Een artikel door Stanislas de Goriainoff, CTO van Sewan Groupe
Hoewel hackers niet hebben gewacht op het uitbreken van het conflict tussen Rusland en Oekraïne, heeft de blootstelling aan de verschillende dreigingen uit het oosten, echt of ingebeeld, onze economie wakker geschud. Hoewel het veiligheidsniveau in een groot aantal grote ondernemingen al het hoogst is - in een context van een toename van het aantal aanslagen sinds de pandemie in feite - blijven sommige ondernemingen bovendien veel minder gewapend. Dit geldt met name voor zeer kleine ondernemingen en het MKB, die op dit gebied nog niet erg ontwikkeld zijn.[1] Hoewel hun managers zich goed bewust lijken te zijn van de cyberrisico's die op hun activiteiten wegen, hebben velen tegelijkertijd de neiging hun huidige beschermingsniveau te overschatten...
Goed informeren, zonder te alarmeren.
Om hen bij dit angstwekkende onderwerp te betrekken en hen te overtuigen van de noodzakelijke investeringen en opofferingen, ligt de prioriteit logischerwijze bij hun voorlichting, met pedagogie en pragmatisme. Terwijl de meeste kleine en middelgrote ondernemingen helaas wachten tot ze het slachtoffer worden van een cyberaanval alvorens actie te ondernemen, bestaat de uitdaging erin preventie-inspanningen te leveren en tegelijk te vermijden dat men vervalt in al te alarmistische betogen. Laten we eerlijk zijn, het MKB zal niet meer doelwit worden als gevolg van het Europese conflict. Wanneer dat wel het geval is, zijn de aanvallen meestal geautomatiseerd, en is het motief eerder boosaardig dan politiek: afpersing van geld of gegevens. In feite, en logisch, zijn de bedragen van de gevraagde losgelden altijd gelijk aan hun capaciteit, aangezien hackers er vooral belang bij hebben de solvabiliteit van deze losgelden te verzekeren. Het scheppen van een al te angstig klimaat draagt naar mijn mening bij tot een verkeerde perceptie van wat er op cybergebied op het spel staat, en is in feite schadelijk voor goed gedrag en goede investeringen.
Geef voorrang aan de te beschermen gegevens.
Want, inderdaad, over welke gegevens hebben we het? In de eerste plaats moeten onze kleine en middelgrote ondernemingen, zodra zij overtuigd zijn van de voordelen van de invoering van cyberbeveiliging, worden begeleid bij het identificeren, selecteren en prioriteren van de te verdedigen gegevens. Deze actie vereist specifieke audits en een vaak (zeer) lang proces van het terughalen van deze gegevens, tussen individuele computers en de cloud, tussen huidige of vroegere werknemers, enz. In de afgelopen twee jaar zijn er steeds meer toespraken gehouden over de minimale bescherming die moet worden ingevoerd: versleuteling van gegevensstromen (firewall/VPN), versleuteling van schijven, redundante back-ups van gegevens, toegangsbeperkingen en controles voor elke werkplek, enz. De bescherming van dit soort bedrijven is des te belangrijker omdat de digitale ontwikkelingen die komen gaan kolossaal zijn en een grote impact zullen hebben op het kantoor van morgen.
Verbeter de veiligheidservaring.
Eén ding is zeker: als het leven van de hacker ingewikkelder wordt, wordt het leven van de gebruiker ook ingewikkelder, en in feite wordt zijn online-ervaring er - enigszins - door bezoedeld. Terwijl de kostbare "UX" een centrale schakel van het concurrentievermogen op het web is geworden, is het gemakkelijk te horen dat de complexiteit van wachtwoorden, de vermenigvuldiging van identificatienummers of andere codes die bijvoorbeeld per SMS worden ontvangen, om er maar een paar te noemen, voor beheerders ondenkbare hindernissen lijken te zijn. Afgezien van de voorlichting die wij op dit punt moeten geven, is het ook aan ons om een cyberbeveiligingssysteem te bedenken en uit te vinden dat een kwalitatief goede browse- of aankoopervaring in stand kan houden.
[1] Ifop