Note: verschillende links in de tekst verwijzen naar webpagina’s in het Engels

Cyberveiligheid is een onderwerp dat bedrijven niet meer kunnen negeren. Cyberaanvallen leiden tot ernstige downtime, reputatieschade, een groter verloop van klanten, boetes en andere financiële schade. In de eerste helft van 2020 zijn al meer cyberinbraken gepleegd dan in heel 2019, dus het is nog nooit zo belangrijk geweest om te zorgen dat je website goed beveiligd is.

Terwijl het risico alleen maar toeneemt, lukt het veel organisaties niet om zichzelf, hun website en hun klanten te beschermen. We behandelen in dit artikel de meest gemaakte fouten van bedrijven als het gaat om online beveiliging.

1. Weinig besef van web veiligheid bij medewerkers

Menselijke fouten zijn de grootste oorzaak van cyberaanvallen. Of je medewerkers bijvoorbeeld op een foute link klikken of dat ze hun wachtwoorden op een onveilige plek bewaren: zij zijn het vaakst de oorzaak van een cyberinbraak. Maar gelukkig kun je daar wat aan doen.

Uit gegevens van cyberverzekeraar CFC Underwriting blijkt dat 38 procent van de claims die zij ontvangen, voorkomen had kunnen worden als de werknemers beter waren voorgelicht over web beveiliging.

Het is een geruststellend idee dat datalekken te bestrijden zijn door het bewustzijn over web beveiliging te verhogen en digitale veiligheid tot een integraal onderdeel van de bedrijfscultuur te maken. Maar hoewel de link tussen tekortschietend bewustzijn en geslaagde aanvallen overduidelijk is, doen veel werkgevers er niets aan. Uit onderzoek uit 2019 bleek dat slechts een vijfde van de bedrijven in Groot-Brittannië het personeel in het afgelopen jaar een cybersecurity-training had gegeven.

De oplossing: Hoe veilig je bedrijf is, hangt volledig af van de zwakste schakel. Zorg dat je werknemers de basis van cyberveiligheid goed in de vingers hebben. Dat is de sleutel tot het voorkomen van beveiligingsproblematiek en een van de goedkoopste en beste manieren om je bedrijf te beschermen.

De meeste bedrijven zeggen dat de reden waarom ze hun personeel geen cyberveiligheidstraining geven is dat ze ‘niet weten waar ze moeten beginnen’. Wil je onze tip waar je moet beginnen? Begin bij het laaghangend fruit.

  • Hef toegangsrechten van werknemers die vertrekken meteen op. Zo hebben ex-collega’s geen toegang meer tot het systeem. Zorg daarnaast dat er geen bedrijfsgegevens op hun persoonlijke devices staan.
  • Verouderde software zet de deur wijd open voor cybercriminelen, dus zorg dat je patches, updates en upgrades op tijd uitvoert.
  • 94 procent van alle malware komt binnen via e-mail. Dat betekent dat schadelijke links en foute bijlages een enorme bedreiging voor elk bedrijf vormen. Een spamfilter is niet genoeg om die dreiging weg te nemen. Een laks veiligheidsbeleid voor e-mailverkeer los je op door medewerkers te leren hoe ze verdachte mails herkennen en vermijden, en hoe ze aan de bel moeten trekken. Uit een benchmark-rapport over phishing door KnowBe4 bleek dat één jaar training en tests op gebied van phishing al goed was voor een verbetering van 87 procent.
  • Onveilige gebruikersnamen en wachtwoorden zijn ook een veelvoorkomend probleem: 61 procent van de bedrijven geeft toe dat ze meer dan 500 accounts hebben met wachtwoorden die niet automatisch verlopen. Zorg dat medewerkers weten hoe ze sterke wachtwoorden moeten instellen en hoe ze die kunnen beschermen, al dan niet met een wachtwoordmanager die goede wachtwoorden kan aanmaken en deze veilig bewaart.
  • Als je je medewerkers met eigen devices laat werken, een zogenaamd ‘Bring Your Own Device’-beleid, loop je aanzienlijk meer risico. Dat risico kun je deels verkleinen met op rollen gebaseerde toegangscontrole, twee-factor-authenticatie en sterke wachtwoorden.
  • Gegevens op devices die verloren of gestolen zijn komen ook gemakkelijk in handen van cybercriminelen. Zorg dat medewerkers weten hoe ze met bedrijfsapparatuur moeten omgaan als ze niet op kantoor zijn en stel een protocol op voor als een device kwijtraakt of gestolen wordt.
  • Maak duidelijke regels over social-mediagebruik op het werk. Eén op de vijf organisaties loopt een malware-infectie op die van social media afkomstig is.
  • Laat werknemers op tijd patches en software-updates op hun devices installeren. De fabrikant verspreidt ze niet voor niets.
  • Zorg dat werknemers scherp op web veiligheid letten als ze werken met software van derden en externe IT-providers.

