Ergens in mei, toen WannaCry zorgde voor een ongeëvenaarde ransomware-hype, hebben enkele van mijn collega’s met veel moeite een vloek kunnen onderdrukken. Hun enquête over dit onderwerp bij duizenden mensen uit verschillende landen – waaronder België – was nog maar net afgerond, nu waren deze resultaten meteen achterhaald.
Aansluitend opperde iemand het idee om meteen een nieuw onderzoek te lanceren: zo konden we de verschillen in houding en aanpak voor en na deze aanval meteen in kaart brengen. Een geweldig idee, dat leidde tot enkele verrassende inzichten.
Bewustwording
Zo bleek het percentage van de Belgen die verwachten ooit het slachtoffer te worden van ransomware plots vervijfvoudigd. Van een luttele 3 procent naar 15 procent, dat wel, maar we kunnen toch spreken van een significante bewustwording. Toch heeft die grotere bewustwording slechts bij één Belg op vier geleid tot de reflex om de security software te updaten. Het zegt veel over de manier waarop we naar security kijken: we beseffen dat er gevaar is, en steeds vaker beseffen we dat het ook ons kan treffen, maar toch leidt dit ons niet tot een gedrag dat rekening houdt met dit besef.
Ook bij bedrijven merken we diezelfde kloof tussen wat we weten en wat we eraan doen. Zeker als er net een massale aanval zoals WannaCry heeft plaatsgevonden, zou je minstens een toename verwachten van het aantal bedrijven dat elke mogelijke patch voor een potentieel lek meteen toepast. Als je iemand ziet bloeden, probeer je toch ook zo snel mogelijk dat bloeden te stelpen?
Het probleem hierbij is vaak dat een patch voor veelgebruikte software en besturingssystemen vaak grondig moet worden getest voor die officieel kan worden geïmplementeerd, en daar is vaak de tijd en de (beschikbare test-)ruimte niet voor. Bovendien is het zowel voor een organisatie als voor een cio vaak dezelfde afweging: als ze moeten kiezen tussen de stabiliteit van de infrastructuur en het uitsluiten van elk mogelijk veiligheidsrisico, kiezen ze meestal voor het eerste. Terwijl een geslaagde cyberaanval veel grotere gevolgen zou hebben voor de stabiliteit dan eender welke patch ooit zou kunnen hebben.
Risico hoog genoeg inschatten
Wat kunnen we hieraan doen? Het risico hoog genoeg inschatten – misschien zelfs hoger dan eigenlijk het geval is – is een eerste manier om minstens op topmanagement-niveau de aandacht te krijgen. Zij kunnen dan aanpassingen opleggen aan de operationele managers, die – met de beste bedoelingen – alles liefst zo veel mogelijk laten zoals het is. Een andere ingreep is het invoeren van compartimenten, zodat besmetting en gijzeling van één compartiment weinig of geen impact heeft op de rest van de organisatie.
Maar wie geen zin of budget heeft om geregeld te patchen of om te investeren in een infrastructuur met de nodige voorzieningen rond ‘compartimentalisering’ kan nog steeds overwegen om resoluut voor de cloud te kiezen. Niet alleen ziet u de kosten voor security op die manier gespreid over verschillende klanten van de cloudleverancier, u hebt ook de zekerheid dat de provider steeds over de recentste patches beschikt. Tenminste: als dit is opgenomen in het service-contract. Zo niet kunt u best snel naar een andere leverancier stappen.
