DIT ARTIKEL WORDT U AANGEBODEN DOOR HP
Sinds het begin van de pandemie is het aantal cyberaanvallen met een schrikbarende vierhonderd procent gestegen. Driekwart van de infecties vindt plaats via een eindgebruiker. Nu de werkplek voorgoed veranderd lijkt, is het cruciaal dat organisaties ook hun security daarop aanpassen.
Thuiswerken was de afgelopen anderhalf jaar het devies. Inmiddels komen werknemers mondjesmaat weer terug naar kantoor, maar dat er een nieuwe vorm van werken is ontstaan, is evident. De werkplek op afstand hoeft daarbij niet altijd thuis te zijn, ziet HP Chief Technologist, Ruben Raadsheer. ‘Mensen kiezen bijvoorbeeld ook voor bedrijfsverzamelpanden, centrale ontmoetingsplekken of zelfs de kroeg om te werken. Werk is niet langer de plek waar je naartoe gaat, het is iets dat je doet.’ En waar dat werk gebeurt, wordt in toenemende mate onbelangrijk. ‘Maar voor de beveiliging van de bedrijfsinformatie wordt het juist belangrijker.’ Want waar de gebruiker altijd al de schakel tussen bedrijfsinformatie en buitenwereld vormde, had de IT-afdeling van een organisatie tot voor de pandemie nog vrij veel grip op het apparaat dat die werknemer gebruikte, het zogenaamde endpoint. Want medewerkers kwamen dagelijks of zeer regelmatig naar kantoor, maakten contact met het bedrijfsnetwerk en gaven IT’ers zo inzicht in wat er op het device gebeurde en gebeurd was.
‘Werk is niet langer de plek waar je naartoe gaat, het is iets dat je doet’
Nu men weinig tot niet meer naar kantoor komt, maken endpoints – laptops, tablets en smartphones, maar ook printers en andere apparaten – veel minder vaak contact met het beheerde bedrijfsnetwerk. ‘Daardoor verliezen bedrijven grip op het beheer en de security’, legt Raadsheer uit. ‘Veel gebruikers hebben, om hun werk te kunnen doen, geen directe connectie nodig met het bedrijfsnetwerk. Er wordt bovendien vaker verbonden met onbekende of zelfs onbeveiligde wifi-netwerken. Dat zorgt ervoor dat een organisatie veel minder inzicht heeft in verbindingsmethodes, maar ook in waar het apparaat zich bevindt en hoe die gebruikt wordt.’ Dat heeft gevolgen voor de veiligheid van deze endpoints en daarmee ook voor het bedrijfsnetwerk.
‘Bedrijven verliezen grip op het beheer en de security van de werkplek’
‘Vroeger werden de updates automatisch naar jouw werkplek verstuurd op het moment dat je connectie maakte met het bedrijfsnetwerk. Maar nu er steeds minder vaak verbinding wordt gemaakt met dat netwerk, krijgen endpoints belangrijke updates niet.’ Dat komt, vertelt Raadsheer, omdat veel organisaties het beheer van hun IT-systemen nog traditioneel hebben ingericht waarbij updates centraal via het bedrijfsnetwerk worden verstuurd. ‘Terwijl die updates ook gewoon publiekelijk beschikbaar zijn om te downloaden.’ Een verschuiving van mindset is noodzakelijk om de security van een organisatie te kunnen blijven waarborgen, stelt hij. ‘Beheer vindt niet meer louter plaats binnen de muren van het bedrijf. Beheer is overal tot aan de werkplek, waar die zich ook bevindt.’
