Belgische ondernemingen zetten sterker in op cybersecurity, nu de hybride werkplek nieuwe uitdagingen met zich meebrengt. Dat blijkt uit een onderzoek dat is uitgevoerd in naam van Cisco. Uit het rapport komt duidelijk naar voren op welke vlakken ondernemingen nog kunnen verbeteren.
In de pandemie zijn werknemers massaal van kantoorruimtes naar hun thuiswerkplek verhuisd. Cybercriminelen zijn in dezelfde periode ongewenst meeverhuisd. De snelle overschakeling boorde namelijk gaten in de opgebouwde cybersecurity van bedrijven en daar spelen criminelen maar al te graag op in. Toch is de pandemie niet alleen maar kommer en kwel gebleken, aangezien de aandacht voor cybersecurity in bedrijven is gegroeid.
In een vragenlijst bij 1.500 kantoor- en thuiswerkers in zes Europese landen, polste onderzoeksbureau Censuswide hoe werknemers omgaan met cybersecurity. Daarnaast werd gevraagd naar hun mening over de getroffen maatregelen. Dit onderzoek gebeurde in samenwerking met Cisco. Naast Denemarken, Nederland, Noorwegen, Zweden en Zwitserland, werden ook Belgische medewerkers bevraagd. Meer specifiek ging het om 148 Vlamingen, 63 Walen en 40 Brusselaars. Op de Belgische cijfers zoomen we samen met Steven De Ruyver, Cybersecurity Lead voor Cisco België en Luxemburg, in.
Uit de studie komt al bij al goed nieuws vindt De Ruyver. “We zijn in ons land goed bezig. We hebben een paar heel grote stappen gemaakt.” Hij durft erop te wedden dat de cijfers een compleet ander beeld schepten voor de pandemie. Om dat te staven heeft Cisco alleen geen officiële cijfers in huis.
“De oplossingen die bedrijven bedachten om thuiswerken mogelijk te maken, hingen met plakband aan elkaar”, vertelt De Ruyver. Over de tijd heen ziet hij wel dat er vooruitgang is geboekt en dat beveiligingsmaatregelen gebruiksvriendelijker en belangrijker zijn geworden voor Belgische bedrijven.
lees ook
Desktop in een Ikea-zak: Hoe bedrijven in België met het plotse thuiswerk omgaan
Extra maatregelen getroffen in de pandemie
Het onderzoek polste bij werknemers welke initiatieven hun werkgever aan het begin van de pandemie op poten zette, met het oog op een betere beveiliging van de thuiswerkplek. Bij slechts drie procent nam de werkgever geen bijkomende maatregelen.
Dat lage cijfer is geruststellend. Voor de overige 97 procent lezen we in het rapport verder op welke vlakken ondernemingen in cybersecurity investeerden. Bij net niet de helft (49%) van de Belgische werknemers installeert het bedrijf software-updates automatisch op hun laptop. Dat cijfer mag nog fors omhoog, aangezien het merendeel van de cyberaanvallen zich richt op lekken waar al een patch voor is uitgebracht. Software-updates snel uitvoeren, kan de beveiliging van laptops flink opkrikken. Belgische ondernemingen zetten er alleen niet altijd spoed achter.
27,49 procent moet slechts eenmalig inloggen om bedrijfsapplicaties te gebruiken. Vlaanderen blijkt op vlak van getroffen maatregelen overigens beter te scoren dan het Belgische gemiddelde, met uitzondering van single sign-on.
“Ik zie VPN langzaam uitdoven omdat het een oplossing is waar je vroeger niet omheen kon. Het heeft als nadeel dat je een Brusselse ring creëert.”
Steven De Ruyver, Cybersecurity Lead voor Cisco België en Luxemburg
De beveiliging die de meeste werknemers kregen opgelegd van het bedrijf, is volgens De Ruyver verouderd. “VPN is een tunnel en een beetje ouderwets.” Maar liefst 56 procent van de Belgische werknemers gebruikt de technologie en in Vlaanderen stijgt dit aantal zelfs tot bijna 63 procent. In de financiële sector, HR en de reis- en transportsector geeft bijna driekwart van de werknemers aan gebruik te maken van een VPN.
