Voorkomen of genezen? Investeren in wachtwoordbeheer loont

Nancy Deol werkt als marketingmanager bij Advanced Kiosks, een klant van LastPass Enterprise. In dit gastblog beschrijft ze waarom wachtwoordbeheer de moeite waard is voor bedrijven. Cyberbeveiliging is een actueel onderwerp. Steeds weer verschijnen nieuwsberichten over incidenten rondom merken en directeuren. Veel bedrijven weten echter simpelweg niet waar ze moeten beginnen als het gaat om wachtwoordbeveiliging. Het advies van Nancy kan een stap in de goede richting zijn. Lees hoe de onprofessionele omgang met wachtwoorden verleden tijd kan worden met LastPass. Bij Advanced Kiosks nemen we cybercriminaliteit bijzonder serieus. We werken veel voor organisaties binnen de overheid en de gezondheidszorg. Gegevensbescherming is hier van het grootste belang. Bij de start van een interactief kioskproject leggen we direct uit aan de projectmanager dat onze voorgeïnstalleerde software voor kioskbeheer is inbegrepen, om te voorkomen dat er met hun kiosken geknoeid kan worden. Deze software, Zamok, vergrendelt het touchscreen en beschermt de kiosk tegen hackers en ongeoorloofd surfen. Ook zorgt Zamok ervoor een kioskgebruiker geen toegang heeft tot de gegevens van de voorgaande gebruiker. Er gaat veel persoonlijke informatie via de kiosk naar de toepassing erachter. Wij zorgen ervoor dat die gegevens vertrouwelijk blijven. We beschermen ook bestanden van de beheerder en alle instellingen, zodat ze niet toegankelijk zijn voor buitenstaanders. Als we zoveel werk steken in de veiligheid van onze producten, waarom zouden we de computers op onze werkplekken dan niet net zo goed beschermen?

Cybercriminelen richten zich niet alleen op de grote merken

Een deel van ons werk bij Advanced Kiosks is om op de hoogte te blijven van nieuwe soorten cybercriminaliteit en de best practices om aanvallen te voorkomen. IBM onderzocht in 2015 in samenwerking met het Ponemon Institute de kosten van gegevenslekken en becijferde de gemiddelde kosten van één enkel lek op 3,79 miljoen dollar. Veel mensen lezen zo'n uitkomst en denken, "Dan zitten wij wel goed. Dat gebeurt alleen bij grote bedrijven." Maar dat is helaas te makkelijk gedacht. Cybercrime bij grote namen zoals Target, LinkedIn, Ashley Madison, Sony of NASDAQ haalt het nieuws, maar 1 op de 40 kleine bedrijven loopt ook het risico om door hackers onder de loep te worden genomen. En aanvallen op kleine bedrijven nemen schrikbarend toe. Uit het Rapport internetbeveiliging 2016 van Symantec kwam naar voren dat kleine bedrijven zich vooral zorgen moeten maken om minder geavanceerde aanvallen, die goedkoop en eenvoudig uitgevoerd kunnen worden – met name wachtwoordhergebruik en phishing. Uiteindelijk moet u niet alleen uw klanten, maar ook uw bedrijf beschermen. Dit is extreem belangrijk als u SaaS aanbiedt (zoals Advanced Kiosks) of als u klanten vraagt om persoonlijke of financiële gegevens te verstrekken, of andere gevoelige informatie. Ik denk dat de meeste kleine bedrijven hier te weinig aandacht aan besteden. Dat gebrek aan voorbereiding maakt hen én hun klanten kwetsbaar voor aanvallen.

Waarom beschermen bedrijven zich niet tegen cybercrime?

"Dat overkomt mij niet"

Een van de belangrijkste redenen: bedrijven gaan er oprecht van uit dat ze niet waardevol genoeg zijn als 'prooi' en dat een aanval hen dus nooit zal overkomen. Ik denk dan vaak aan een citaat uit de Hunger Games: "May the odds be ever in your favor." Een dergelijke gedachtegang is een riskante gok, en de realiteit van cyberaanvallen is niet meegenomen in de kansberekening. Cybercriminelen zijn opportunisten, die hun slachtoffers willekeurig uitzoeken, op zoek naar easy money. De gelegenheid maakt dus ook online de dief, en kleine bedrijven hebben vaak hun digitale ramen en deuren openstaan. Small Business Trends heeft waardevolle inzichten voor het MKB uit het Symantec-onderzoek gehaald. De conclusie: phishing-aanvallen richten zich vaak op medewerkers die verantwoordelijk zijn voor de financiën van kleine bedrijven. Dat uw bedrijf niet zo groot is als LinkedIn of Sony, betekent niet dat het veilig is. Het is echt tijd om te erkennen dat ook uw bedrijf een heel reëel risico loopt.

