IT-beveiliging: quick wins voor kmo’s

De Europese NIS2-richtlijn (Network and Information Security) wil EU-lidstaten verplichten om hun maturiteit op het gebied van cyberveiligheid te verhogen en legt daarvoor organisaties in kritieke sectoren verschillende eisen rond IT-beveiliging op. Tegen eind 2024 moet NIS2, een uitbreiding van de bestaande NIS-richtlijn, in de Belgische wetgeving opgenomen worden.

Maar zelfs als uw kmo niet in een kritieke sector actief is, zal u met NIS2 te maken krijgen, bijvoorbeeld via klanten of leveranciers die onder de richtlijn vallen. Bovendien zijn de opgelegde maatregelen voornamelijk algemeen aanvaarde beveiligingsprincipes die elke organisatie eigenlijk al zou moeten hanteren.

Wij spraken erover met Aubrey Beelen en Ruben Cools, respectievelijk Product Manager en Solution Architect bij BKM-Orange, de ICT-integrator van Orange Belgium. Zij wijzen op het belang van een risicoanalyse en geven enkele quick wins op het vlak van IT-beveiliging.

Een van de belangrijkste elementen van een goede IT-beveiliging is een risicoanalyse. Zijn bedrijven zich daarvan bewust?

Ruben: Bedrijven hebben daar niet altijd aandacht voor. Doordat de NIS2-richtlijn nu zo de nadruk legt op risicoanalyses, zal de nodige bewustwording stilaan wel toenemen. De risico’s zijn voor elk bedrijf anders. Wat voor het ene bedrijf een groot gevaar inhoudt, is dat daarom nog niet voor een ander bedrijf. Daarom is het belangrijk dat een bedrijf zelf de verantwoordelijkheid neemt om zijn kwetsbaarheden in kaart te brengen. Als IT-partner kunnen wij daarbij wel ondersteuning bieden door klanten best practices en mogelijke oplossingen voor de pijnpunten aan te reiken. Maar het is de klant die de afweging moet maken welke risico’s eerst moeten aangepakt worden op basis van het risiconiveau, en wat er binnen het budget realiseerbaar is.

Zijn die pijnpunten en prioriteiten altijd duidelijk?

Aubrey: Niet altijd, terwijl het wel belangrijk is dat je de zwakke punten in de beveiliging helemaal blootlegt. Zeker bij nieuwe klanten hebben we niet altijd een goed inzicht in hoe ze werken, hoe hun netwerk opgebouwd is en welke beveiligingsmaatregelen ze al nemen. Daarom voeren we vaak eerst een assessment uit en stellen we nadien een verslag op. In dat verslag nemen we enerzijds algemene quick wins om hun beveiliging te verbeteren op.  Anderzijds geven we ook advies over welke specifieke investeringen op lange termijn kunnen overwogen worden.

Wat zijn de meest interessante quick wins voor de IT-beveiliging van kmo’s?

Aubrey: Je kan op heel korte termijn het algemene beveiligingsniveau van een organisatie verhogen door meer bewustwording te creëren. De meeste grote cyberincidenten worden veroorzaakt door menselijke fouten. Hoe meer werknemers zich bewust zijn van het belang van cyberveiligheid en hun eigen rol daarin, hoe kleiner het risico op incidenten wordt.

Zijn er naast die sensibilisering ook technische oplossingen die snel een grote impact op het beveiligingsniveau kunnen hebben?

Ruben: Jazeker, drie belangrijke technische oplossingen zijn multifactor-authenticatie, tools die het Zero Trust-model implementeren en monitoring-toepassingen.

Aubrey: Cyberincidenten zijn vaak te wijten aan gelekte gebruikersaccounts of wachtwoorden. Multifactor-authenticatie kan de risico's op misbruik aanzienlijk verminderen omdat er dan naast een wachtwoord nog een tweede element voor authentificatie nodig is.

Ruben: Daarnaast kunnen we met Zero Trust-oplossingen snel en continu controleren of de toestellen waarmee de gebruikers werken veilig zijn. Zodra een toestel door malware geïnfecteerd is of het op niet meer aan de vereiste beveiligingsnormen voldoet, wordt de toegang tot bedrijfsinformatie vanaf dat toestel ingetrokken.

Aubrey: Monitoring-toepassingen zorgen dan weer voor een grotere detectie. Zodra een cyberaanval aan de gang is, is het belangrijk dat zo snel mogelijk te weten te komen. Hoe sneller je reageert, hoe meer je de schade kan beperken of misschien zelfs voorkomen.

Maar dan moet er wel iemand die tools opvolgen.

Aubrey: Dat klopt. Bedrijven die investeren in monitoring-tools, moeten iemand hebben die daar permanent naar kijkt. Voor veel kmo’s is het niet haalbaar om een werknemer in dienst te nemen die fulltime de beveiliging kan opvolgen. Die bedrijven kunnen wel een beroep doen op IT-partners die die monitoring als dienst aanbieden. Daarmee haal je op een vrij eenvoudige manier een extra paar ogen voor je beveiliging in huis.

Weten bedrijven eigenlijk hoe ze moeten reageren als er zich een beveiligingsincident voordoet?

Aubrey: Bedrijven weten vaak niet welke stappen ze moeten ondernemen als ze een probleem ontdekken. Als IT-partner hebben we daar wel al heel wat ervaring mee en kunnen we dus onze klanten ontzorgen. We doen dat door hen een kader te bieden waardoor ze weten wat ze moeten doen bij problemen en hoe wij hen kunnen helpen om hun bedrijf zo snel mogelijk weer operationeel te krijgen na een incident. Dit kader kan hen ook al voorbereiden op de meldingsplicht die met de NIS2 ingevoerd wordt.

Moeten alle bedrijven rekening houden met de NIS2-richtlijn?

Ruben: De NIS2-richtlijn wil in eerste plaats bedrijven uit cruciale sectoren, zoals energie, bankwezen en gezondheidszorg, aanzetten om bepaalde beveiligingsmaatregelen voor hun netwerk- en informatiesystemen te implementeren. Naast de cruciale sectoren, breidt NIS2 ook verder uit naar belangrijke sectoren, waardoor ook kmo’s onder de richtlijn kunnen vallen. Maar eigenlijk is het niets nieuws: de maatregelen die NIS2 vereist, zijn grotendeels algemeen aanvaarde beveiligingsprincipes die elke organisatie nu al zou moeten toepassen. Toch zijn er nog steeds organisaties die pas over cyberbeveiliging nadenken op het moment dat ze met een incident geconfronteerd worden. Ik hoop dat NIS2 die organisaties het duwtje geeft dat ze dringend nodig hebben.