Werknemers gaan er vaak vanuit dat hun werkgever de beveiliging en veiligheid van hun werkplek wel heeft geregeld. En organisaties doen dat ook, tot op zekere hoogte. Maar op sommige zaken hebben ze nu eenmaal weinig invloed. Bijvoorbeeld of een van de kinderen de werklaptop gebruikt voor het bekijken van video’s of het spelen van games. Of wanneer de werknemer op vakantie verbinding maakt met een onveilig wifi-netwerk. Wat veel gebruikers zich bovendien niet realiseren is dat op de achtergrond van een laptop veel taken automatisch worden uitgevoerd. Denk bijvoorbeeld aan het synchroniseren van OneDrive of het automatisch binnenhalen van zakelijke e-mail wanneer er een, al dan niet veilige, internetconnectie wordt gemaakt. ‘Er zijn echt maar héél weinig mensen die deze functionaliteit bewust uitzetten’, glimlacht Raadsheer. Om die afhankelijkheid van werknemers te verkleinen, pleit de Chief Technologist ervoor om security óp het endpoint in te voeren. ‘Wanneer je beveiliging centraal op je IT-systemen afhandelt, ben je altijd afhankelijk van een verbinding waarover dataverkeer gaat. En op dat stukje loop je het risico tot onderschepping en manipulatie.’ Wanneer op het apparaat zelf wordt ingesteld welke acties, applicaties en taken mogen worden uitgevoerd tijdens welke verbinding en door wie, kan een organisatie zich al veel beter beveiligen.
Iedere organisatie heeft kroonjuwelen; de informatie waar het bedrijf op draait. Wanneer de kroonjuwelen worden aangetast of gecompromitteerd, valt het bedrijf stil, met alle (financiële) gevolgen van dien. Het is belangrijk om goed te definiëren wat die kroonjuwelen precies zijn. ‘Die zijn voor iedere organisatie weer anders’, zegt Raadsheer. Afhankelijk van hoe belangrijk bepaalde data, processen of informatie voor de organisatie zijn, wordt een beveiligingsniveau ingesteld. Die beveiligingsinstellingen worden ook doorgevoerd op de endpoints. ‘Zodat een werknemers bijvoorbeeld niet klakkeloos bij de financiële gegevens van het bedrijf kan wanneer hij op onbeveiligde wifi zit.’
Als een artisjok wordt vervolgens de beveiliging in lagen om het hart – de kroonjuwelen – heen gebouwd. ‘Wanneer je je als IT en management bewust bent van wat jouw kroonjuwelen zijn, kun je bepalen waar extra maatregelen nodig zijn om die te beveiligen. Het is belangrijk om ook de medewerkers hierin mee te nemen. Gebruikers zijn sneller geneigd om veilig gedrag te vertonen wanneer ze begrijpen waaróm dat van ze gevraagd wordt.’ Raadsheer geeft een voorbeeld van zo’n artisjok-aanpak: ‘Om mail op te kunnen halen vanaf een werkplek buiten de kantoormuren, volstaat bijvoorbeeld een certificaat. Maar wil een werknemer informatie kunnen inzien van de financiële afdeling, dan zou er al tweestapsverificatie nodig moeten zijn. En wanneer het gaat om bijvoorbeeld gevoelige overname-informatie, dan kun je als bedrijf instellen dat daar driestapsauthenticatie vereist is, plús het vier-ogen-principe.’ Wanneer je beveiligingslagen stapelt, wordt het minder storend in het dagelijks werk van gebruikers. Pas wanneer de informatie die opgevraagd wordt, gevoeliger wordt, moeten werknemers meer doen om aan te tonen dat ze zijn wie ze zeggen te zijn.
Die aanpak staat ook bekend onder de relatief nieuwe trend in cybersecurity: zero trust. ‘Vertrouwen is goed, beveiligen is beter’, stelt Raadsheer. ‘Bij een zero trust-aanpak ga je ervanuit dat een device gecompromitteerd is, totdat het tegendeel bewezen is. Pas wanneer je zeker weet dat het veilig is, laat je het toe op het bedrijfsnetwerk.’ Greg Day, VP & Chief Security Officer EMEA bij cyberbeveiligingsbedrijf Palo Alto Networks stelt zelfs dat vertrouwen een gevaarlijke kwetsbaarheid vormt voor bedrijven. ‘Cybercriminelen maken graag misbruik van vertrouwen. Kijk maar naar CEO-fraude en phishing.’