"Ik heb er gewoon geen tijd voor"

Nog zo'n misvatting: dat het veel tijd kost om de juiste preventiemaatregelen te nemen. Dit is een verrassend argument. Het kost je gegarandeerd heel veel meer tijd als je verkeerd gokt. En niet alleen tijd: een recent onderzoek van Experian toonde aan dat 60% van de kleine bedrijven na een gegevenslek binnen 6 maanden de deuren moet sluiten. Toegegeven, er gaat wel wat tijd zitten in goede beveiliging:

• de juiste technologie vinden voor uw bedrijf
• leren omgaan met die technologie
• de technologie implementeren
• uw medewerkers trainen in het gebruik ervan

Niet alle SaaS-technologie werkt op dezelfde manier. De benodigde tijd voor een implementatie kan enorm verschillen. Op basis van de punten hierboven kozen wij voor LastPass Enterprise. Het is de juiste oplossing voor ons bedrijf, en we geloven ook dat het de perfecte oplossing voor wachtwoordbeheer is voor alle bedrijven die hiervoor geen extra tijd beschikbaar hebben. LastPass maakt het extreem eenvoudig om wachtwoordbeheer te gebruiken. Het werkt op basis van self-service, dus iedereen – ook mensen zonder IT-hersenen – kan er snel mee omgaan. Voor ons is het perfect, omdat we ook een self-service technologieleverancier zijn. Ook opschalen is geen probleem met LastPass Enterprise, dus het is eenvoudig om klein te beginnen met enkele medewerkers op sleutelposities. Daarna kan het wachtwoordbeheer worden uitgebreid als de iedereen er klaar voor is.

"Ik vertrouw erop dat mijn medewerkers zichzelf beschermen"

Eerlijk gezegd gaat dit niet om vertrouwen. En het is simpelweg onmogelijk om te weten of medewerkers zich aan best practices houden, totdat hier een systeem voor is. De eerste vraag om een antwoord op te krijgen: weet ik wat er nodig is voor wachtwoordbeheer en beveiliging van gevoelige gegevens tegen cybercriminelen? En zijn mijn medewerkers goed uitgerust om deze best practices te volgen? Als het antwoord 'ja' is, dan is je digitale beveiliging op orde. Goed voor de zaken! Heeft u eerlijk gezegd nog wat vraagtekens? Deze blog kan u helpen. Tech Talks geeft handige best practices in het artikel How do you protect your passwords? – dit is mijn samenvatting:

• Een langer wachtwoord is beter dan een kort wachtwoord, zelfs als dat korte wachtwoord ingewikkeld is. Ja, leestekens, cijfers, hoofdletters zijn allemaal belangrijk, maar het wachtwoord moet vooral ook lang zijn. En die lengte moet dan niet bestaan uit de cijfers van 0-9 twee keer achter elkaar. 01234567890123456789 is een slecht wachtwoord. Willekeurige wachtwoorden zijn beter.
• Vermijd uitdrukkingen en slogans. Cybercriminelen weten dat mensen graag wachtwoorden kiezen die bekend klinken. Daarom bieden "Bye Felicia" en "NetFlix and chill" als wachtwoord niet voldoende bescherming.
• Gebruik hetzelfde wachtwoord – hoe sterk het ook is – niet voor meerdere accounts. Misschien kunnen cybercriminelen uw wachtwoord niet raden, maar ze kunnen het nog wel stelen van een dienst die u gebruikt.

Zelfs als uw medewerkers dit advies allemaal kennen, is het onmogelijk voor u om na te gaan of ze zich er ook aan houden om zich te beschermen – tenzij u hiervoor een systeem gebruikt. Bij de LinkedIn-hack bleken de drie populairste wachtwoorden van LinkedIn-gebruikers 123456, linkedin en password te zijn. Gaat er een alarmbelletje rinkelen? LinkedIn is een netwerk voor bedrijven. Net als het uwe. En dit zouden ook uw medewerkers kunnen zijn... Met LastPass kunt u zeker weten dat uw medewerkers op het werk de juiste maatregelen nemen voor hun wachtwoordbeveiliging. Als uw medewerkers LastPass gebruiken, weet u namelijk zeker dat ze sterke, unieke wachtwoorden gebruiken. Zonder zo'n systeem zou uw bedrijfsnaam wel eens als wachtwoord gebruikt kunnen worden.

De kosten voor uw beveiliging – en de kosten van een aanval

Er zijn drie soorten kosten voor nalatigheid op het gebied van beveiliging tegen cybercriminelen. Onderzoek toont aan dat niet alleen grote, maar ook kleine bedrijven doelwit zijn van aanvallen. U moet dus overwegen wat het kost om door te gaan op de ingeslagen weg – zonder beveiliging.

