18 maanden vrijwillig kwetsbaar zijn?

Enkele dagen geleden op 1 december heeft Fortinet meer dan 50.000 klanten gewaarschuwd dat ze kwetsbare VPN-software gebruiken en hiermee een groot risico lopen om aangevallen te worden. Nu is dit an sich geen ramp, kwestie van even updaten zou je zeggen toch? Klopt, maar het schrijnende aan dit verhaal is dat de beveiligingsupdate al in mei 2019 werd vrijgegeven. Ja je leest het goed, de organisaties in kwestie hebben dus al anderhalf jaar lang geen updates voor hun VPN-systeem geïnstalleerd. Ergens zit hier een stukje ironie. Iets met veiliger willen bewegen over het internet maar dan deze applicatie zelf niet voldoende updaten wat dan weer zorgt voor een onveiligere situatie.

Wat wij van Beschermheren dan niet begrijpen is het feit dat dit door het management in deze 18 maanden niet even is aangekaart als ‘prioriteit’. We snappen best dat de gemiddelde directie van een bedrijf liever met zaken bezig is die geld in de lade brengen. Echter zorgt deze vorm van beleid er juist voor dat er veel geld uit diezelfde lade zal verdwijnen. Inmiddels is namelijk ook bekend geworden dat lijsten met de IP-adressen van apparaten die vooralsnog niet zijn geüpdatet op het internet worden verhandeld. Kortom, de klok tikt.

“Na achttien maanden, meer dan zeven verschillende Fortinet-notificaties en nieuwsdiensten en overheidsinstellingen die voor het risico waarschuwen zijn er nog steeds veel ongepatchte apparaten”

Voer beleid en neem je medewerkers hierin mee

Vorige maand schreven wij een blog over het creëren van awareness bij het management. Dit sluit daar perfect op aan. Natuurlijk ligt het eigenaarschap in dit geval vaak bij de IT-manager of mogelijk bij de IT-leverancier. Maar als je kijkt naar bovenstaande quote mag je aannemen dat het management dit gewoon links heeft laten liggen. Daarnaast mag het ook wel duidelijk zijn dat er geen duidelijk beleid actief is wat betreft het up-to-date houden van essentiële software, ongeacht wie dit ten uitvoer dient te brengen. Er zijn diverse (zwakke) argumenten aan te dragen voor waarom het management in dit geval geen actie onderneemt. Benieuwd naar welke argumenten dit dan zijn? Je leest het hier. Maar de voornaamste les die hieruit te leren valt is dat een veilige werkomgeving begint bij het management. Voer een duidelijk beleid en maak dit bekend bij je werknemers. Toets vervolgens met regelmaat om ervoor te zorgen dat je medewerkers scherp blijven en, laten we eerlijk zijn, het management ook.

Zowel Randstad als de gemeente Hof van Twente hadden mogelijk ook wat beter naar hun beleid (of de uitvoering hiervan) moeten kijken. Natuurlijk weten we er op dit moment het fijne nog niet van, dus zijn we wat voorzichtig in onze bewoording. Toch werd vandaag duidelijk dat beide instanties zijn getroffen door een malware aanval. Er zijn diverse manieren om een succesvolle malware aanval uit te voeren, maar de meest frequente vorm is toch via een phishing aanval. Er hoeft maar 1 medewerker even niet op te letten en het kan snel gaan. Ook dit valt dus direct te linken aan een stukje awareness. Mocht het nou een stagiair zijn geweest die per abuis een verkeerde link heeft aangeklikt, is het dan zijn schuld? Of ligt de verantwoordelijkheid bij het management dat elk jaar slechts 1 awareness training organiseert? Hopelijk weten we binnenkort meer en kunnen we er inhoudelijk op in gaan. Wil jij niet hetzelfde lot ondergaan als deze instanties? Overweeg dan binnen jouw bedrijf Endpoint Protection toe te passen, een echte oplossing voor een echte dreiging.

Veilig overstappen naar de Cloud hoeft niet lastig te zijn

Dan duiken we nog even de Cloud in. Recentelijk kwam het NCSC met 5 adviezen voor de veilige inkoop van clouddiensten. Een document dat wij met veel aandacht hebben gelezen omdat dit natuurlijk nauw aansluit bij de dienstverlening van Beschermheren. Benieuwd naar het volledige rapport? Dat vind je hier.

De essentie van het document is dat bedrijven in de praktijk clouddiensten niet veilig inkopen. Dit leidt uiteindelijk tot onbeheerste risico’s. Ondanks dat veel van deze risico’s na de inkoop nog wel te mitigeren zijn, zijn enkele maatregelen echter alleen effectief wanneer deze vooraf getroffen worden. De transitie van on-premise naar de Cloud is een grote stap waar ook veel risico’s aan vast zitten. Wij van Beschermheren weten als geen ander dat het gemakkelijker is om te anticiperen op mogelijke risico’s dan het te moeten oplossen van opgestapelde problematiek als een direct gevolg van matige beleidsvoering. De Cloud kan namelijk ook een donkere wolk zijn vol met bliksem. Zo kunnen collega’s eenvoudig zelf applicaties aanschaffen en implementeren zonder de IT-afdeling hierbij te betrekken. Normaliter is het echter wel de IT-afdeling die beschikbaarheid en veiligheid van de applicaties en data beheert en garandeert. Maar op het moment dat iedereen vrij spel heeft, waar ligt de verantwoordelijkheid dan?

Daarom ontvangen wij als experts op dit gebied regelmatig de vraag hoe een bedrijf de overstap kan maken naar de Cloud zonder de controle kwijt te raken. Ons eerste antwoord is vaak dat een goede voorbereiding hiervoor essentieel is. Stel dus de juiste, relevante vragen die voor jouw organisatie belangrijk zijn. Er zijn al veel dingen vaak goed geregeld maar nog steeds ligt er gevaar op de loer. Redeneer daarom vanuit de risico’s. Dit geeft je een duidelijk beeld van de onderdelen die goed geregeld zijn en waar er nog winst te behalen valt.

De juiste vragen voor de juiste oplossingen

Om onze klanten hierbij zo goed mogelijk van dienst te zijn hebben we daarom een Cloud Risk Assessment ontwikkeld. Deze handige vragenlijst gaat na waar de aandachtspunten liggen en welke maatregelen er nodig zijn. Tevens is er ook een ISO 27017 norm die inzichtelijk maakt wat de afspraken en rollen tussen de betrokken partijen zijn.

Ondanks dat beide onderwerpen vandaag erg van elkaar verschillen, zijn er zeker overeenkomsten te vinden. Zo is het duidelijk geworden dat een adequaat beleid en het correct naleven hiervan essentieel is voor het veilig houden van bestaande maatregelen en ook bij het implementeren van nieuwe oplossingen. Dit is waarom wij altijd zo hameren op het feit dat soortgelijke zaken geen project zijn maar een proces. En bij dit proces valt altijd winst te behalen valt op het gebied van veiligheid en compliance.

Keertje vrijblijvend sparren met ons? Neem dan contact op en we staan u maar al te graag ter woord. Liever snel inzichtelijk hebben waar je staat als bedrijf? Doe dan onze gratis risicoscan en ontvang binnen vijf werkdagen een volledig rapport aangevuld met best practices.