Deze eenvoudige maatregelen nemen al een groot aantal dreigingen weg.

2. Geen beleid over cyberveiligheid

Uit onderzoek door het Britse ministerie voor digitalisering, cultuur, media en sport blijkt dat bijna driekwart van de bedrijven cybersecurity een hoge prioriteit geeft. Maar deze woorden lijken ze niet om te zetten naar daden: slechts 27 procent van de ondervraagde bedrijven heeft beleid en protocollen voor web beveiliging. En zonder veiligheidsbeleid is de kans op cyberaanvallen vele malen groter.

  • Het gebruik van social media
  • Beperkingen aan internettoegang
  • Eisen aan wachtwoorden (bewaren, vernieuwen en maken)
  • Toegang op afstand
  • Digitale handtekeningen
  • Het omgaan met gevoelige informatie
  • Draadloze communicatie
  • E-mailveiligheid
  • Het gebruik van apps van derden

De regels en risico’s van web veiligheid veranderen continu. Daarom is het van groot belang dat je je beleid op dat gebied up-to-date houdt. Zet er tijd voor opzij om regelmatig je beleid na te lopen en bij te werken.

3. Geen kundig cybersecurity-personeel aannemen

Vaak ligt een menselijke fout ten grondslag aan een cyberaanval, maar er zijn ook andere oorzaken. Kwetsbaarheden op technisch gebied kunnen grote risico’s veroorzaken. Daarom heb je personeel nodig met kennis en kunde op het gebied van web veiligheid. Toch blijkt uit een onderzoek van Marlin Hawk dat twee derde van de bedrijven grote moeite heeft om senior beveiligingsspecialisten te vinden, en 65 procent is bang dat dat de komende vijf jaar alleen maar erger wordt.

Als het een bedrijf lukt om een beveiligingsspecialist aan te nemen, is die medewerker waarschijnlijk voornamelijk bezig met brandjes blussen. Cybersecurity-specialisten krijgen vaak te weinig tijd en middelen om maatregelen op te stellen en te implementeren die de websitebeveiliging ook op termijn echt naar een hoger niveau tillen.

De wereldwijde vraag naar professionals op het gebied van cyberveiligheid is nog altijd groter dan het aanbod. Ondertussen heeft de IT-afdeling het moeilijker dan ooit met steeds complexere digitale dreigingen. Al met al hebben maar weinig bedrijven de tijd en mogelijkheden om zich echt goed te wapenen tegen een cyberaanval.

De oplossing: Het antwoord is automatisering. Het automatiseren van cybersecurity-taken is een mooie manier om het gebrek aan expertise op te vangen. Zo kunnen bedrijven doorlopend monitoren op beveiligingsrisico’s en continue hun cyberbeveiliging uitbreiden, ondanks hun beperkte hoeveelheid personeel en middelen.