De drie soorten kosten van cybercrime:

• Financiële kosten: Cyberdiefstal kan u een fors verlies opleveren. U loopt niet alleen schade op onder de streep door de diefstal zelf. U verliest ook het vertrouwen van potentiële klanten en dus omzet uit mogelijke nieuwe opdrachten. Dan zijn er de kosten in tijd en geld om de veroorzaakte schade te repareren en het lek te dichten. Financiële kosten worden bij cybercrime vaak genoemd, maar er zijn nog meer grote kostenposten.
• Kosten in tijd: U denkt dat de tijdsinvestering in wachtwoordbeveiliging te hoog is. Maar bedenk ook eens hoeveel tijd u kwijt bent na een aanval? Ga maar na wat er allemaal op u – en uw medewerkers – afkomt als u het slachtoffer wordt van cybercrime. Er gaat een hoop tijd zitten in de communicatie met de politie, financiële dienstverleners, crediteuren, leveranciers en klanten. En dan moet u ook nog op zoek naar de oorzaak van het lek om het te kunnen dichten. En iedereen moet alle wachtwoorden wijzigen.
• Reputatieschade: Afhankelijk van de nasleep van een cyberaanval kan uw merk forse schade lijden. Ten eerste kunt u uw baan kwijtraken. Of zelfs het hele bedrijf. U kunt medewerkers en klanten verliezen aan de concurrentie. En voor het MKB of voor bedrijven in specifieke nichemarkten geldt het oude gezegde: een goede naam komt te voet, maar gaat te paard.

Het negeren van uw online beveiliging brengt grote risico's met zich mee. Advanced Kiosks zag in dat voorkomen beter is dan genezen. De investering is zijn geld waard. Daarom kozen wij voor LastPass Enterprise. "Wachtwoordbeheer is zonder twijfel de belangrijkste investering qua tijd en geld om uw gegevens goed te beveiligen." – Robert Siciliano, CEO, IDTheftSecurity.com

Waarom Advanced Kiosks koos voor LastPass Enterprise

Voor ons als bedrijf in de self-service technologie waren er veel redenen om te kiezen voor LastPass Enterprise. Dit zijn enkele belangrijke kenmerken en voordelen van deze kosteneffectieve beveiligingsoplossing voor wachtwoorden.

• De belangrijkste reden: Wij zijn een self-service technologiebedrijf, opgericht door een technicus die hecht aan risicobeheer. Eigenlijk is dat al voldoende.
• Prijs: LastPass Enterprise was goed geprijsdvoor ons team, en het is schaalbaar. Als we groeien, kunnen we teamleden toevoegen. En als het nodig is, kunnen we ook terugschalen. De prijs is flexibel en betaalbaar voor een MKB-er.
• Trainingsmaterialen: Onze teamleden zijn blij met de uitgebreide informatievoorziening, van het LastPass Blogtot de Screencasts en andere nuttige support van LastPass, die het hun klanten makkelijk maakt om met de oplossing te werken.
• De kluis: De gebruikersinterface, dus de wachtwoordkluis, is gebruiksvriendelijk en maakt het eenvoudig om wachtwoorden te beheren. We hebben geen tijd voor een complexe of onhandige interface. Met de kluis hebben we geen gedoe.
• Wachtwoorden delen: De kluis biedt een map met wachtwoorden die mensen met u hebben gedeeld, maar die u niet kunt wijzigen. Zo kan mijn baas mij bijvoorbeeld toegang geven tot verschillende softwareaccounts die we gebruiken, zonder dat hij mij daarvoor het wachtwoord hoeft te geven. Als ik van baan zou veranderen, kan hij de toegang tot die accounts eenvoudig intrekken en de wachtwoorden wijzigen. Ik kan zelf op mijn beurt wachtwoorden delen met leden van mijn marketingteam, en toegang weer intrekken als ik wil. Toen ik mijn baas vroeg wat hij ervan vond, was hij heel enthousiast:

"Wachtwoorden kunnen delen is fantastisch!" Hij legde ook uit waarom: "Ik was gemakkelijk een half uur kwijt met het opzoeken van wachtwoorden. Met LastPass heb ik die tijd weer terug."

• Gecentraliseerd beheer: Dit is een belangrijke functie, want het bespaart enorm veel tijd – zeker voor een groeiend bedrijf. Met de centrale console kan onze baas nieuwe medewerkers binnen een paar minuten toegang geven tot websites en toepassingen. Het is zelfs mogelijk om kluizen van medewerkers vooraf te vullen met alle aanmeldgegevens die ze nodig hebben om aan de slag te gaan met LastPass.
• Beveiliging: We kozen ook voor LastPass vanwege de ingebouwde veiligheid. LastPass gebruikt de meest geavanceerde algoritmes voor de encryptie, er worden geen wachtwoorden opgeslagen op hun servers en de oplossing gebruikt tweeledige verificatie, zodat er een extra beveiligingslaag is. En dat zijn nog maar een paar voorbeelden van de veiligheidsmaatregelendie LastPass gebruikt om hun klanten te beschermen.
• LastPass is logisch: Uiteindelijk is het gewoon makkelijker om medewerkers te vragen om één moeilijk wachtwoord te onthouden, dan meer dan 20 moeilijke wachtwoorden. Het is gewoon logisch.

Eigenlijk is het duidelijk: voorkomen is beter dan genezen. En voorkomen is een relatief kleine investering in uw cyberbeveiliging, in vergelijking met de torenhoge kosten van een aanval. Begin dus vandaag nog met uw beveiliging. Want: cybercriminaliteit is in opkomst. Security Intelligence schatte onlangs in een onderzoek dat cybercriminaliteit in 2019 2,1 triljoen dollar zal kosten in 2019. Dit is het juiste moment voor een kleine investering in een onbetaalbare gemoedsrust.