Jeroen Dijsselbloem, voorzitter van de Onderzoeksraad voor Veiligheid, gaf onlangs in Nieuwsuur aan dat de informatievoorziening rondom digitale veiligheid veel sneller zal moeten om elkaar te kunnen helpen. Verder zei hij dat alles met betrekking tot digitale veiligheid snel fundamenteel moet veranderen. Wanneer je kijkt naar de actualiteit, dan ben je geneigd om de uitspraken te bevestigen. Er is dus nog een slag te slaan als het gaat om het beveiligen van het Nederlandse bedrijfsleven. Welke ontwikkelingen en bedreigingen kunnen we daarin verwachten in het komende jaar?
De eerste trend is er een die direct aangeeft dat cyber security steeds meer aandacht krijgt. Er zal namelijk steeds meer wet- en regelgeving komen rondom ransomware betalingen. Deze betalingen aan kwaadwillenden zullen steeds meer aan banden gelegd worden, verwacht Gartner. Het blijft natuurlijk een enorm dilemma of je betaalt om snel weer up-and-running te zijn maar tegelijk daarmee wel ‘het systeem’ in stand houdt of dat je voet bij stuk houdt maar daarmee wel data kwijtraakt, met alle gevolgen van dien. Een eenduidig antwoord op dit dilemma is er niet, maar het is in ieder geval goed om te zien dat de overheid actief meedenkt met oplossingen.
Cybercriminelen zoals hackers kiezen steeds vaker kleinere doelwitten omdat ze hier regelmatig ongestraft mee wegkomen. Grote instellingen en overheidsinstanties trekken media-aandacht en brengen ook meer politieonderzoeken met zich mee. De impact bij de kleinere ondernemer is echter enorm. Met andere woorden: digitale veiligheid moét op de agenda staan binnen het mkb.
Hackers worden steeds geraffineerder en er wordt steeds meer gebruik gemaakt van deepfake technologie. Hierbij wordt audio of video realistisch nagebootst om informatie los te krijgen. Ook wordt er steeds meer gebruikgemaakt van social engineering en spearphishing. Phishingmails worden steeds meer gepersonaliseerd waardoor ze een grotere kans van ‘slagen’ hebben. Om deze reden is het belangrijk ook je uitgaande netwerkverkeer te beveiligen.
Je kunt je verzekeren voor de vergoeding van schade als je gehackt wordt. Maar er wordt wel steeds strakker gekeken naar wat je als bedrijf hebt gedaan om dit te voorkomen. Zijn er onvoldoende maatregelen getroffen? Dan is de kans groot dat de schade niet wordt vergoed. Hoewel je niet verantwoordelijk bent voor een aanval, moet je dus steeds vaker wel kunnen aantonen dat je preventieve maatregelen hebt getroffen. Gelukkig kun je dankzij trend 5 alvast stappen zetten.
Kunstmatige intelligentie en big data-analyses worden steeds vaker ingezet om afwijkingen in gedrag te constateren en daarop te anticiperen. Binnen Microsoft zijn er veel verschillende toepassingen die zo op een slimme manier te werk gaan. Zie bijvoorbeeld ook Microsoft Defender for Business wat medio 2022 standaard onderdeel gaat uitmaken van Microsoft 365 Business Premium.
Door het werken op afstand nemen de aanvallen op mobiele devices drastisch toe. Door de groeiende afhankelijkheid van mobiele apparaten worden de technieken aangepast en hierop toegespitst. Het beveiligen van zakelijke devices en privé devices die toegang hebben tot zakelijke data wordt dus steeds belangrijker.
Via passwordsprays en brute force attacks worden massaal heel veel gangbare wachtwoorden ontcijferd door cybercriminelen. De verwachting is dat dit blijft toenemen het komende jaar. Om deze reden adviseren wij altijd een wachtwoordbeleid en multifactorauthenticatie (MFA) binnen Microsoft 365. Meestal kun je dit kosteloos activeren. Zie voor meer info de eerdere security update over hoe je in 2 stappen veiliger kunt werken zonder grote investeringen te doen.
Welke informatie heb je allemaal als organisatie, hoe ga je hier mee om en wat zijn de afspraken die je hier over maakt met je medewerkers? Een organisatie anno 2022 kan niet meer zonder een gedefinieerd securitybeleid zodat iedereen weet waar op gelet moet worden en wat je moet doen als je iets verdachts signaleert. Verder moeten de systemen op een juiste manier ingericht zijn om zo de risico’s (die overigens nooit uit te sluiten zijn) te minimaliseren. Binnen een 'Zero trust'-beleid verifieer je iedere inlogpoging. 'Assume breach' houdt in dat je geen enkele aannames doet op basis van je beveiliging. Om een voorbeeld te noemen, ga je er niet van uit dat alles 'achter' de firewall per definitie veilig is. Je gaat eerder uit van het idee dat hackers in jouw systeem zitten of dat ze er makkelijk in kunnen komen. Het klinkt wat achterdochtig, maar het is wel een manier van denken en een beleid dat ervoor zorgt dat je altijd scherp bent op potentiële dreigingen en risico's zoveel mogelijk beperkt.
Kortom: hoewel zeker binnen het mkb de digitale dreiging toe zal nemen, is het positief om te merken dat de mogelijkheden om jouw organisatie te beschermen ook steeds geavanceerder worden. Op die manier kan 2022 het jaar worden waarin je grote stappen zet zonder in te leveren op productiviteit. Heb je een vraag of wil je vrijblijvend sparren? Neem gerust contact op, wij staan als expert ook dit jaar weer voor je klaar!