Er zijn tools voor webbeveiliging, zoals Siteimprove Web Security, die niet alleen kwetsbaarheden op een website herkennen, maar ook proactieve oplossingen bieden. Taken zoals het bijhouden wanneer websitecertificaten verlopen kunnen makkelijk worden overgenomen door websitemanagementsoftware. Dat geeft beveiligingsspecialisten meer tijd voor ingewikkeldere veiligheidsrisico’s.

Volgens Ron Green, CSO bij Mastercard, is automatisering een uitkomst voor cyberveiligheidsprofessionals. “Machine learning en automatisering zijn nu en in de toekomst een heel handig hulpmiddel voor CISO’s,” zegt hij. “Bedrijven zullen nog steeds slimme mensen nodig hebben voor beveiliging. Maar de mensen die over de beveiliging gaan, hebben nu al veel te veel zaken om in de gaten te houden. En je kunt er geen mensen bij blijven zetten, want die zijn er niet genoeg.”

4. Websitebeveiliging zien als een probleem voor IT, niet voor het hele bedrijf

Uit de resultaten van een EY Global Board Risk Survey blijkt dat bijna de helft van de besturen verwacht dat cyberaanvallen en datalekken een aanzienlijke impact op hun bedrijf zullen hebben in het komende jaar. Toch zien ze webbeveiliging over het algemeen nog steeds als niets meer dan een verplicht nummer om compliant te blijven. Slechts 7 procent van de ondervraagden ziet webbeveiliging als een ‘innovation enabler’.

Bedrijven die cyberveiligheid alleen de verantwoordelijkheid van IT vinden, lopen het strategische voordeel van web beveiliging mis. Een goed beveiligde website is onmisbaar om het vertrouwen van klanten te winnen, je intellectuele eigendom te bewaken en je merk veilig te stellen. En als je de reikwijdte en de impact van een datalek onderschat, loopt je bedrijf een enorm risico.

Dit zijn de redenen dat een proactieve aanpak van cybercriminaliteit noodzakelijk is:

  • Het gemiddelde datalek kost 3,86 miljoen dollar. Maar naast de enorme financiële schade zijn ook het grotere klantverloop, de winstderving, het verlies van vertrouwen en de reputatieschade aanzienlijk.
  • Voor veel bedrijven is hun intellectuele eigendom hun grootste asset. Onder intellectueel eigendom vallen patenten, ontwerpen, handelsgeheimen, vertrouwelijke informatie en kennis van medewerkers. Enorm waardevolle informatie dus, die nooit in verkeerde handen mag vallen. Alleen al in de VS kost diefstal van intellectueel eigendom bedrijven jaarlijks tot wel 600 miljard dollar.
  • 87 procent van de bedrijven zegt geen zaken te willen doen met een bedrijf als ze er niet op kunnen rekenen dat er vertrouwelijk met hun gegevens wordt omgegaan.
  • Juridische kosten en boetes kunnen flink in de papieren lopen. Een voorbeeld: volgens de nieuwe AVG-wetgeving kunnen bedrijven een boete krijgen van tot wel 4 procent van hun jaaromzet. In totaal werd in het eerste jaar van de AVG al 63 miljoen dollar aan boetes uitgedeeld.
  • Het inzetten van bedrijfsmiddelen om de gevolgen van een datalek tegen te gaan kan leiden tot ernstige verstoringen van de bedrijfsvoering.
  • Het kost veel tijd en middelen om stuurgroepen en commissies te vormen om een datalek achteraf te onderzoeken.
  • Daarnaast zijn er de kosten om het vertrouwen van consumenten, aandeelhouders en andere stakeholders terug te winnen na een veelbesproken datalek.

Klinkt dat als een zaak voor IT’ers? Nee, het is een zaak voor het hele bedrijf. En een belangrijke ook!

Maar wat staat er het meest in de weg bij het beschouwen van websitebeveiliging als een bedrijfstak? Te weinig aandacht vanuit hoger management. We zien talloze krantenkoppen over desastreuze datalekken voorbijkomen, en toch ziet slechts 5 procent van het C-level-management webbeveiliging als hun belangrijkste taak. Dat is in lijn met resultaten van Brits onderzoek die aantonen dat minder dan één op de drie bedrijven een bestuurslid heeft die verantwoordelijk is voor cyberveiligheid.