VPN scoort bijzonder laag op de vraag hoe frustrerend de maatregel wordt ervaren. Naar de mening van De Ruyver is de technologie toch geen lang leven meer beschoren. “Ik zie VPN langzaam uitdoven omdat het een oplossing is waar je vroeger niet omheen kon. Het geeft als voordeel dat al het internetverkeer langs een centraal punt passeert, waar controle kan worden uitgevoerd. Dat heeft tegelijk als nadeel dat je een Brusselse ring creëert, je maakt file.”
Gedeelde verantwoordelijkheid
Hoewel De Ruyver tevreden is, kan de cybersecurity in bedrijven beter. Dat merken Belgische werknemers ook op: vier op de tien Belgen vindt namelijk dat hun werkgever cyberveiligheid onvoldoende serieus neemt. In de andere vijf landen zijn medewerkers consequent meer tevreden met de maatregelen.
Zes op de tien Belgische medewerkers is wel van mening dat cybersecurity een gezamenlijke verantwoordelijkheid is en willen deze taak dus niet enkel bij het IT-team of het management leggen.
De werkgever moet dit proces alleen leiden , vindt 47 procent van de Belgische werknemers. Waarom veel werknemers dat standpunt innemen, verklaart De Ruyver: “Veel Belgische werknemers hebben het idee dat de beveiliging een punt is waar de werkgever aan moet werken.” De toestellen waar werknemers thuis mee werken, moeten door de werkgever worden beveiligd. “Werknemers denken: ‘jij stelt mij te werk, ik wil dat alles in orde is’.”
Cybersecurity omzeilen
Bijkomend probleem aan de zijde van de werknemers is alleen dat 29,06 procent aangeeft wel eens tot vaak beveiligingsmaatregelen te omzeilen. Dat blijft voornamelijk in de kunst-, financiële-, gezondheids-, en IT-sector een werkpunt. Om de online bedrijfsomgeving binnen de bedrijfsmuren en daarbuiten beter te beveiligen, benadrukt De Ruyver dat alles gebruiksvriendelijker moet worden.
Vlamingen blijken voornamelijk het gebruik van multifactorauthenticatie (2FA) en de verplichte installatie van software-updates te hekelen. Van de 37 procent die verplicht gebruik maken van 2FA, vindt namelijk één op drie werknemers de technologie frustrerend. De maatregel blijkt overigens ook minder gebruikt te worden in België dan in de rest van Europa, waar het gemiddelde op 43 procent ligt. Noorwegen voert deze lijst aan met 50 procent.
lees ook
Veiligheid en betrouwbaarheid van verschillende 2FA-opties vergeleken
Over de VPN hebben Belgische werknemers misschien minder frustraties, maar daar toont De Ruyver aan dat er toch ruimte is voor verbetering. “De gebruikersinteractie die momenteel vereist is om een VPN aan te leggen, wordt teruggedrongen. Als gebruiker is het niet belangrijk om te weten of je via een VPN werkt of in de cloud.”
Natuurlijke adoptie van maatregelen
“Multifactorauthenticatie was de eerste stap, nu doen we een vingerafdruk of gezichtsherkenning. De volgende stap wordt inloggen zonder wachtwoord.” De technologie op dit vlak blijft verder evolueren. Zonder wachtwoord werken, mag voor sommigen nog wat vreemd in de oren klinken, maar Microsoft-gebruikers kunnen de overstap inmiddels toch al maken.
Technologieën die eerst als ‘exotisch’ worden ervaren, vinden bovendien vanzelf hun toegang tot het brede publiek: “Nieuwe generaties aan werknemers die binnenkomen, die nemen de cultuur ook mee.”
“Ik maak wel een onderscheid tussen de IT-aware bedrijven die een stuk van hun bedrijf uit de IT halen en de kleinere KMO’s, die nog steeds het gevoel hebben dat niemand geïnteresseerd zal zijn in hun kleine onderneming. Die zijn daardoor ook moelijker te overtuigen om maatregelen te nemen, maar dat is een kwestie van tijd.”