‘Vertrouwen is goed, beveiligen is beter’
Volgens hem is zero trust niet een doel om na te streven, maar een strategie om het doel van security te bereiken. ‘Uiteindelijk is het doel van cybersecurity om datalekken en cyberincidenten te voorkomen en ervoor te zorgen dat de digitale bedrijfsprocessen van het bedrijf blijven functioneren. Een van de manieren om dat te bereiken is zero trust. Dat is geen project. Het is een strategie, een mindset dat voortdurend in je achterhoofd moet zitten.’ Dat betekent dat een bedrijf, na het definiëren van zijn kroonjuwelen, inzichtelijk moet krijgen welke informatiestromen van en naar die kroonjuwelen gaan. ‘Vervolgens vraag je je af, zijn deze informatiestromen noodzakelijk? Je wilt ze minimaliseren tot enkel degene die nodig zijn. Datzelfde geldt voor de toegang tot die kroonjuwelen. Wie kan erbij en is dat noodzakelijk? Dát is zero trust denken.’ En tot slot is monitoring en beheer van het netwerk cruciaal, stelt Day. ‘Zodat je weet of alles werkt en er niets gebeurt dat je niet wilt. Doordat mensen steeds vaker vanaf werkplekken buiten het kantoorpand werken, is inzicht onmisbaar. Als je geen inzicht hebt, zul je nooit optimaal kunnen beveiligen.’
Raadsheer adviseert organisaties om kritisch te kijken naar de beveiliging van de bedrijfsinformatie en kroonjuwelen. ‘Bied jezelf de kans en gemoedsrust om gemakkelijker en veiliger te werken door de juiste investeringen te doen.’ Die investeringen zijn breed. ‘Iedere aankoopbeslissing in een bedrijf, bijvoorbeeld slimme lampen of camera’s, zijn deels een securitybeslissing. Verdiep je in de veiligheid van de producten die je inkoopt en hoe je die vervolgens in je netwerk implementeert. We zien die securityvraag nog heel weinig terug in aanbestedingen. Het is belangrijk dat bedrijven zich realiseren dat de goedkoopste oplossing niet altijd de best beveiligde - of te beheren- oplossing is.’ Ook is het belangrijk om de beveiliging meer naar de rand van het netwerk te verplaatsen, naar de endpoints. ‘Kies voor lokale beveiliging in plaats van centraal’, adviseert Raadsheer. ‘Dat biedt een grotere zekerheid en is voor gebruikers bovendien een stuk minder storend.’
HP biedt met Wolf Security een beveiligingsoplossing voor endpoints waarin verschillende componenten zitten. Zo worden bijvoorbeeld alle taken op een apparaat van elkaar geïsoleerd. ‘Dat betekent dat de browsertab waarop je aan het internetbankieren bent, niet kan communiceren met een andere tab waar je bijvoorbeeld je privémail aan het ophalen bent.’ Ook bevat het product een antivirus/antimalware-oplossing die niet afhankelijk is van definities maar naar gedrag kijkt. ‘Het is een zelflerend algoritme dat steeds beter leert wat voor dát apparaat normaal gedrag is. Wanneer het dan een actie detecteert die afwijkt – bijvoorbeeld dat jouw beheersoftware gaat communiceren met een Russisch IP-adres – wordt het device geblokkeerd.’ Maar ook andere zaken als een beeldschermfilter dat automatisch aan gaat wanneer er gevoelige bedrijfsgegevens worden opgeroepen, zitten in HP Wolf Security. ‘Met dat filter kan niemand ongewenst op jouw scherm meekijken als je ergens buiten de muren van je bedrijf zit te werken.’ De security-oplossingen van HP zijn in verschillende smaken voor verschillende bedrijfsgroottes die allemaal hetzelfde doel hebben. ‘Ondernemers, directies en gebruikers beschermen tegen de risico’s waarvan ze zich niet bewust zijn dat ze die lopen.
Wilt u meer ontdekken qua oplossingen en/of mogelijkheden check: www.hp.com/wolfsecurity
Bronnen:
Onze visie is het creëren van technologie die het leven overal voor iedereen beter maakt: voor elke persoon, elke organisatie en elke gemeenschap ter wereld. Dit motiveert en inspireert ons om te doen wat wij doen. Om te maken wat wij maken. Om uit te vinden en opnieuw uit te vinden. Om ervaringen te ontwikkelen die imponeren. We zullen niet stoppen en vooruit blijven gaan, want u blijft vooruitgaan. Wij vinden opnieuw uit hoe u werkt. Hoe u speelt. Hoe u leeft. Met onze technologie vindt u uw wereld opnieuw uit.
Dit is onze roeping. Dit is een nieuw HP. Blijf opnieuw uitvinden.