Een goed beveiligde website is goed voor het bedrijf

Gelukkig ziet het ernaar uit dat het tij begint te keren. 29 procent van de bedrijven ziet in dat webbeveiliging een agendapunt voor de bestuursvergadering hoort te zijn. Voor de bedrijven die dat onderkennen en ernaar handelen, kan een goede cybergezondheid een cruciaal concurrentievoordeel zijn. Bijna driekwart van de marktleiders gaf in een onderzoek van AT&T Cybersecurity aan dat goede cyberbeveiliging significant bijdraagt aan hun succes.

De oplossing: Maak van web veiligheid een managementkwestie. Effectieve beveiliging is alleen te realiseren als er genoeg aandacht aan besteed wordt vanuit het hoger management. Om dat te kunnen bereiken, stel je een Chief Information Security Officer (CISO) aan.

Slechts 4 op de 10 organisaties heeft een medewerker in dienst die verantwoordelijk is voor het informatiebeveiligingsbeleid én op managementniveau opereert, dus hiermee heeft je bedrijf een duidelijke voorsprong op de concurrentie. De taak van deze manager is om het senior management bij te praten over de risico’s en de ROI van cyberveiligheid en om de neuzen één kant op te krijgen als het gaat om een bedrijfscultuur van digitale veiligheid.

Bestuursleden en senior managers worden steeds vaker verantwoordelijk gesteld voor datalekken die onder hun leiding zijn voorgevallen. De voorzitter en algemeen directeur van Equifax, Richard Smith, zag zich genoodzaakt om te vertrekken na een hack in 2017 waardoor de persoonlijke informatie van 145 miljoen klanten op straat was komen te liggen. Conclusie: vraag om de middelen die je nodig hebt om te zorgen dat je website goed beveiligd is. Het is nu belangrijker dan ooit.

5. Beveiligingsaudits uitstellen... of afstellen 

Bedrijven kunnen zich het best verdedigen door zich proactief op te stellen, in plaats van reactief. Het is essentieel om regelmatig beveiligingsaudits uit te voeren om kwetsbaarheden op te sporen, risico’s duidelijk te maken en preventieve maatregelen te nemen. Maar omdat die audits vaak veel middelen en tijd kosten, worden ze vaak alleen uitgevoerd als het echt niet anders meer kan.

Voor bedrijven die geen veiligheidsexperts in dienst hebben, zijn beveiligingsaudits vaak een beproeving. Handmatig auditen vereist technische expertise die veel webbeheerders gewoonweg niet hebben.

Het gevolg? In het beste geval verspilde tijd, moeite en middelen, omdat de organisatie de veiligheidsstrategie baseert op giswerk in plaats van kwetsbaarheden te lijf te gaan op basis van data en duidelijke risicoprioriteiten. In het slechtste geval: een website vol beveiligingsgaten en zwakke plekken.

De oplossing: Investeer in een tool die automatisch scant op de belangrijkste kwetsbaarheden die websites kunnen hebben. Eenmalige checks zijn niet genoeg. Je kop in het zand steken is helaas ook geen optie. Webbeveiliging is per definitie dynamisch, dus het is een must om je website doorlopend te scannen op mogelijke beveiligingsrisico’s.

Gelukkig zijn er een aantal manieren om online beveiligingsaudits een heel stuk makkelijker te maken.

  • Laat de technologie een handje helpen en gebruik regelmatige geautomatiseerde beveiligingsaudits.
  • Een combinatie van geautomatiseerde beveiligingsaudits en handmatig testen is de meest effectieve manier om de beveiligingsstatus van een website in kaart te brengen. Een tool als Siteimprove Web Security is een samenwerkingsplatform waarop webteams en IT-teams samen de webbeveiliging beheren.

