Cyberonderzoek van de Duitse Buren – deel 2

Vorige week stond ISP Today stil bij een uitgebreid onderzoek naar de cyber kennis en weerbaarheid bij de Oosterburen. In dat onderzoek werden bevindingen en scores genoemd en in een aantal gevallen waren die opvallend. Daarover hebben vragen gesteld aan twee Nederlandse experts.

Het onderzoek is weliswaar in Duitsland gehouden, maar de vragen hadden betrekking op onderwerpen die ook in Nederland spelen. Daardoor is het mogelijk met een Nederlandse bril op naar die bevindingen te kijken.

ISP Today stelde IT-security specialist Loran Kloeze als eerste de vraag: In het onderzoek wordt genoemd dat veel werkgevers richtlijnen voor het gebruik van wachtwoorden. Is dat nuttig of zonde van de inspanning?

“Dit kan geen kwaad maar die richtlijnen moeten zoveel mogelijk geautomatiseerd gehandhaafd worden. Ze moeten dus de basis vormen van de handhaving. En dan is het denk ik helemaal geen verkeerd idee. De richtlijnen moeten meer omvatten dan antwoord geven op vragen als ‘wat is een goed wachtwoord’. Het moet ook gaan om wachtwoordbeheer, procedures voor het vernieuwen van wachtwoorden en dergelijke.
Wat dan een goed wachtwoord is en hoe die richtlijnen eruit moeten zien, is weer een andere discussie.”

De tweede vraag was: we lezen dat 29% van de grote (alles >500) en 23% van de kleinere bedrijven (MKB <500) aangeeft regelmatig en systematisch de logfiles te controleren. Wat vind jij van die score. Is dat hoog, laag, bemoedigend?

“Ik moet zeggen dat ik deze getallen niet verkeerd vind. Het mag natuurlijk hoger maar vooral dat bij het kleinere mkb bijna een kwart de logfiles monitort vind ik een bemoedigende ontwikkeling. Ik zou er bijna sceptisch over zijn maar dat wil ik niet. De vraag is wel even hoe het interpreteren van de logfiles eruit ziet. Gebeurt dit geautomatiseerd, handmatig of middels een combinatie daarvan? En welke logfiles? In ieder geval: een positieve ontwikkeling.”

“Voor wat betreft het advies aan zij die nog niets doen met logfiles. Voor de kleinere bedrijven die hun IT en security hebben uitbesteed raad ik aan om dit te bespreken met hun leverancier. Voor de grotere bedrijven zou ik zeggen: maak het een prioriteit om een proces van monitoring op te zetten waar logfiles een onderdeel van uitmaken. Monitoring gaat verder dan alleen logfiles doorlopen al dan niet geautomatiseerd: het gaat ook om bijvoorbeeld dataverkeer.”

René van Etten, CEO van ThreadStone Cyber Security, vroegen we om een reactie op de bevinding dat 71% van de ondervraagden (dat is MKB en groter) aangeeft meer in cyber-veiligheidsmaatregelen te gaan investeren.

“Dat noem ik een bemoedigende score. Wij zien dat bij de grotere bedrijven in Nederland de noodzaak te blijven investeren wordt ingezien. Daar zou die score ook kunnen gelden.

Bij de kleinere MKB ondernemingen zien we dat veel minder. Ik twijfel dus of je daar in Nederland een vergelijkbare score zou halen. Aan de andere kant: de kleineren krijgen er wel steeds vaker vragen over van met name de grotere klanten die er direct belang bij hebben dat de hele keten veilig is. Ze zijn er nog niet, maar er is wel een positieve ontwikkeling gaande.”

Dat 52% van de werkgevers het personeel regelmatig “scholing” geeft (daar onder lijken ook awareness trainingen te vallen) verbaasde Van Etten. “Ik vind het een hoge score en ik kan niet zien wat er precies onder wordt verstaan. Maar het zou mooi zijn als dat inderdaad het geval is.”

Voor wie twijfelt of het onderzoek en deze reacties wel met hosting te maken hebben nog even dit: aan het Duitse onderzoek hebben ook hosters deelgenomen en beide specialisten hebben een goede kijk op het Nederlandse bedrijfsleven, inclusief de hosting sector.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen