Géén antivirus, anno nu... Serieus?!

Bedrijven nemen steeds meer cybersecuritymaatregelen, weet het Centraal Bureau voor de Statistiek (CBS) positief te melden. Uit onderzoek afgelopen jaar, vervat in het rapport Cybersecuritymonitor 2019, komt naar voren dat Nederlandse bedrijven meer doen aan hun digitale beveiliging. Bedrijven groot en klein nemen meer maatregelen voor hun ICT-security, waarbij vooral middelgrote bedrijven een inhaalslag maken.

Ontwrichting

Goed nieuws! En dat vlak na het slechte nieuws dat Nederland niet goed voorbereid is op grote cyberaanvallen en ingrijpende digitale storingen. Het kritische advies  van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) stelt dat niet alleen de overheid, maar ook bedrijven en de samenleving als geheel kwetsbaar zijn voor cyberzaken. De impact van cyberaanvallen en/of digitale storingen ontwrichtingen kunnen het hele land ontwrichten, stelt de WRR.

Gelukkig wordt er dus wel aan gewerkt, ook door bedrijven groot en klein. Alleen valt er in het CBS-rapport ook te lezen dat antivirus - weliswaar de meest gebruikte cybersecuritymaatregel - niet voor de volle 100 procent van bedrijven wordt gebruikt. Van de grote bedrijven (met 500 of meer werknemers) maakte 99 procent in 2018 gebruik van antivirussoftware, meldt het CBS. En van de kleine bedrijven (met 2 werknemers) ligt het op 82 procent.

Nu kan ik die ene procent non-antivirus bij grote bedrijven nog quasi hoopvol afdoen als een foutje. Of misschien hebben die ondernemingen een krachtige combinatie van geavanceerde intrusion detection, next-gen firewalls, futuristische behavioural analysis van gebruikers en programma's, runtime code fingerprinting, security operations centers (SOC's), rapid incident response teams, en meer superbeveiligende ICT-middelen. Alleen die 18 procent van kleine bedrijven die géén antivirus gebruikt, daar ben ik dus even stil van.

Hoop en onwetendheid

Maar wacht even. De duivel zit in de details. Het CBS heeft bedrijven zelf bevraagd, en hun daarbij een lijst van twaalf cybersecuritymaatregelen voorgelegd. Aan de respondenten zelf de taak om aan te vinken wat ze wel of niet gebruiken. En nu niet om kleinere ondernemers af te kraken, maar bij veel bedrijfjes is eigen vakkennis wel aanwezig maar ICT-kennis lang niet altijd. Dus mogelijk dat zij zelf helemaal niet weten dat ze wél antivirus gebruiken. Namelijk doordat het (alweer een paar jaar) standaard ingebouwd zit in Windows, en daar in wezen onzichtbaar zijn basale werk doet.

Tenminste, als de bewuste ondernemer gebruik maakt van een enigszins moderne computer. Hm, of zou de hele bedrijfsadministratie wellicht gedaan worden op een pc met Windows XP? Een ooit gedane ICT-aanschaf die al jaren prima doet wat 'ie moet doen. Nee, dat zal toch vast niet. Want het supporteinde van XP is ook door die oude Windows-versie zelf met een pop-up duidelijk aangegeven aan eindgebruikers. Het lijkt me waarschijnlijker dat antivirus toch echt wel in gebruik is, maar dan ongemerkt. En dat is op zich een goede zaak, want naar basale antivirus zou eigenlijk geen omkijken meer moeten zijn.

Basaal, normaal, complex

Aandacht moet naar beveiliging op 'hogere' niveaus. Zoals bijvoorbeeld gebruik van krachtige wachtwoorden, en versleuteling van opgeslagen data, en ook encryptie van data in-transit zoals bijvoorbeeld beveiligde verbindingen met websites, mailservers, roostersystemen en meer online-werkmiddelen. En daarnaast nog de redelijk basismaatregel van data-opslag op een fysieke andere locatie. Oh, dat laatste blijkt ook niet bepaald op 100 procent te zitten, bij bedrijven groot en klein.

Ik ben er even stil van.