Van CEO tot receptioniste: cybersecurity gaat iedereen aan
Om zichzelf te beschermen tegen cybercriminaliteit is Kaspersky’s kernproduct, de end-pointoplossing, lang niet meer genoeg. Dat realiseren eindklanten en partners zich ook. Daarom investeert Kaspersky onder andere in non-endpoint solutions, zoals het creëren van awareness. De ketting is zo sterk als de zwakste schakel. En daarom kan iedereen, van de CEO tot de receptioniste, op een onverwachts moment een gesimuleerde phisingmail van Kaspersky verwachten.
Afgelopen jaar was niet alleen een uitdaging voor onze gezondheid en economie, maar ook onze data en systemen lagen steeds meer onder vuur. Iedereen die thuis kon werken, werkte thuis en daar moesten onze systemen op worden ingericht. Dat betekende dat onze attack surface steeds groter werd; een feit dat ook de cybercriminelen niet ontgaan was. Cybersecurity staat daarom bovenaan de prioriteitenlijst voor velen van ons.
Meer dan alleen end-point security
Ook bij Kaspersky zagen ze de vraag veranderen, vertelt Mark Roubos (foto), Territory Channel Manager voor SMB bij Kaspersky. ‘Cybersecurity werd steeds urgenter, doordat we ineens met z’n allen thuis moesten werken. Zowel eindklanten als partners willen dan ook weten hoe ze hun bedrijf nog beter kunnen beschermen. Ze gebruiken veelal onze end-point solutions al, maar ze willen weten wat ze nog meer kunnen doen.’
Cybercriminelen hebben niet alleen meer kans door het grotere aanvalsveld, de incidenten worden ook steeds complexer. ‘De complexiteit heeft te maken met de ingewikkeldheid van het IT-landschap van een bedrijf’, vertelt Robin Deetman, Enterprise Partner Account Manager Benelux bij Kaspersky. Hij noemt bijvoorbeeld de ransomware-aanval van begin juli 2021: data van honderden bedrijven werden gegijzeld in een wereldwijde ransomware-aanval.
Urgentie van cybersecurity steeds duidelijker
Door de complexiteit van het IT-landschap, door de multicloud, digitale werkplekken en een verscheidenheid aan apparaten, is alleen een end-pointoplossing niet meer genoeg. Het is de basis, dat wel, maar wordt door Kaspersky uitgebreid met diensten als Extreme Detection and Respons (EDR), awareness-training en expert-oplossingen zoals threat intelligence. Zeker de bewustwording is op allerlei niveaus binnen bedrijven sterk in ontwikkeling.
De CIO is zich bijvoorbeeld steeds bewuster van het feit dat niet alleen data en IT-systemen moeten worden beveiligd, maar dat OT-systemen ook in de lucht moeten blijven, vertelt Deetman: ‘Ik sprak bijvoorbeeld met een sauzenfabrikant. Die gebruiken eigeel voor alle sauzen en dat eigeel moet natuurlijk continu op een bepaalde temperatuur zijn. Als dat systeem wordt lamgelegd, dan kan je het weggooien. Ook draait het hele proces 24/7, dus er is geen tijd ingecalculeerd om nieuwe te maken.’
Vliegveld wordt aangevallen
Maar de CIO is niet de enige die cybersecurity steeds hoger op zijn prioriteitenlijstje zet. Het is het hele bestuur en dat is maar goed ook, volgens Deetman: ‘Als het niet leeft bij het C-level, dan landt het nergens. Daarom nodigen we executives uit om een simulatie met ons te spelen via onze Kaspersky Interactive Platform Simulatie. Het is een bordspel, waarbij ze een VR-bril op krijgen. Ze worden stakeholder van een vliegveld met elk hun eigen verantwoordelijkheden.’
‘Tijdens de simulatie wordt een aanval gedaan op het vliegveld. Ze moeten dan keuzes maken om de aanval te stoppen en schade te beperken. Wat gebeurt er tijdens de simulatie? Welke lessen komen daaruit voort? Daar komt een rapport uit en een advies welk securityplatform interessant is voor het bedrijf’, aldus Deetman. ‘Het zijn overigens niet alleen de risk of compliance officers die hiermee bezig zijn, maar ook de CEO.’
Hoe gaan mijn werknemers om met veiligheid?
Cybersecurity moet door de top gedragen worden, maar dan moet het verder de organisatie in worden gebracht. ‘De ketting is zo sterk als de zwakste schakel. Vragen die van zowel partners als eindklanten langskomen gaan ook over awareness: hoe gaan mijn werknemers om met veiligheid? Dat is natuurlijk alleen maar gegroeid sinds we allemaal thuis zijn gaan werken. Daarom ontwikkelden we Kaspersky Automated Security Awareness Platform (ASAP)’, vertelt Roubos.
‘Kaspersky ASAP is een makkelijke en simpel toe te passen awareness training om het bewustzijn van medewerkers te vergroten, vertelt Roubos. ‘Medewerkers kunnen hun kennisniveau testen, krijgen op basis daarvan les over cybersecurity en nemen vervolgens een toets af. Maar we doen dat niet in één dag of tijdens een seminar. Dan ben je het na een week weer vergeten. Het is vijf tot tien minuten per week en we gebruiken actuele voorbeelden en cases.’
Wees alert, ook maandagochtend 5 over 9
Een van de manieren om de medewerkers te testen is door ze op een onverwachts moment een gesimuleerde phisingmail te sturen. ‘Het is learning on the job’, vertelt Deetman. ‘Dus niet elke dag, maar op een moment dat je het niet verwacht. Maandagochtend om 9 uur bijvoorbeeld. Klik je op de link? Dan gaat de rapportage naar de systeembeheerder en dan heb je daarover een gesprek. Dat geldt ook voor het C-level, maar dan wordt er een ander gesprek gevoerd, bijvoorbeeld over de kosten.’
Niet alleen eindklanten worden opgeleid over cybersecurity, voor partners organiseert Kaspersky trainingen en certificeringen, vertelt Roubos: ‘We bieden vier partnerniveaus: regional, silver, gold en platinum, gebaseerd op omzet en certificeringen. Onderdeel van het partnerprogramma zijn alle handvatten voor partners om zich goed te positioneren, het verhaal goed over te dragen aan de eindklant en de implementatie goed te laten verlopen.’
Het is een eenvoudig rekensommetje
Partners kunnen volgens Deetman ook duidelijk maken welke impact een cyberaanval heeft op een specifieke eindklant. ‘Neem die sauzenfabrikant. Je kunt een schadepost berekenen op basis van het stilleggen van het proces. Security is eigenlijk net als een autoverzekering. Je betaalt om te voorkomen dat het je veel gaat kosten. En partners kunnen vanuit hun specialisme duidelijk maken hoe dat rekensommetje eruitziet voor de klant.’
Door: Anne van den Berg