Ondermaatse score op belangrijkste maatregel
Voor bedrijven zijn deze investeringen interessant omdat De Ruyver niet gelooft dat thuiswerken zal verdwijnen. “De hybride werkplek blijft en dat betekent dat er altijd iemand deelneemt aan vergaderingen vanop afstand.”
In de hybride werkplek is het niet mogelijk werknemers constant te monitoren. De privacywetgeving beperkt de mogelijkheden eveneens nog verder. Cisco voorspelt dat in 98 procent van de toekomstige vergaderingen ten minste één deelnemer op afstand zal deelnemen.
Om te voorkomen dat thuiswerkers een makkelijk doelwit vormen, kunnen sensibiliseringstrainingen worden opgezet. Dat is een punt waar België nog sterk in zal moeten evolueren. Momenteel loopt het namelijk 7 procent achter op het Europese gemiddelde dat op 62 procent ligt sinds de voorbije achttien maanden.
“We zijn van nature ook een conservatief land, we voelen dat we nooit de eerste zijn in iets te doen, maar we halen wel snel in.” Denemarken en Noorwegen scoren veel beter op dit vlak, waar 73 procent van de werknemers een training volgde in de afgelopen achttien maanden.
“Cyberbeveiliging is maar zo sterk als de zwakste schakel en dat is helaas nog steeds de mens zelf. Daarom moeten we absoluut meer wijzen op de gedeelde verantwoordelijkheid en gebruikers sensibiliseren met cybertraining”
Steven De Ruyver, Cybersecurity Lead voor Cisco België en Luxemburg
In ons land krijgt een kwart van het personeel nooit een training. “Cyberbeveiliging is maar zo sterk als de zwakste schakel en dat is helaas nog steeds de mens zelf. Daarom moeten we absoluut meer wijzen op de gedeelde verantwoordelijkheid en gebruikers sensibiliseren met cybertraining”, waarschuwt De Ruyver.
Werkpunten
Op de werkvloer komen investeringen in cybersecurity trouwens net zo goed van pas. In de toekomst zal het belang alleen maar verder uitbreiden. De Ruyver legt uit hoe dit komt: “Naast mensen spreken we tegenwoordig ook over apparaten. Bij werknemers thuis gaat het dan over slimme thermometers en slimme verlichting. Binnen de bedrijfsmuren hebben bijna alle machines dan weer machines met een internet-acces. Hierbij komen nog de werknemers die terugkeren naar kantoor met draadloze oortjes, smartphones en smartwatches.”
“Wij zien bijvoorbeeld heel veel aanvallen op netwerkprinters. Daar kan je geen training aan geven om niet op verdachte mails te klikken. Dat stukje zat niet in de huidige vragenlijst, maar ik denk dat de volgende golf cyberaanvallen zich ook daar sterk op zal focussen.” Belgen blijken uit ander onderzoek er niet voor terug te deinzen om werk en privé te mixen.
De Ruyver vindt dat uit het onderzoek veel kan worden geleerd: “De pijnpunten voor het Belgische ondernemerslandschap zijn eigenlijk zo duidelijk dat, als ze willen, de Belgische werkgevers en werknemers er ook iets aan kunnen doen. Het is zo duidelijk waar de gaps zijn om dicht te fietsen ten opzichte van bijvoorbeeld Scandinavië, dat we ook heel concrete actieplannen zouden kunnen maken.”
Softwarepakketten
Dat het speelterrein van cybercriminelen verplaatste naar thuiskantoren, is ook aanbieders van beveiligingssoftware opgevallen. Een aantal spelers brachten al softwarepakketten uit die de veiligheid in hybride werkomgevingen moeten opkrikken.
Acronis heeft bijvoorbeeld het Acronis Cyber Protect Home Office-pakket uitgegeven. Naast een back-uptool bevat het pakket onder meer ransomwarebescherming, anti-malwaretechnologie, realtime bescherming en bescherming voor videocallsoftware.
Als bescherming tegen ransomware- en malware-aanvallen bracht ook Dell Technologies onlangs nieuwe software en services uit. Uit hun onderzoek bleek immers dat er volgens IT-afdelingen nog niet voldoende werd ingezet op middelen voor gegevensbescherming in de bedrijven waar zij werken.
lees ook