorbeeld in het niet updaten van systemen. Zo kon WannaCry in mei van dit jaar met een ongekende cyberaanval 230.000 computers in 150 landen besmetten. De reden voor dit ‘succes’: veel mensen hadden de in maart uitgebrachte updates van Windows niet geïnstalleerd.

Bij bedrijven gaat het vaak zelfs om bestanden of systemen die jarenlang niet zijn geüpdatet en waarvan je misschien niet eens meer weet dat je ze hebt. Waar techneuten hun best doen om veilige software te bouwen, is het aan gebruikers om te zorgen voor een degelijke firewall, veiligere wachtwoorden en het up-to-date houden van de software.

Veiligheidshygiëne 

De uitdaging van dergelijke veiligheidshygiëne ligt vaak niet zozeer bij medewerkers, maar op organisatieniveau. Een ontwikkelaar zorgt voor de software, een vormgever voor een gebruiksvriendelijk ontwerp en een IT-medewerker voor de installatie. Als het om veiligheid gaat komen al die vakgebieden samen en de vraag is dan: wie is verantwoordelijk voor een goed wachtwoordbeleid en regelmatige updates? Die verantwoordelijkheid ligt vaak in het midden, waardoor niemand hem pakt.

Wijs dus iemand aan in je organisatie die zich hier mee bezighoudt. Iemand die zorgt voor bewustwording bij de medewerkers, zodat het niet (alleen) als een technologische taak wordt gezien.

Daarnaast is het zaak om niet alleen koste wat kost te zorgen dat er niets gebeurt, maar er ook op voorbereid te zijn dat er wel iets gebeurt. Wat zijn de hordes ná de firewall? En ook: hoe ga je met schade om? Zijn er goede back-ups, is er een lekmeldpunt en staat er iemand van de communicatieafdeling klaar om klanten te informeren? De organisaties die dat op orde hebben, die nadenken over wat er kan gebeuren, komen het beste uit beveiligingssituaties. 

Keurmerk 

Openheid van zaken is ook aan de voorkant van belang, maar veiligheidstransparantie is bij diverse Internet of Things-toepassingen nog ver te zoeken. Bij online bankieren zie je een groen slotje in de adresbalk, maar bij een slimme thermostaat heeft de gebruiker geen idee of hij veilig bezig is. Wees dus zo duidelijk mogelijk richting je klanten, door bijvoorbeeld zoals Apple security white papers uit te geven. 

Veel bedrijven adverteren overigens volop met hoe veilig hun systemen zijn, maar vooralsnog is er geen onafhankelijk keurmerk voor veiligheid. De datastandaard zoals in de creditcard-wereld zou een goede oplossing zijn: een aantal regels waar je aan moet voldoen en anders mag je niet aansluiten. Dat gaat om simpele maar belangrijke zaken, zoals dat het betalingsverkeer via een ander netwerk plaatsvindt dan het mailverkeer. Een dergelijk keurmerk maakt dat je in ieder geval weet dat het minimale aan veiligheidsmaatregelen is genomen. En vooral ook: dat het betreffende bedrijf zich er bewust van is. 

Hoe staat jouw bedrijf ervoor? 

Benieuwd naar hoe jouw bedrijf het doet qua online veiligheid? Praat met een van onze specialisten en laat de veiligheid van je systeem toetsen, waarbij bijvoorbeeld kan worden gekeken of een applicatie lekken bevat en of er oneigenlijke manieren zijn om toegang te krijgen. Zo weet je waar je staat en of je – op technisch en/of menselijk vlak – stappen kunt zetten naar meer online veiligheid.