Gebrek aan vertrouwen schadelijk voor IT

In potentie zijn nieuwe technologieën geweldig voor de organisaties die ze omarmen. Dankzij IoT, virtualisatie, cloud computing en automatisering zijn veel bedrijven efficiënter en goedkoper gaan werken. Daar staat tegenover dat IoT-apparaten en de alom aanwezige mobiele apparatuur voor diezelfde bedrijven serieuze risicofactoren zijn geworden. Vele duizenden slecht beveiligde smartphones en IoT-apparaten zijn inmiddels verbonden met allerlei zakelijke netwerken, met als gevolg dat bedrijven om de haverklap worden blootgesteld aan allerlei inventieve hacks.

Organisaties die actief zijn in bijvoorbeeld de zorg, en die grote hoeveelheden vertrouwelijke gegevens onder hun hoede hebben, zijn daardoor niet altijd even happig op het gebruik van nieuwe technologie. Het lastige is dat niet digitaliseren eigenlijk geen optie is. Organisaties die achterblijven, krijgen uiteindelijk vaak te maken met hogere operationele kosten, dalende productiviteit, trage dienstverlening en een achteruithollende concurrentiepositie.

Een strategie gericht op vertrouwen

Om organisaties toch zover te krijgen dat ze nieuwe technologieën gaan gebruiken, moet er een actieve cybersecurity-strategie op tafel komen die erop gericht is het vertrouwen in IT te herstellen. Zo’n strategie moet van cybersecurity een vanzelfsprekendheid maken, door te kiezen voor oplossingen die al in de basis veilig zijn ontworpen (security by design) en die het veilig gebruik van IT vergemakkelijken in plaats van hinderen.

Medewerkers moeten er blind op kunnen vertrouwen dat de techniek die ze gebruiken van zichzelf veilig is. Een goed voorbeeld hiervan is het netwerk. Veel medewerkers gaan er eenvoudigweg vanuit dat het bedrijfsnetwerk ze altijd naar de bestemming brengt die ze verwachten: tik een domeinnaam in en de juiste pagina opent zich op je scherm. Waar weinig mensen aan denken is dat één systeem de makkelijk te onthouden domeinnamen vertaalt naar een IP-adres. Dat Domain Name System (DNS) neemt daardoor wel een tamelijk cruciale plaats in in de organisatie: wie het DNS hackt, kan het hele netwerkverkeer eenvoudig manipuleren. En inderdaad is het DNS een gewild doelwit voor cybercrime.

Van medewerkers mag je verwachten dat ze op het werk geen obscure websites bezoeken. Maar je kunt niet van ze verwachten dat ze de werking van het DNS controleren. Als het daar fout gaat, en medewerkers daardoor alsnog in de fuik van een hacker terechtkomen, is het niet vreemd dat de argwaan richting IT toeneemt. Medewerkers moeten ervan op aan kunnen dat de systemen waar ze mee moeten werken betrouwbaar zijn.

Beveiliging van kernsystemen

De andere kant van die medaille is dat het DNS daarmee ook een goed punt is om een verdedigingslinie op te bouwen. Door het DNS te beveiligen, heb je als werkgever direct veel meer controle op het netwerkverkeer. Een cloudgedreven DNS-beveiliging kan voorkomen dat medewerkers naar verkeerde IP-adressen worden doorgestuurd, zelfs als ze buiten het bedrijf aan het werk zijn. Sterker nog: een goede DNS-beveiliging is meteen ook een wapen tegen data-exfiltratie, malware en DDoS-aanvallen.

Natuurlijk bestaat een goede cybersecurity-strategie niet uit DNS-beveiliging alleen. Medewerkers moeten ook weten dat hackers echt niet zomaar het bedrijfsnetwerk op kunnen komen (preventie), dat ze snel ontdekt worden als het toch lukt (detectie) en dat ze weinig kunnen met de gegevens die ze eventueel zouden aantreffen (encryptie). Medewerkers hebben daarnaast zelf ook een verantwoordelijkheid als het gaat om veilig gebruik van IT – maar dat is niet waar het begint. Het heeft het weinig zin medewerkers aan te spreken op onveilig gedrag als ze zelf het idee hebben dat de technologie die ze gebruiken onbetrouwbaar is.

De Nationaal Coördinator Terrorismebestrijding en Veiligheid constateerde in het Cybersecuritybeeld Nederland 2018 dat steeds meer cyberaanvallen succesvol zijn doordat eenvoudige basismaatregelen om informatietechnologie te beveiligen niet worden genomen. Voor het vertrouwen in IT is dat funest. Gelukkig zijn veel aanvallen te voorkomen door kernsystemen zoals het DNS goed te beveiligen. Daardoor stijgt het vertrouwen in IT en krijgt digitale technologie de kans zich te bewijzen.

Gary Cox, Tech Director van Infoblox