Aangezien de pandemie voorlopig nog niet is uitgeraasd, belooft ook 2022 een uitdagend jaar te worden. Een prioriteit voor elk bedrijf, ongeacht grootte of sector, is het waarborgen van de interne veiligheid. Want ook cybercriminelen zien tijdens de pandemie kans om verwoestend effectief te worden. Met dit in gedachten hieronder drie eenvoudige tips om het mkb te beveiligen.
- Begrijp het bedreigingslandschap
Tijdens de eerste golf van de pandemie waren grote bedrijven het voornaamste doelwit van hackers en kwaadwillenden. Denk aan Marriott Hotels en de Wereldgezondheidsorganisatie, die in april 2020 werden aangevallen. Afgelopen jaar is deze trend echter omgeslagen en volgens onderzoek is het mkb nu het grootste doelwit van cyberaanvallen.
Dit zou komen door het feit dat kleinere organisaties doorgaans het meest te verliezen hebben. Uit rapporten blijkt dat zestig procent van het mkb zes maanden na een datalek failliet gaat. Daarnaast beschikken kleine organisaties, in tegenstelling tot grote bedrijven, vaak niet over de geavanceerde beveiliging, wat ze het perfecte doelwit maakt voor cybercriminelen.
Naarmate mkb-organisaties ontdekken dat ze een gewild doelwit zijn van cybercriminelen, zal in 2022 de vraag stijgen naar oplossingen om hun netwerken te beschermen. Bij gebrek aan een aparte beveiligingsafdeling binnen hun bedrijf, zullen mkb’ers op zoek gaan naar verkopers en msp’s die gemakkelijk beheerbare en betaalbare beveiligingsoplossingen leveren.
Nu werken op afstand een blijvertje is, zullen eenvoudige plug-and-play-oplossingen, waarmee bedrijven veilige netwerktoegang kunnen leveren, in 2022 onverminderd populair blijven. Denk aan toegangspunten zijn te configureren om de service set identifier (ssid) van een kantoor te repliceren, inclusief veilige tunnels en naadloze toegang tot het bedrijfsnetwerk. Dit kan een vitale oplossing worden voor mkb’ers die hun medewerkers veilig op afstand willen laten werken.
- Vertrouw nooit, verifieer altijd
Volgens onderzoek heeft bijna 97 procent van de organisaties hybride werken in hun bedrijfsstructuur geïmplementeerd of is van plan dit te doen. Deze gedistribueerde manier van werken ontpopt zich dus tot de nieuwe standaard. In plaats van één gecentraliseerd netwerk, werken medewerkers op verschillende locaties, met verschillende niveaus van beveiliging.
Door de toename van deze gedistribueerde werkwijze ziet het mkb nu een verschuiving van de kwetsbaarheden in hun beveiliging. Voorheen wilden kleinere organisaties vooral één enkel netwerkpunt te beschermen tegen beveiligingsrisico’s. Nu zoveel thuiskantoren veranderd zijn in onderdelen van het centrale netwerk van een bedrijf, betekent dit dat er ook meer kwetsbare punten zijn.
Om dit probleem aan te pakken, moet het mkb een zero-trust-aanpak hanteren ten aanzien van connectiviteit. Ofwel, nooit vertrouwen, altijd verifiëren. Iedereen die toegang tot het netwerk probeert te krijgen, moet aantonen dat hij is wie hij zegt dat hij is.
In 2022 zal het gebruik van multi-factorauthenticatie toenemen, een extra beveiliging naast het wachtwoord, waardoor mensen die toegang vragen tot het bedrijfsnetwerk geen kwaadwillende actoren zijn. Zo kan het mkb gegevens voor zichzelf en voor zijn klanten beter beschermen.
Het belang van een zero-trust-beveiligingsaanpak is onlangs benadrukt door de Britse regering. Het Department for Digital, Culture, Media and Sports (DCMS) heeft een Cyber Assessment Framework van het National Cyber Security Centre in het leven geroepen en voorgesteld dat msp’s wettelijk verplicht worden deze richtlijnen te volgen. Binnen het kader zouden msp’s verplicht worden om maatregelen zoals multi-factorauthenticatie te gebruiken voor de veilige toegang tot gegevens.
- Privacywetgeving laten meewegen in aankoopbeslissingen
De afgelopen jaren is dataprivacy een veelbesproken onderwerp geworden voor overheden en grote bedrijven door de Algemene Verordening Gegevensbescherming (AVG; ook bekend onder de Engelse afkorting GDPR) van de EU. Nu het aantal datalekken in 2021 met 14 procent is gestegen ten opzichte van 2020, is het mkb echter verplicht om waakzamer op te treden bij de bescherming van klantgegevens.
Dit is een uitdaging voor het mkb, dat niet beschikt over de speciale beleids- en beveiligingsafdelingen die zich hiermee kunnen bezighouden. Geconfronteerd met toenemende klachten van klanten die zich zorgen maken over hun persoonsgegevens, zullen deze kleinere bedrijven eenvoudige oplossingen moeten vinden die kunnen helpen bij het veilig beheren van privacygevoelige gegevens.
Nu het Verenigd Koninkrijk onlangs zijn post-Brexit-AVG-plannen heeft onthuld, zullen mkb’ers in 2022 hun heil moeten zoeken bij leveranciers en msp’s om te bepalen wat AVG-compliant is in de verschillende regio’s van Europa.
Overleven
Uiteindelijk zullen mkb’ers beveiliging als topprioriteit binnen hun bedrijfsmodellen moeten gaan zien om te overleven. Zeker naarmate het aantal datalekken toeneemt. Bij gebrek aan de interne infrastructuur om meer geavanceerde beveiligingsmaatregelen te implementeren, zal het mkb zich in 2022 tot verkopers en msp’s wenden om aan de kennis, apparatuur en infrastructuur te komen om zich tegen aanvallers te kunnen verdedigen.
Wat betreft het bedreigingslandschap is de uitdaging vooral wat er achter de deur van de netwerk toegang ligt, kijkend naar de ketens ligt er een uitdaging aangaande zero trust. Gekke Gerrit van Computable riep hier ooit eens wat over voordat het zero trust heette want het nooit vertrouwen, altijd verifiëren vraagt nogal wat van IdA(a)M systeem en meestal gaan organisatorische veranderingen sneller dan wijzigingen in rechten. Wat betreft de inner- en outer circles wordt informatiebeveiliging nog altijd als een last gezien en dat leidt tot de welbekende olifantenpaadjes, alle wettelijke verplichtingen ten spijt is compliance vaak niet meer dan een papieren tijger.
Oja, door wetgeving is data van een core asset veranderd in een verantwoordelijkheid waarbij vraag over rechtmatigheid van gegevensverzamelingen en -verwerkingen interessant wordt. Net zoals dat ik weet waar je huis woont middels de GPS locatie als het om bedreigingslandschap gaat. Don’t lookup want aangaande de AVG-compliance is er al enige tijd zoiets als geofencing voor data, niks nieuws onder de zon alleen was er nog weinig urgentie omdat AP de blaffende hond zonder tanden is.