6. Het idee dat grootte er niet toe doet

Wat hebben Nintendo, Yahoo! en Zoom met elkaar gemeen? Het zijn allemaal grote bedrijven die te maken hebben gehad met ernstige datalekken die breed zijn uitgemeten in het nieuws. Omdat er in de media vooral wordt gepraat over grote namen, denken veel MKB’ers dat zij nooit het doelwit van een cyberaanval kunnen worden. Dit is een gevaarlijke denkfout. Kleine en middelgrote bedrijven kunnen fulltime beveiligingsspecialisten vaak niet betalen, en dat maakt ze juist een makkelijk doelwit voor cybercriminelen. Sterker nog: bijna de helft van alle cyberaanvallen is gericht op kleine bedrijven.

Een onderzoek uit 2020 wees zelfs uit dat 43 procent van het MKB in de Verenigde Staten en het Verenigd Koninkrijk geen enkel plan of protocol heeft om zich te verdedigen tegen cybercriminaliteit. 

Dat is niet alleen onverstandig, maar vaak ook onwettelijk. In de Verenigde Staten is ook voor kleine bedrijven, die verder niet hoeven te voldoen aan de eisen van de staat, een minimaal niveau van IT-beveiliging verplicht. Als er een cyberaanval op deze bedrijfjes gepleegd wordt waarbij consumentengegevens uitlekken en ze blijken nalatig te zijn geweest, kunnen ze worden vervolgd. Sommige staten, zoals Californië en New York, stellen zelfs wettelijke regels over informatiebeveiliging voor bedrijven.

Paul Lipman, CEO van BullGuard, zegt: “Kleine bedrijven zijn niet immuun voor cyberaanvallen en datalekken. Ze zijn juist vaak een doelwit omdat ze weinig belang hechten aan veiligheid. Ze vallen tussen wal en schip: oplossingen voor consumenten zijn niet afdoende, maar ingewikkelde bedrijfssoftware is een brug te ver. Daarom laten kleine ondernemers cybersecurity vaak links liggen. Maar één aanval is genoeg om een klein bedrijf om zeep te helpen.”

De oplossing: Een cyberaanval op een kleiner bedrijf kan desastreuze gevolgen hebben. De eerste stap naar een goed beleid is onder ogen zien dat aanvallers het op je bedrijf gemunt kunnen hebben.

Juist met het oog op de problematiek van beperkte middelen en tekorten aan personeel zijn specialistische webbeveiligingsoplossingen, zoals Siteimprove Web Security, ontwikkeld om beter aan de behoeften van het MKB tegemoet te komen. Deze tools zijn erop ontworpen om kleine teams te helpen met het begrijpen en verbeteren van hun webbeveiliging, zonder al het jargon en de complexiteit van bedrijfssoftware.

Geef je cybergezondheid een boost met Siteimprove Web Security

Wat de bovenstaande fouten gemeen hebben, is dat je ze grotendeels kunt verhelpen met een proactieve, geautomatiseerde en integrale aanpak van webbeveiliging. De beste manier om je bedrijf te wapenen tegen cyberaanvallen is om webbeveiliging te verwerken in alle facetten van je digitale strategie.

Met een goed beleid op het gebied van webbeveiliging, cyberveiligheidstrainingen voor medewerkers en investeringen in afweertechnologieën van vertrouwde leveranciers kun je je bedrijf beschermen tegen de toenemende risico’s van cybercriminaliteit.

Wij willen je helpen om je bedrijf, je website en je klanten te beschermen tegen cybercriminelen. Daarom zijn we Siteimprove Web Security begonnen. Web Security slaat de brug tussen IT en de rest van je bedrijf door te zorgen dat iedereen hetzelfde doel voor ogen heeft. Dat krijg je voor elkaar met een duidelijk overzicht van de kwetsbaarheden van je website (op de gebieden Web Application, Network en Server) en de stappen om ze te verhelpen, op volgorde van prioriteit.

Lees meer over hoe je je website veilig houdt met de features van Siteimprove Web Security in onze blog.